Guide du RGPD : le règlement général sur la protection des données

Publié: 2021-03-09

Le règlement général sur la protection des données (RGPD) a été adopté en mai 2018 dans le but de protéger les citoyens contre les violations de données dues à la négligence ou à de mauvais acteurs. La réglementation européenne est l'une des nombreuses qui tentent de rendre les environnements numériques plus sûrs pour les consommateurs : CCPA en Californie, LGPD au Brésil, PIPL en Chine, PIPEDA au Canada.

Le RGPD est une réponse à l'inquiétude croissante du public en Europe concernant la confidentialité des données. L'Union européenne a utilisé le règlement pour garantir la protection des données dans l'UE et les Espaces économiques européens avec une application stricte des règles, des pouvoirs d'enquête et des amendes substantielles en cas de non-conformité ou en cas de violation de données.

Le RGPD offre aux consommateurs des protections de données, notamment :

  1. Le droit d'être informé
  2. Le droit d'accès
  3. Le droit de rectification
  4. Le droit à l'effacement
  5. Le droit de limiter le traitement
  6. Le droit à la portabilité des données
  7. Le droit d'opposition
  8. Droits relatifs à la prise de décision automatisée et au profilage

Qui doit se soucier de la conformité GDPR

Il va sans dire que si vous êtes une entreprise européenne ou une entreprise qui fait des affaires en Europe, vous devez connaître les exigences du RGPD.

Les entreprises aux États-Unis doivent également prêter attention au RGPD car, bien que le règlement soit spécifique à l'Europe, il affecte les entreprises en dehors de l'UE et de l'EEE qui traitent également les données des consommateurs européens. L'économie mondiale n'est pas isolée et il y a beaucoup de retombées ; vous devez vérifier les fournisseurs avec lesquels vous travaillez pour vous assurer qu'ils répondent aux exigences de conformité afin d'éviter toute responsabilité.

Si vous êtes une entreprise de commerce électronique, vous êtes, en tant que commerçant, le responsable du traitement des données de vos consommateurs. Choisir les bons partenaires avec qui travailler fera partie de la façon dont vous atteindrez une conformité totale. Par exemple, Shopify dispose de nombreuses ressources liées au RGPD pour vous aider à comprendre vos obligations et à démontrer leur propre conformité.

Les consommateurs américains devraient également s'intéresser au RGPD, car cela pourrait leur être bénéfique sans même qu'ils le sachent. Le GDPR garantit des protections non seulement pour les citoyens européens, mais également pour tous les consommateurs dont les données font l'objet d'un trafic en Europe, tels que ceux qui visitent pour des vacances ou des affaires. Il devrait également servir de rappel du type de données qui est et n'est pas protégé aux États-Unis.

Attitudes des consommateurs envers la protection des données

Le rapport RSA sur la confidentialité et la sécurité des données a interrogé plus de 7 500 consommateurs en France, en Allemagne, en Italie, au Royaume-Uni et aux États-Unis sur "l'impact de la confidentialité, des données et des réglementations sur leurs relations avec les entreprises".

Il a montré une méfiance à l'égard des spécialistes du marketing en ligne et une peur des pirates, car "plus de 40 % des personnes interrogées ont admis avoir falsifié des informations et des données personnelles lors de l'inscription à des produits et services en ligne" afin d'éviter d'être commercialisés ou de perdre des données sensibles.

80 % des personnes interrogées ont indiqué que les informations financières et bancaires constituaient une préoccupation pour la divulgation de données lors d'une violation de données, ainsi que pour leurs mots de passe (76 %) et leurs informations d'identité telles que les passeports et les permis de conduire (72 %).

Parmi les autres données démographiques intéressantes, 51 % des répondants allemands protègent leurs données génétiques et 51 % des jeunes de la génération Y (18 à 24 ans) craignent que des informations personnelles ne soient utilisées à des fins de chantage.

Il est impératif de créer un espace en ligne dans lequel les consommateurs peuvent avoir confiance, mais les entreprises sont également incitées à améliorer leurs pratiques en matière de sécurité des données : 82 % des répondants britanniques ont affirmé qu'ils boycotteraient une entreprise qui a constamment démontré qu'elle ne se souciait pas de protéger les données des clients.

Même si la menace de boycott n'est peut-être pas suffisante pour inciter les entreprises à s'autoréglementer, les pays européens ont mis au point un cadre réglementaire substantiel et progressiste qui oblige les entreprises à prendre au sérieux la question de la sécurité des données, et ils n'ont pas eu peur de prélever d'énormes amendes pour démontrer la gravité du problème.

Quel type de données personnelles est protégé par GDPR

Dans le cadre des vastes réglementations de conformité du RGPD, les entreprises doivent protéger les données des consommateurs, notamment :

  • Informations personnellement identifiables (PII), telles que le nom, l'adresse et les numéros d'identification.
  • Données Web, telles que les adresses IP, les données de cookies et les balises RFID.
  • Données de santé et génétiques.
  • Opinions politiques.
  • Orientation sexuelle.

