Entreprise Mauricienne : le guide pour se conformer au Règlement Général sur la Protection des Données (RGPD)
-
Par Aadilah -
Culture Web, Île Maurice, Mise en Avant -
Publié il y a 5 ans
RGPD. Cet acronyme fait la une de la presse spécialisée depuis plusieurs mois déjà. En vigueur depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est une disposition de l’Union Européenne (UE) qui concerne les 28 pays membres, mais aussi le reste du monde, l’île Maurice y compris. Nul besoin de vous apprendre que le web n’a pas de frontière !
Mais, que cela signifie de manière concrète ? Comment savoir si vous êtes concerné et que faire dans ce cas là ? Pour vous aider, Bulle Digitale a créé pour vous, entreprises mauriciennes, un guide facile pour se mettre aux normes du RGPD, et ce, au plus vite.
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) ou en anglais General Data Protection Regulation (GDPR), est un règlement adopté de manière définitive en 2016 par le Parlement européen et appliqué depuis le 25 mai 2018.
Son principal objectif est clair, protéger les données personnelles des citoyens de l’Union Européenne (UE) collectées sur le web via un site, une application ou tout autre support numérique. Adresse IP, localisation, email, coordonnées, âge, photos, numéro de passeport… les exemples sont légion.
Des milliards de données sont en effet collectées par l’ensemble des acteurs du web en particulier les plus importants comme Facebook, Google ou encore Amazon. Le problème dans tout cela, c’est que l’on sait rarement ce qu’elles deviennent. Elles peuvent évidemment être utilisées à bon escient, pour une meilleure expérience utilisateur par exemple (services personnalisés) mais aussi à des fins peu souhaitables. Le récent scandale Facebook / Cambridge Analytica est d’ailleurs là pour nous le rappeler.
Ainsi, compte tenu de l’ensemble de ces éléments combinés à une attente sociale forte, renforcer le cadre réglementaire inhérent à la protection des données et offrir plus de transparence et de contrôle aux internautes sur l’utilisation de leurs données personnelles devenait une nécessité.
À qui s’applique le RGPD ?
Puisque ce règlement est européen, il n’est applicable que dans les Etats membres de l’Union Européenne (UE)… n’est-ce pas ? Eh bien non. Le RGPD peut aussi s’appliquer à ceux qui ne sont pas présents sur le territoire européen, comme ici à l’île Maurice, mais qui traitent et utilisent les données d’Européens dans l’une ou plusieurs de ces situations :
- Vous offrez des biens et/ou services aux personnes présentes dans l’UE
- Vous surveillez le comportement d’individus (comportement marketing / commercial) de l’UE
- Vous traitez des données personnelles de personnes de l’UE
- Votre site offre des possibilités de paiement en euros
Et le Royaume-Uni dans tout ça ?
En vue du Brexit, est-ce que le RGPD s’applique aussi au Royaume-Uni ? Oui, tant que le Royaume-Uni ne sort pas officiellement de l’UE, tous les règlements de l’UE s’y appliquent. Pensez-y !
Qu’est-ce qui constitue une donnée à caractère personnel ?
Toute information pouvant servir à l’identification d’une personne physique est considérée comme une donnée personnelle.
Il peut entre autres s’agir du nom, de l’adresse postale, email, numéro de téléphone, adresse IP ou encore de données biométriques (comme une empreinte digitale par exemple) et photos.
D’autres données sensibles sont aussi prises en considération comme la sensibilité religieuse, l’orientation sexuelle, les opinions politiques, l’engagement syndical ainsi que des informations sur la santé d’une personne.
Comment être en conformité au RGPD ?
Source : Commission Nationale de l’Informatique et des Libertés (CNIL). 2018 – France
Là est probablement la question qui vous intéresse le plus. Entrons dans le vif du sujet. Pour ce faire, voici les quatre principales étapes à respecter :
Au sein de l’entreprise :
1. Faites un état des lieux, organisez une liste des types de données que vous recueillez dans un registre.
Précisez quelles données vous recueillez de vos clients, comment vous les obtenez et comment vous les utilisez. Pour chaque champ d’information, définissez le type de donnée, qui a accès aux données (bien spécifier si des tierces personnes y ont accès), la finalité des données, la durée de conservation, ainsi que les mesures prises en cas de transfert en dehors de l’UE.
2. Triez les données que vous avez collectées.
Est-ce que les données que vous avez sont nécessaires, et non pas superflues ? Est-ce qu’elles sont à caractère sensible ? Les avez-vous collectées de manière conforme au RGPD ? Si vous avez collecté des informations de manière non conforme au RGPD, il faudra y renoncer et demander la permission aux personnes concernées.
