5 façons dont le RGPD peut changer nos vies

Le Règlement général sur la protection des données, ou rgpd, qui entre en vigueur dans l’Union européenne le 25 mai, a été créé pour protéger les citoyens de l’UE des abus potentiels, comme le récent scandale de Cambridge Analytica. Bien que le moment puisse sembler frappant, c’est une coïncidence : cette loi est en cours d’élaboration depuis plus de quatre ans. rgpd remplacera la directive sur la protection des données (95/46/CE) de 1995.

Dans le cadre du rgpd, les entreprises peuvent se voir infliger une amende pouvant aller jusqu’à 4 % de leur chiffre d’affaires annuel mondial de l’exercice précédent. Il s’agit d’une peine d’une ampleur stupéfiante. Une violation pourrait coûter à Facebook, par exemple, jusqu’à ~1,6 milliard de dollars. Ce nombre serait beaucoup plus élevé pour des entreprises comme Google et Amazon.

1 – Contrôle des consommateurs
Lorsque le rgpd entrera en vigueur, vous pourrez demander aux entreprises quels renseignements elles détiennent à votre sujet, puis (si vous le souhaitez) leur demander de supprimer ces renseignements. Cela s’applique à toutes les entreprises, y compris les entreprises de technologie, les banques, les sites de vente au détail et même votre patron.

Quiconque soupçonne une entreprise d’utiliser ses données à mauvais escient peut déposer une plainte auprès de l’autorité nationale de protection des données, qui enquêtera sur la plainte. Vous pourrez déposer des plaintes de type recours collectif. Et RGPD exige que les entreprises permettent aux utilisateurs de télécharger leurs données et de les transférer à un concurrent (d’Apple Music à Spotify, mais aussi de simples comparateurs comme Maisonae).

2 – Nulle part où se cacher : Même les entreprises établies aux États-Unis doivent se conformer à la Loi sur l’accès à l’information.
Conformément à l’article 3 du RDPPB, le règlement s’appliquera à

…. le traitement de données à caractère personnel dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant dans l’Union, que le traitement ait lieu ou non dans l’Union.

…le traitement des données à caractère personnel des personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant non établi dans l’Union, lorsque les activités de traitement s’y rapportent :

a) l’offre de biens ou de services, qu’un paiement de la personne concernée soit ou non exigé, à ces personnes dans l’Union ; ou

b) le contrôle de leur comportement dans la mesure où leur comportement a lieu à l’intérieur de l’Union.

…. le traitement de données à caractère personnel par un responsable du traitement non établi dans l’Union, mais dans un lieu où le droit d’un État membre est applicable en vertu du droit international public.

En vertu de ce règlement, toute entreprise de l’Union européenne devra adhérer au rgpd, de même que toute entreprise qui a des clients de l’UE ou des clients de l’UE. Bien qu’il soit plus facile de se conformer au rgpd (même si votre entreprise n’est pas basée dans l’Union européenne), il existe des moyens de le contourner :

Vous pouvez interdire l’accès à votre site web (interdire l’accès à partir de certaines adresses IP) et refuser l’accès au sein de l’Union européenne.

Vous pouvez également identifier les résidents de l’UE au sein de votre base d’utilisateurs et adhérer au rgpd pour ces utilisateurs uniquement.

Bien que ces deux solutions soient techniquement possibles, aucune n’est une bonne option ; il est coûteux et peu pratique d’utiliser des systèmes parallèles. Il y a aussi le risque d’identifier incorrectement un utilisateur, ce qui pourrait entraîner des amendes. Ainsi, presque toutes les grandes entreprises qui font des affaires à l’étranger – même celles qui ne sont pas établies dans l’Union européenne – prévoient se conformer au rgpd.

3 – Si vous recueillez des données, c’est à vous qu’il incombe de le faire
Peu importe qui vous êtes ou où vous vivez, si vos biens et services sont disponibles en ligne, le rgpd aura un impact sur la façon dont vous recueillez et utilisez les données. Voici quelques mesures que vous devriez prendre aujourd’hui :

Sachez de quelles données vous disposez, comment vous les avez obtenues et avec qui vous les partagez. Pour ce faire, vous devrez peut-être effectuer une vérification des données.

Examinez vos avis de confidentialité et mettez-les à jour pour vous assurer que votre processus de collecte de données est concis et rédigé en langage clair.

Déterminez si vous êtes tenu ou non de désigner officiellement un délégué à la protection des données (DPD, qui serait un employé interne ou un conseiller externe).

De plus, assurez-vous d’avoir mis en place un système pour détecter, signaler et enquêter sur les atteintes à la protection des données.

Ces suggestions ne sont qu’un point de départ. Pour obtenir un guide détaillé et utile sur la façon de se conformer au RDPPIB, consultez ce PDF sur ICO.uk. (L’OIC est le bureau du Commissaire à l’information, le représentant du Royaume-Uni au sein du Groupe de travail Article 29 de l’Union européenne.)

Selon votre domaine de travail, vous pourriez être plus touché que les autres par le rgpd. Par exemple, le marketing par courriel exige maintenant une preuve d’acceptation. Vous ne pouvez plus cocher à l’avance les cases pour inscrire automatiquement les membres aux bulletins d’information, ou avoir une case à cocher pour vous désabonner ; à la place, vous ne pourrez recueillir et utiliser les adresses électroniques que si les membres s’y inscrivent. Vous devez également avoir une preuve d’opt-in (telle que définie dans le règlement).

Si vous avez déjà une liste d’envoi, plusieurs options s’offrent à vous pour assurer la conformité :

Supprimez toute la liste et recommencez à zéro. (Facile, mais pas très pratique.)

Tenter de séparer les membres de l’UE des non-membres de l’UE. (Cela peut être difficile et comporte le risque que si vous manquez un membre de l’UE, vous soyez passible d’une amende).

Et avant le 25 mai, envoyez votre liste par courriel et demandez à tout le monde sur la liste de se réinscrire. (Meilleure option.)

sophieT

3 Commentaires

  1. Voilà qui me paraît bien compliqué. En fait je pensais que c’était déjà en action. J’avais reçu des demandes de réinscriptions du fait du RGDP.
    En bref, c’est une bonne chose, ou non ?

    Ne serait-ce pas une action de façade, histoire de rassurer les gens au vu de tous les rapaces qui ne demandent que de s’enrichir sur le dos de nos intimités ? https://lesmoutonsenrages.fr/wp-content/plugins/wp-monalisa/icons/wpml_unsure.gif

    • Le RGPD, sous couvert de protéger nos données personnelles , me parait un moyen parmi tant d’autres, de tuer le petit commerce, une fois de plus…
      C’est un peu comme les normes, on a rien inventé de mieux pour tuer la “petite” concurrence, qui n’a pas les moyens des multinationales d’investir en permanence dans des nouveaux outils de gestion ou de production.
      Toutes ces normes et lois, participent à créer en fait une concurrence déloyale des multinationales face aux petites entreprises et ainsi s’accaparer toujours plus de part du gâteau. En tous cas, si ce n’est pas fait exprès, c’est bien l’effet que cela produit……

      • Je n’ai pas encore vu le petit commerce stocker toutes mes information sa chaque fois que je vais acheter quelque chose… pas plus que le fermier n’a à cirer de mes données personnelles…
        Seules les grosses boites abusant du marketing ciblé seront confrontées au RGPD.
        Ou alors tu vas nous expliquer un peu plus le cas de figure…

Les commentaires sont clos.