Le RGPD est le règlement général sur la protection des données. Parce que c’est important ? Quelles sont les exigences pour être conforme et les rôles impliqués ?
Le RGPD signifie Règlement général sur la protection des données et est l’une des lois les plus strictes au monde sur la protection de la vie privée et des données, mais peu d’organisations se conforment pleinement à ses statuts.
Le RGPD réglemente généralement les pays de l’Union européenne (UE) et de l’Espace économique européen, mais son cadre a été adopté dans de nombreuses lois majeures sur la confidentialité des données à travers le monde.
Les entités non conformes pourraient être passibles d’amendes pouvant atteindre 20 millions d’euros ou de pénalités de 2 à 4 % du chiffre d’affaires mondial annuel (selon le montant le plus élevé). Depuis 2018, le Bureau du Commissaire à l’information (ICO) applique les normes GDPR.
Cet article décrit les normes établies par le RGPD et fournit une liste de contrôle pour aider les organisations à rester conformes.
Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD)
Le RGPD est le produit de la réforme audacieuse de la protection des données de l’Union européenne (UE). Des normes strictes de confidentialité sont entrées en vigueur le 25 mai 2018 pour protéger les droits des personnes. Ce cadre de cybersécurité vise à protéger les données personnelles de toutes les personnes dans l’Union européenne.
Le RGPD met à jour la Convention européenne des droits de l’homme de 1950 pour la rendre pertinente à l’ère numérique. L’article 8 de la convention stipule que toute personne a droit au respect de sa vie privée et familiale. À l’ère analogique, les frontières entre la vie publique et la vie privée étaient bien définies et facilement identifiables. Aujourd’hui, elles sont ambiguës et floues. Sans une norme claire et appliquée comme le RGPD, les utilisateurs ne peuvent jamais être sûrs que leurs données privées, et donc leur vie privée, sont respectées.
Pour compléter les efforts d’atténuation des risques liés au RGPD, l’Autorité de régulation prudentielle décrit ses normes de gestion des risques de tiers dans la déclaration prudentielle SS2/21.
Qu’entend-on par « données personnelles » dans le cadre du RGPD de l’UE ?
Aux termes de l’article 4 du RGPD, les données personnelles sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable. En d’autres termes, les données personnelles sont toutes les données liées à l’identité d’une personne vivante.
Les données personnelles ne sont pas seulement des images, des vidéos, des audios, des chiffres et des mots. Elles comprennent non seulement des associations directes, telles que des informations financières et des adresses, mais également des liens indirects, tels que des évaluations des modèles de comportement d’une personne.
Les informations inexactes sur les personnes concernées sont toujours considérées comme des données personnelles car ces informations sont liées à une identité. Si, toutefois, les informations sont associées à une entité fictive, elles ne sont pas considérées comme des données personnelles. Par exemple, si vous faites référence à un personnage fictif qui réside dans un lieu fictif, il ne s’agit pas de données personnelles.
Les données personnelles sont réparties en deux catégories : ceux qui contrôlent les données et ceux qui traitent les données (contrôleurs vs sous-traitants).
A qui s’applique le RGPD ?
Le RGPR a un impact sur toute organisation qui offre des biens et des services aux personnes dans l’UE. Cela inclut les entités qui ne sont pas situées dans l’UE. Si vous gérez une entreprise en ligne, vous ne savez jamais avec certitude si les personnes avec lesquelles vous effectuez des transactions se trouvent dans l’UE. Pour cette raison, toutes les activités en ligne doivent être conformes au RGPD en tant que mesure de protection.
-Les contrôleurs de données
Le RGPD définit un responsable du traitement comme toute personne physique, autorité publique, agence ou autre organisme qui détermine la finalité et le traitement des données personnelles. Les contrôleurs décident de la manière dont les données personnelles sont traitées.
Par exemple, une école de musique utilise un écran numérique pour avertir les parents dans la salle d’attente lorsque chaque enseignant est prêt. L’écran affiche le nom de chaque enfant et le numéro de salle de son cours de musique.
L’école de musique est classée comme un « contrôleur de données » des données personnelles car elle décide de la manière dont le système de notification traitera toutes les données.
– Responsable du traitement des données
Le RGPD définit tout individu, autorité publique, agence ou autre organisme qui traite des données personnelles pour le compte d’un responsable du traitement. Étant donné que les processeurs de données exécutent les règles de traitement des données établies par le responsable du traitement, ils ne prennent pas de décisions sur la manière dont les données personnelles sont traitées.
Par exemple, une société de logiciels engage un spécialiste du marketing pour une prochaine campagne par e-mail. Le marketeur reçoit les noms et adresses e-mail de tous les prospects afin que des « e-mails » personnalisés puissent être envoyés à tout le monde (il s’agit d’un e-mail non sollicité qui est envoyé à un destinataire sans préavis).
L’éditeur de logiciels est classé comme responsable du traitement des données car il détermine la manière dont les données doivent être traitées. Le commercialisateur est qualifié de « sous-traitant » car il exécute les instructions de traitement des données de l’éditeur de logiciels.
Puisqu’ils traitent des données personnelles, même si les processus suivent les directives du propriétaire, ils doivent dans tous les cas se conformer au RGPD.
Pour être conforme, vous devez vous assurer que vous :
1. Connaître toutes les données collectées par votre entreprise ;
2. Nommer un délégué à la protection des données
3. Créez un registre RGPD pour cartographier les processus de votre entreprise/organisation
4. Évaluer les exigences en matière de collecte de données
5. Signalez immédiatement les violations de données
6. Soyez transparent sur la raison de la collecte des données
7. Vérifier l’âge de tous les utilisateurs qui consentent aux activités de traitement des données
8. Inclure un double opt-in pour toutes les nouvelles inscriptions à la liste de diffusion
9. Gardez votre politique de confidentialité à jour
10.Évaluer régulièrement tous les risques tiers
Nous vous parlerons de tout cela plus en détail prochainement.
Amen.fr dispose d’une solution RGPD automatisée et sécurisée pour aider les entreprises et les particuliers à rester conformes au RGPD et aux réglementations applicables en matière de protection des données en ligne. Il s’agit d’une solution fournie par Iubenda, une solution choisie par plus de 90 000 clients dans plus de 100 pays.
Il s’agit d’un outil simple et rapide qui aide votre site Web à rester conforme au RGPD en identifiant et en corrigeant les vulnérabilités de sécurité spécifiques ayant un impact sur la réglementation.
Grâce à notre scanner, les entreprises et les organisations peuvent commencer à évaluer leur conformité au RGPD et y remédier en proposant un service en ligne conforme à la loi.
Nos solutions de conformité en ligne, vous permettent également de suivre la conformité des tiers aux réglementations les plus répandues. Elles identifient toutes les lacunes de conformité qui exposent les tiers à un risque plus élevé d’amendes réglementaires et de violations de données.
Découvrez nos solutions de conformité en ligne. Nous avons créé un pack pour chaque type d’entreprise, afin que vous puissiez répondre à toutes les exigences légales en fonction de vos besoins.
Amen.fr vous accompagne dans la création de votre présence en ligne avec des produits pour chaque besoin, et afin d’être complet, Nous avons ajouté un service de conformité en ligne.