Envers vos clients / visiteurs :
3. Respectez les droits de vos clients. Pour ce faire, vous devez sur votre site web :
Demander le consentement de manière claire, directe et explicite
Utilisez un langage clair pour demander la permission d’utiliser les données des internautes. Vous n’avez pas le droit de leur offrir des « opt-in ». C’est-à-dire que vos clients ne doivent pas automatiquement, ou par défaut, voir leurs données être collectées. Ils doivent explicitement signaler leur accord, et vous devez leur donner la possibilité de choisir quelles données ils acceptent de partager. À savoir que vous devez aussi demander la permission de manière à ce que vous puissiez le prouver plus tard.
Demander l’accord parental aux enfants de moins de 16 ans
Pour les moins de 16 ans, il faut qu’un parent donne son accord à l’utilisation des données de son enfant.
Expliquer quelles informations vous collectez, comment et pourquoi
Expliquez quelles données vous recueillez, à travers quels moyens (par l’utilisation de cookies par exemple) et à quelles fins. Une bonne ligne directrice est de ne collecter que les informations dont vous avez strictement besoin pour compléter une action. Ne demandez pas de données superflues. Si, par exemple, vous avez besoin du nom et de l’adresse email de quelqu’un pour lui envoyer une newsletter, nul besoin de lui demander sa date et lieu de naissance. Cette information n’est pas nécessaire à l’action que vous voulez entreprendre.
Offrir la possibilité de retirer ce consentement
À tout moment, l’utilisateur doit pouvoir retirer le consentement qu’il ou elle vous a donné. Il doit être aussi facile de donner le consentement que de le retirer. Donc, si par exemple, un utilisateur vous a donné son consentement pour lui envoyer une newsletter, il doit pouvoir à tout moment, se désabonner facilement, à travers un bouton « se désabonner » sur votre newsletter.
Donner accès aux utilisateurs à leurs données personnelles
Vos utilisateurs doivent, à tout moment, pouvoir demander l’accès à leurs informations. Et il vous incombe non seulement de le faire, mais de leur expliquer la démarche à suivre pour le faire. Par exemple, expliquez-leur qui contacter et comment pour avoir une copie des informations qui les concernent.
Informer du droit au transfert
Il vous faut informer vos utilisateurs qu’ils ont le droit de demander le transfert de leurs données vers d’autres services. Et il vous incombe, encore une fois, de respecter ce droit.
Informer du droit d’information quant à la modification de leurs données
Vous devez informer vos clients qu’ils ont le droit d’être informés, au plus vite, si jamais vous modifiez ou supprimez leurs données.
Respecter le droit à l’oubli
Vos clients ont le droit de demander que toute information les concernant soit supprimée, dans un délai raisonnable d’un mois. Il faut tout de même savoir que cela n’inclut pas les données que vous devez collecter par souci administratif, légal ou de sécurité.
Alerter vos utilisateurs d’une violation des données dans les 72 heures après la découverte
Informer à quelle fréquence votre politique de confidentialité (contenant toutes ces informations) est revue
4. Sécurisez vos données
Stockez les données collectées dans plusieurs endroits sécurisés et protégez-les avec des mots de passe puissants.
Qu’est-ce que je risque si mon entreprise ne respecte pas le RGPD ?
Une amende de 20 millions d’euros ou l’équivalent de 4% de votre chiffre d’affaires annuel (somme la plus importante des deux). Eh oui, l’UE ne rigole pas ! Mais avant d’en arriver là, plusieurs avertissements vous seront envoyés. Sans réaction de votre part, une amende vous sera infligée.
J’habite en dehors de l’UE, pourquoi alors est-ce que je reçois moi aussi des notifications de sites web ces derniers temps ?
C’est bien connu, le web ne connaît pas de frontières… Donc même si le RGPD est européen, il trouve le moyen de s’immiscer sur tous les continents. Et ce, pour une raison simple : ce serait compliqué pour les sites web d’avoir deux politiques de confidentialité et de les implémenter chacune à leur rythme. Tout le monde profite finalement de la totalité ou d’une partie des droits et des protections accordés par le RGPD.
Pour aller plus loin, quelques liens utiles
Plusieurs sites web et applications ont créé des outils et FAQ pour le RGPD. En voici quelques-uns :
- https://blog.mailchimp.com/gdpr-tools-from-mailchimp/
- https://assessment.microsoft.com/gdpr-compliance
- https://www.facebook.com/business/gdpr
Et surtout, si vous avez la moindre difficulté, une seule adresse à retenir : contact@bulle-digitale.com 🙂
Sources :
CNIL : https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement [ 2018 – France ]
DPMS : https://www.dpms.eu/rgpd/auto-entrepreneur-rgpd-faire/ [ 30 mai 2018 ]
Spice works : https://community.spiceworks.com/topic/2007530-how-the-eu-can-fine-us-companies-for-violating-gdpr [ 21 Juin 2017 – États Unis ]
EU GDPR : https://www.eugdpr.org/gdpr-faqs.html