Comment rendre votre site Web conforme au RGPD

Beaucoup de nos utilisateurs nous ont posé des questions sur le RGPD : qu'est-ce que cela signifie ? A qui et à quoi s'applique-t-elle ? Comment cela m'affecte-t-il en tant qu'entreprise ? Nous savons que bien que de nombreuses informations circulent sur le net, une partie de ces informations peut être incomplète, incorrecte ou trompeuse.

C'est pourquoi nous avons contacté l'un des principaux cabinets d'avocats britanniques, Fladgate, un cabinet spécialisé dans la propriété intellectuelle. Ils ont eu la gentillesse d'offrir des réponses complètes et professionnelles sur le sujet, incluses dans cet article.

Vous trouverez ci-dessous des directives lisibles et faciles à comprendre pour le RGPD, en ce qui concerne les sujets pertinents pour les créateurs de sites Elementor. Il est rédigé sous forme d'écrit juridique, il est donc un peu différent de notre jargon de blog habituel, mais nous pensons que c'est le meilleur (et le seul) moyen de comprendre clairement les règles du RGPD. Nous tenons à remercier Eddie Powell de Fladgate, pour avoir composé et clarifié ces directives élaborées et complètes pour notre communauté.

Les questions auxquelles répond cet article sont les suivantes :

Qu'est-ce que le RGPD et pourquoi est-il important ?

Quelles sont les règles de base du RGPD ?

Quelles données personnelles puis-je utiliser et comment pourraient-elles être utilisées ?

Puis-je transférer des données personnelles à un tiers ?

Quels droits les individus ont-ils contre les entreprises ?

Comment dois-je, en tant que propriétaire d'entreprise, protéger les données personnelles sur mon site Web ?

Le RGPD signifie Règlement général sur la protection des données. Il s'agit du nouvel ensemble de règles formulées par l'UE régissant la manière dont les entreprises détiennent et utilisent les données personnelles des individus.

La plupart des gens ont entendu parler des amendes qui peuvent être imposées aux entreprises qui enfreignent les règles. Ceux-ci peuvent représenter jusqu'à 20 millions d'euros ou, pour des groupes d'entreprises particulièrement grands, 4 % du chiffre d'affaires mondial du groupe, ce qui peut représenter une somme d'argent colossale.

Plus important encore, la publicité associée au non-respect des règles de protection des données peut nuire considérablement à la réputation d'une entreprise et amener les clients et les fournisseurs à ne pas lui faire confiance. De plus, les nouvelles affaires seront affectées si les clients ne font pas confiance à l'entreprise avec les informations et qu'elle maintiendra un niveau élevé de confidentialité. Les clients veulent se sentir en contrôle de leurs informations personnelles.

Les règles s'appliquent aux « données personnelles ». Les données personnelles comprennent des éléments évidents tels que les noms, adresses et coordonnées des personnes, etc. Elles comprendront également une liste d'adresses e-mail où vous pourrez identifier la personne à partir de son adresse (par exemple [email protected] - vous pouvez dire que Bob Smith travaille chez Universal Widgets) et adresses IP. Les informations cesseront d'être des données personnelles si vous les anonymisez afin que vous ne puissiez jamais déterminer qui est un individu à partir de l'ensemble d'informations.

Le RGPD stipule que vous ne pouvez pas simplement collecter, stocker, utiliser et transférer ces données personnelles (toutes celles-ci sont appelées « traitement ») simplement parce qu'elles sont stockées sur le système de votre entreprise. Vous devez réfléchir à ce que vous voulez faire et appliquer les règles.

Vous devez avoir l'un des 6 motifs spécifiés par le RGPD. Les principaux pour nos objectifs sont :

• exécuter un contrat avec l'individu ou utiliser les informations pour mettre un contrat en place ;
• se conformer à une obligation légale (pas un contrat avec une autre société) à laquelle l'entreprise est soumise – comme le respect des règles de lutte contre le blanchiment d'argent ou la prévention du crime ;
• lorsque la personne a donné son consentement (qui doit être spécifique, éclairé et sans ambiguïté) à ce que vous voulez faire de ses informations ; et
• lorsque le traitement que vous souhaitez effectuer est nécessaire à l'intérêt légitime de l'entreprise, mais mis en balance avec les droits et intérêts de la personne concernée, qui sera intéressée par sa vie privée.

Il existe des règles spéciales lorsque vous traitez avec des enfants où vous devez vérifier leur consentement auprès de leurs parents. Il existe également des règles spéciales pour le traitement des informations sur les condamnations pénales des personnes et pour ce que la loi appelle des « catégories spéciales » qui incluent des informations sur :

• Santé
• Ethnicité
• Orientation sexuelle
• Opinions politiques
• Religion
• Adhésion syndicale
• Données génétiques et biométriques.

Il convient également de se rappeler qu'il existe des règles spéciales (ne faisant pas partie du RGPD) pour le marketing par e-mail et SMS - ne supposez pas que, parce que vous avez l'adresse e-mail ou les coordonnées de quelqu'un, vous pouvez lui envoyer des communications marketing via ces canaux. Vous devez leur avoir donné la possibilité de se retirer de ces communications lorsque vous avez collecté les informations, et toujours inclure la possibilité pour eux de vouloir se désinscrire des futures communications marketing.

