Que dois-je savoir sur la législation RGPD ?

législation sur la protection de la vie privée

La législation sur la protection des données personnelles n'est pas nouvelle. Au sein de l'Union européenne (UE), chaque État membre dispose actuellement de sa propre loi en la matière. Ces lois nationales s'appuient toutes sur la directive européenne de 1995 relative à la protection des données personnelles. Aux Pays-Bas, la transposition nationale de cette directive est la loi néerlandaise sur la protection des données personnelles (Wbp).

Règlement général sur la protection des données est entré en vigueur le 25 mai 2018. Depuis cette date, une loi unique en matière de protection de la vie privée s'applique dans toute l'UE. La Convention européenne des droits de l'homme (CEDH) n'est plus applicable, mais ses principes fondamentaux demeurent au cœur du RGPD. L'Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) veille au respect des règles légales en matière de protection des données personnelles.

Quel est l’objectif général du RGPD ?

Le Règlement général sur la protection des données (RGPD) vise à protéger les citoyens de l'UE en matière de protection de la vie privée et de données personnelles. Il leur confère des droits concernant le partage de leurs données personnelles avec les organismes qui les collectent, les stockent et les traitent.

À qui s'applique le RGPD ?

Le RGPD s'applique à toute organisation qui collecte des données personnelles de citoyens de l'UE. Une organisation n'a pas besoin d'être établie dans l'UE pour être soumise au RGPD. Si une organisation est située hors de l'UE et collecte des données personnelles provenant de citoyens de l'UE, le RGPD s'applique à cette organisation.

Qu'est-ce qui va changer ?

Le nouveau RGPD renforce la réglementation par rapport à la loi actuelle sur la protection des données personnelles. Au final, beaucoup de choses restent inchangées. La minimisation des données, le droit à l'oubli, les obligations d'information et les accords de traitement des données ont toujours fait partie de la loi, même si parfois sous d'autres appellations.
Une politique de confidentialité solide, une déclaration de confidentialité claire, des accords solides entre responsables du traitement et sous-traitants, ainsi qu'une procédure de gestion des violations de données demeurent également essentiels.

Le nouveau RGPD a considérablement renforcé de nombreuses règles existantes et introduit plusieurs nouvelles obligations. Il met davantage l'accent sur la responsabilité des organisations elles-mêmes de se conformer à la loi et de pouvoir démontrer cette conformité.

Que puis-je faire moi-même ?

En tant qu'organisation, vous pouvez d'ores et déjà prendre des mesures pour vous conformer au RGPD. Pour vous y aider, l' Autorité néerlandaise de protection des données listé les 10 étapes les plus importantes.

Que sont les données personnelles ?

Le RGPD définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable. Il existe de nombreux types de données personnelles. Les données évidentes comprennent le nom, l'adresse et le lieu de résidence d'une personne. Mais les numéros de téléphone et les codes postaux avec numéro de rue sont également des données personnelles. Les données sensibles, telles que l'origine ethnique, la religion ou la santé d'une personne, sont appelées « catégories particulières » de données personnelles. Celles-ci bénéficient d'une protection renforcée par la loi.

Qu’implique le traitement des données personnelles ?

Le traitement désigne l'ensemble des opérations qu'une organisation peut effectuer sur des données à caractère personnel, de la collecte à la destruction. La loi cite comme exemples de traitement : la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou la mise à disposition, le rapprochement ou l'interconnexion, la limitation du traitement, l'effacement et la destruction des données.
La loi stipule qu'une organisation ne peut traiter des données à caractère personnel que si ce traitement est nécessaire à une finalité spécifique.

Principes de traitement

Le RGPD introduit des principes fondamentaux auxquels tout traitement de données personnelles doit se conformer :

• Les données personnelles doivent être traitées de manière équitable, licite et transparente ;
• Les données personnelles ne peuvent être traitées que pour une finalité spécifique et explicite ;
• seules les données personnelles nécessaires à la finalité peuvent être traitées ;
• Les données doivent être correctes et à jour ;
• si l’identification n’est plus nécessaire à cette fin, les données personnelles doivent être effacées ou anonymisées, et ;
• Les données personnelles doivent être sécurisées par des mesures techniques et organisationnelles.

Terminologie du contrôleur/processeur

Le RGPD utilise les termes « responsable du traitement » et « sous-traitant » au lieu des termes « responsable » et « sous-traitant » de la loi néerlandaise sur la protection des données personnelles (Wbp). La traduction néerlandaise du RGPD donne les définitions suivantes :

Responsable du traitement des données :
Personne physique ou morale, autorité publique, agence ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel. Il s’agit des clients de Teqa qui achètent i-Reserve

Sous-traitant :
Personne physique ou morale, autorité publique, agence ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. En l’occurrence, nous sommes notre organisation, fournisseur d’ i-Reserve d’hébergement i-Reserve .

La personne concernée
est la personne dont les données personnelles sont traitées par une organisation. Autrement dit, la personne à qui se rapportent les données personnelles. Il s'agit de vos clients, les utilisateurs finaux.

Traitement des données personnelles sensibles.
Outre les données personnelles classiques, la loi reconnaît également les données personnelles sensibles. Il s'agit de données si sensibles que leur traitement pourrait porter gravement atteinte à la vie privée d'une personne. En vertu du RGPD, le traitement des données personnelles sensibles est interdit, sauf exception.

Les données personnelles sensibles sont les données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques permettant d'identifier une personne de manière unique, les données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle. Ces données ne peuvent donc être traitées que dans des conditions très strictes.

Quels sont les changements les plus importants pour les organisations ?

Si le Règlement général sur la protection des données (RGPD) s'applique, les organisations qui traitent des données personnelles ont davantage d'obligations.

exigence
impose aux organisations de pouvoir démontrer qu'elles ont obtenu le consentement valable des personnes concernées pour le traitement de leurs données personnelles. Il doit également être aussi facile pour ces personnes de retirer leur consentement que de le donner. Ce consentement doit être une expression de volonté sans équivoque. Fini les cases pré-cochées ! La demande de consentement doit être claire, compréhensible et présentée dans un langage simple.
En définitive, les organisations doivent être en mesure de prouver que la personne concernée a donné son consentement. Les personnes concernées ont le droit de retirer leur consentement à tout moment, et ce droit doit leur être communiqué.

REMARQUE :
Demander le consentement pour le stockage des données personnelles n'est pas toujours nécessaire, par exemple si les données stockées se limitent à ce qui est nécessaire à l'exécution du contrat. Dans les autres cas, le consentement est obligatoire. Pour savoir ce qui s'applique à vous, cliquez ici .

Obligation administrative :
Le RGPD impose une obligation de documentation, ce qui signifie que l’organisation doit être en mesure de démontrer qu’elle agit conformément au RGPD. Cela inclut le consentement, les informations fournies, les droits des personnes concernées, la sécurité des données, la minimisation du traitement et les accords avec les sous-traitants. Par conséquent : Cartographiez les activités de traitement des données au sein de l’organisation. De nombreuses organisations devront mettre à jour leur politique de confidentialité, et cela est essentiel. L’absence d’une politique de confidentialité (complète) entraînera rapidement une amende importante.

Dès l'entrée en vigueur du RGPD, l'obligation pour les organismes de protection des données de déclarer les traitements de données à l'autorité de contrôle ne s'appliquera plus. Les organismes devront alors tenir un registre des activités de traitement (« registre des traitements ») effectuées sous leur responsabilité.

Accord de traitement des données :
La conclusion d’un accord de traitement des données n’est pas nouvelle, puisqu’elle est déjà obligatoire en vertu de la loi néerlandaise sur la protection des données (Wbp). Aux termes du RGPD, cet accord sera désormais appelé « accord de traitement des données » et s’appliquera entre le responsable du traitement des données à caractère personnel et le sous-traitant (actuellement appelé « sous-traitant »). La nouveauté réside toutefois dans le fait que le RGPD spécifie plusieurs éléments obligatoires de cet accord, notamment :

• la finalité du traitement ;
• le type de données personnelles traitées ;
• les catégories de personnes concernées ;
• que des mesures de sécurité appropriées seront prises ;
• que le sous-traitant coopère aux audits pour vérifier s'il respecte toutes ses obligations, et ;
• après traitement, destruction ou restitution des données personnelles au responsable du traitement

Désormais, le sous-traitant ne sera plus autorisé à faire appel à un tiers pour le traitement des données personnelles sans le consentement écrit préalable du responsable du traitement.