Si vous souhaitez utiliser des données personnelles pour quelque chose, comme une nouvelle implémentation logicielle, un nouveau projet de base de données ou pour fournir un service plus personnalisé aux clients, il est vraiment important de ne pas simplement supposer qu'il est acceptable de prendre des données personnelles existantes qui peuvent être sur les systèmes de l'entreprise et l'utiliser. Vous devez penser aux bases qui ont été discutées ci-dessus et, en particulier, vous demander s'il peut y avoir des données de catégorie spéciale qui pourraient être incluses, car les règles à leur sujet sont tellement plus strictes.

Si vous collectez des informations supplémentaires pour votre objectif déclaré, assurez-vous de ne collecter que ce dont vous avez réellement besoin. Ne demandez pas aux personnes de fournir plus que ce qui vous est nécessaire pour atteindre l'objectif dont elles ont été informées.

La personne doit être informée en termes très clairs de ce qui se passe avec ses informations personnelles. Ceci comprend:

• les coordonnées de votre entreprise et vos coordonnées ;
• quelle est la finalité du traitement des données ;
• à qui vous allez envoyer les données ;
• si vous avez l'intention d'exporter les données vers un autre pays ;
• combien de temps vous conserverez les données ; et
• des informations sur les droits de retrait du consentement et d'autres droits découlant du RGPD.

Ces informations doivent être fournies en vertu du RGPD lors de la collecte des informations ou (si les informations sont reçues indirectement) dans le mois suivant leur réception. Votre entreprise doit disposer de formulaires standard qui vous permettront de fournir ces informations – ils doivent toujours être utilisés lorsque de nouvelles données personnelles sont collectées.

Une fois que vous vous êtes conformé à ce qui précède, exécutez votre projet prévu, mais respectez-le et assurez-vous de supprimer toutes les données personnelles qui ne sont pas nécessaires ou qui ne pourraient pas être légitimement conservées. N'oubliez pas que si vous modifiez vos plans ou décidez de faire autre chose avec les données personnelles, vous devez recommencer les étapes et refaire l'exercice.

Soyez particulièrement prudent lorsque vous utilisez des données personnelles qui ont été collectées pour votre entreprise et que vous souhaitez maintenant transmettre à un tiers.

Vous devez réfléchir aux étapes de conformité de base ci-dessus et vous assurer que vous avez satisfait aux motifs juridiques du traitement et que la personne a reçu toutes les informations nécessaires à ce sujet.

Si le destinataire effectue un travail pour vous (comme un fournisseur de services de paie) sur vos instructions, alors il sera votre « processeur » et vous devez avoir un contrat écrit avec lui qui comprend certaines garanties de sécurité et de conformité.

Il est très peu probable que vous puissiez recevoir ou transférer des « catégories spéciales » de données, et si cela devient nécessaire, vous devez vous assurer de vérifier auprès de l'équipe de conformité de votre entreprise.

Il existe également des règles spéciales si vous souhaitez transférer des informations vers un pays situé en dehors de l'UE, où les lois sur la protection des données personnelles peuvent ne pas être aussi strictes. Vous devrez peut-être utiliser des formulaires types de contrats avec l'entreprise ou l'organisation qui va recevoir les données personnelles ou prendre d'autres dispositions qui garantiront le respect des droits de l'individu.

Le RGPD donne aux individus un certain nombre de droits contre les entreprises détenant leurs données personnelles. Ceux-ci inclus

• Rectification – toute erreur ou inexactitude doit être corrigée ;
• Accès – une copie des données et les détails de leur utilisation doivent être fournies ;
• Cessation du traitement – cesser toute utilisation des données personnelles d'une personne
• Effacement (le droit à l'oubli) - suppression de tous les enregistrements concernant l'individu
• Portabilité – transfert de données personnelles détenues dans un format lisible par machine à l'individu ou à un autre fournisseur.

Le RGPD ne précise pas les niveaux de sécurité ; il dit simplement que les entreprises doivent avoir un niveau adéquat de sécurité technologique et organisationnelle, de sorte que votre entreprise aura mis en place des procédures de sécurité conçues pour vous aider à vous conformer à cette exigence. Obéissez-leur toujours.

N'oubliez pas que ce ne sont pas seulement les cyberattaques à grande échelle qui peuvent constituer une violation de la sécurité des données personnelles. Ce sont souvent les petites choses qui causent les plus gros problèmes, comme les données personnelles stockées dans les appareils mobiles qui sont perdues ou les ordinateurs portables non cryptés qui sont laissés dans les espaces publics. L'une des principales causes de perte de données personnelles est que les e-mails s'égarent en raison de la saisie semi-automatique de la mauvaise adresse e-mail.

Le RGPD oblige les entreprises à informer les autorités de toute violation de la sécurité, et votre entreprise sera dans l'obligation de conserver un enregistrement de toute violation, même mineure, afin que la direction puisse prendre une décision sur ce qui doit être notifié. . Assurez-vous que toute perte impliquant des données personnelles, même si elle est rapidement corrigée ou n'est pas susceptible de causer des dommages, est signalée conformément à la politique de votre entreprise.

Eddie Powell est partenaire de l'équipe Commercial Sport and IP chez Fladgate LLP solicitors à Londres. Pour plus d'informations, voir https://www.fladgate.com/lawyer/eddie-powell/

Quelles mesures avez-vous prises pour rendre votre site conforme au RGPD ? Faites-nous savoir dans les commentaires ci-dessous.