Analyse d'impact relative à la protection des données (AIP).
Une analyse d'impact relative à la protection des données (AIPD) est un outil essentiel permettant aux organisations d'évaluer leur impact sur la protection de la vie privée. L'AIPD leur permet d'intégrer systématiquement la protection des données personnelles dans leur équilibre des intérêts et leur processus décisionnel.

La loi sur la protection des données personnelles (LPD) précise les raisons, les modalités et la durée du traitement des données personnelles. Une analyse d'impact relative à la protection des données est obligatoire si le traitement des données personnelles, notamment au moyen de nouvelles technologies, présente des risques pour les personnes concernées.

Obligations de notification des violations de données :
La loi néerlandaise prévoit déjà une obligation de notification des violations de données. Cette obligation est également intégrée au RGPD et reste globalement inchangée. Toutefois, le RGPD impose des exigences plus strictes concernant la tenue des registres des violations de données survenues au sein de votre organisation. Vous êtes tenu de documenter toutes les violations de données.

Prévenez le stress en planifiant à l'avance votre réaction en cas de risque de sécurité. Par exemple, en tant que responsable du traitement des données, vous devez, dans certains cas, signaler une violation de données à l'Autorité néerlandaise de protection des données dans un délai de 72 heures. Si la violation est susceptible de présenter un risque élevé pour les personnes concernées, ces dernières doivent également en être informées. Par conséquent, définissez en amont une procédure de gestion des incidents de sécurité, permettant aux personnes compétentes de prendre rapidement les décisions relatives aux actions à entreprendre.

L’autorité néerlandaise de protection des données a publié des règles de politique générale concernant la notification des violations de données.

Vous pourriez avoir besoin d'un délégué à la protection des données
(DPO). Le DPO est une personne indépendante au sein de l'organisation qui conseille et rend compte de la conformité au RGPD. Bien que le DPO ne soit pas obligatoire en vertu de la loi néerlandaise sur la protection des données (Wbp), il l'est en vertu du RGPD dans certaines situations. La loi exige la désignation d'un DPO lorsque vous traitez des données personnelles sensibles, telles que des données de santé, à grande échelle, ou si vous observez régulièrement des personnes (physiquement ou numériquement). Le DPO peut être désigné en interne ou en externe.

Droits des personnes concernées
 : Les données personnelles doivent être traitées de manière licite, loyale et transparente à l’égard de la personne concernée. La transparence est primordiale : la personne concernée doit être informée du traitement de ses données personnelles. Toutes les informations doivent être communiquées dans un langage simple et clair.
Outre les droits bien connus d’accès, de rectification et d’opposition, le RGPD accorde également à la personne concernée :

• le droit à l'oubli,
• le droit à la portabilité des données (également appelé portabilité des données),
• le droit de restreindre le traitement et
• Droit d’opposition à certains traitements. La personne concernée a le droit de s’opposer à tout moment au traitement de ses données à des fins de prospection commerciale. En cas d’opposition, ses données ne pourront plus être traitées à des fins de prospection.

Droit d’accès :
Toute personne concernée a le droit d’obtenir du responsable du traitement la confirmation que ses données à caractère personnel sont traitées. Lorsque des données à caractère personnel sont traitées, la personne concernée a le droit d’obtenir des informations sur ces données. Elle a notamment le droit d’obtenir des informations sur :

• les finalités du traitement ;
• les catégories de données personnelles concernées ;
• les destinataires auxquels les données personnelles sont communiquées ;
• la période de stockage ;
• le fait que la personne concernée a le droit de demander la rectification, l’effacement ou la limitation du traitement et le droit de s’y opposer ;
• le fait que la personne concernée puisse déposer une plainte.

Droit de rectification et droit d'opposition.
Toute personne concernée a le droit d'obtenir du responsable du traitement la rectification de ses données personnelles inexactes. Cette rectification doit être effectuée sans délai excessif. La personne concernée peut s'opposer à certains types de traitement de données, ce qui peut entraîner l'arrêt du traitement de ses données personnelles. Prenons l'exemple d'une organisation qui utilise des données personnelles à des fins de prospection. (Actuellement, un droit d'opposition absolu existe déjà pour la prospection directe. Si une personne concernée exerce ce droit, vous ne pourrez plus la contacter à des fins de prospection.)

Droit à l'oubli.
Dans certaines situations, la personne concernée a le droit d'obtenir l'effacement complet de ses données. Le RGPD renforce ce droit en instaurant le droit à l'oubli. Cela signifie que le responsable du traitement doit effacer les données personnelles sans délai excessif, par exemple lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Le RGPD exige également que, sur demande, le responsable du traitement informe les destinataires des données et leur communique leurs noms. Le responsable du traitement doit prendre des mesures raisonnables pour effacer les données, notamment tout lien, copie ou reproduction.

Découvrez également l'option permettant d'anonymiser dans i-Reserve .

Droit à la portabilité des données.
Le RGPD instaure le droit à la portabilité des données, c'est-à-dire la portabilité des données personnelles. Cela signifie que vous pourriez recevoir des demandes de vos clients souhaitant accéder à leurs données personnelles. Ce droit s'applique à toutes les données numériques traitées par une organisation avec le consentement de la personne concernée, ainsi qu'aux données nécessaires à l'exécution d'un contrat. L'historique de recherche et les données de géolocalisation sont également concernés par ce droit. En tant qu'organisation, vous êtes alors légalement tenu de fournir ces données dans un format structuré, couramment utilisé et lisible par machine. Vous pouvez vous y préparer en réfléchissant à la manière dont vous mettrez ces données à disposition. Par exemple, vous pouvez utiliser un outil permettant à vos clients de télécharger leurs données directement et en toute sécurité.

Si cela est techniquement possible, le responsable du traitement des données doit transmettre directement les données à un autre responsable du traitement. Cela peut se faire, par exemple, au moyen d'une interface de programmation d'application (API), qui permet une connexion entre votre système et une application appartenant à un tiers.

Dans i-Reserve télécharger lui-même ses données , l'administrateur peut exporter ou transmettre des données via une API .

Protection des données par défaut et protection des données dès la conception
Le RGPD introduit une obligation de protéger les données par le biais de paramètres standard (protection des données par défaut) et par le biais de fonctionnalités ajustables (protection des données dès la conception) au sein du logiciel.

L’exigence de protection des données par défaut signifie que vous devez mettre en œuvre des mesures techniques et organisationnelles afin de garantir que, par défaut, vous ne traitez que les données personnelles nécessaires à la finalité spécifique que vous poursuivez. Par exemple, lorsque les utilisateurs peuvent modifier leurs paramètres de confidentialité, ceux-ci doivent être configurés par défaut au niveau le plus élevé.

L’obligation de protection des données dès la conception signifie que vous devez veiller à ce que les données personnelles soient protégées lors de la conception de produits, de services et de processus organisationnels.

Exemples :

• Lors du développement d'une application, ne permettez pas aux utilisateurs d'enregistrer leur localisation si cela n'est pas nécessaire ;
• Ne cochez pas à l'avance la case « Oui, je souhaite recevoir des offres » sur le site web ;
• Si quelqu'un souhaite s'abonner à une newsletter, ne demandez pas plus de données que nécessaire.

Cliquez ici pour découvrir comment i-Reserve sécurise et protège les données personnelles .

La sécurité doit être irréprochable et le rester
. La protection des données personnelles est cruciale. Sans chiffrement, sans authentification à deux facteurs et sans possibilité de séparer et d'effacer en toute sécurité les informations personnelles, votre organisation prend un risque considérable.

Infractions et sanctions :
L’amende maximale par infraction à la loi néerlandaise sur la protection des données (Wbp) est actuellement de 900 000 €. Le RGPD confère aux autorités nationales de contrôle des pouvoirs accrus pour sanctionner les infractions. Les amendes sont substantielles et peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial en cas de non-respect de la loi. Aux Pays-Bas, les amendes sont prononcées par l’autorité de contrôle compétente : l’Autorité néerlandaise de protection des données (AP).
Vous souhaitez en savoir plus ? Consultez la FAQ sur autoriteitpersoonsgegevens.nl.

Cookies, spams, courriels, télémarketing et RGPD.
Les règles relatives à la gestion des communications électroniques, telles que les cookies, le suivi Wi-Fi et les courriels, ne sont pas définies par le RGPD. Elles relèvent de la directive ePrivacy , une législation européenne existante qui sera mise à jour en 2018. La directive ePrivacy est également connue sous le nom de « loi sur les cookies ». L’Union européenne souhaite mettre en œuvre ces règles modifiées parallèlement au RGPD, offrant ainsi aux citoyens une meilleure protection de leurs données personnelles. Plus généralement, ce texte juridique établit les règles que les organisations doivent respecter pour garantir la confidentialité des communications numériques.