Les avantages du RGPD

GDPR est complet et progressif. Les amendes élevées imposées ont peut-être ennuyé Google, mais elles sont un moyen d'atteindre une fin - une fin qui est un environnement numérique plus sûr et plus sécurisé qui protège les consommateurs et tient les entreprises responsables de la conception de meilleurs systèmes. Le PDG d'Apple, Tim Cook, a déclaré que "cela devrait être la loi dans le monde entier" et que les gouvernements devraient prendre position pour la confidentialité des données des consommateurs.

Bien que le RGPD ne s'applique peut-être pas à toutes les entreprises nord-américaines, être l'un des premiers à adopter les pratiques de sécurité des données est bénéfique pour votre entreprise. Michael Fimin, écrivant dans le magazine Forbes, reconnaît cinq avantages à la conformité GDPR.

1. Cybersécurité renforcée

Le RGPD "oblige les organisations à identifier leur stratégie de sécurité et à adopter des mesures administratives et techniques adéquates pour protéger les données personnelles des citoyens de l'UE". La mise en place de ces pratiques sécurise vos données et améliore votre cybersécurité.

2. Amélioration de la gestion des données

Lors de l'examen de votre collecte et de votre stockage de données, "débarrassez-vous des fichiers redondants, obsolètes et triviaux (ROT) que votre organisation conserve" et rendez vos données consultables. Vos employés seront plus efficaces si vos systèmes sont allégés, indexables et consultables.

3. Augmentation du retour sur investissement avec plus de prospects qualifiés

Lorsque vous avez changé votre politique en matière de cookies pour une politique à laquelle les utilisateurs doivent s'inscrire, vous pouvez avoir un pool de données plus petit, mais comme tout le monde dans ce pool aurait dû prendre activement une décision pour vous permettre d'utiliser leurs données, ils devraient être considéré comme plus qualifié.

4. Confiance des consommateurs

Les consommateurs s'inquiètent de la manière dont leurs données sont collectées, utilisées et exposées aux risques en ligne. Aller au-delà des exigences américaines pour sécuriser les données de vos clients conformément à la norme GDPR montre à quel point vous accordez de l'importance à leurs données personnelles et à quel point vous prenez au sérieux la menace de violation de données.

5. Différenciation du marché

Être un adopteur précoce présente de nombreux avantages. Vous pouvez passer par de nombreuses itérations de pratiques de sécurité des données pour perfectionner vos systèmes avant qu'un adopteur tardif n'entre dans cet espace, vous anticipez les exigences de toute future réglementation et pouvez atteindre la conformité avant qu'elle ne soit obligatoire ou exécutoire, et cela vous donnera une différenciation du marché dans une mer de concurrents qui n'ont pas encore fait un pas en avant en matière de sécurité des données. Comme le dit Fimin, la conformité au RGPD est votre opportunité de « mettre en œuvre une nouvelle culture d'entreprise qui chérit la vie privée des personnes. Le RGPD est votre opportunité d'exceller.

Inconvénients du RGPD

Une préoccupation pour des réglementations aussi lourdes est que le coût de la conformité pourrait être un obstacle à l'entrée de nouvelles entreprises dans l'espace numérique, qui a été considéré comme un environnement qui récompense le risque, l'innovation et la perturbation des nouvelles entreprises. Les entreprises à évolution rapide pourraient être moins compétitives par rapport aux concurrents plus importants qui existent déjà sur le marché.

Pour les grandes entreprises ou les entreprises traitant de gros volumes de données personnelles, il y a les coûts associés à l'embauche ou à la promotion d'un délégué à la protection des données chargé de sécuriser les données et de se conformer aux autorités européennes. Les amendes peuvent être lourdes et dissuasives, mais les coûts associés à la conformité le sont aussi. Les frais généraux supplémentaires pourraient sonner le glas des PME.

La conformité est quelque chose qui doit être activement géré. Les petites entreprises pourraient ne pas être en mesure de maintenir la conformité au même titre que les grandes entreprises. Cela préserve l'avantage concurrentiel que ces grandes entreprises ont déjà.

Les limitations sur la manière dont les entreprises peuvent collecter, stocker et utiliser les données auront un impact sur l'aspect technique de la publicité sur lequel de nombreuses PME s'appuient. Sans la connaissance de données de qualité à des fins de marketing, les entreprises éprouvent des difficultés à atteindre leur public cible et les consommateurs risquent de recevoir des publicités moins pertinentes. Une bonne publicité profite à la fois au consommateur et à l'annonceur lorsque les bons produits sont présentés aux bons yeux.

Une autre critique du GDPR est qu'il est allé trop loin et que la surréglementation conduira à un état constant de demandes de consentement des consommateurs en ligne. Soit les utilisateurs seront accueillis avec des bannières de cookies constantes, soit les entreprises ne collecteront pas de données sensibles en premier lieu, utilisant à la place des analyses de données alternatives pour assurer la conformité sans aucune demande d'acceptation faite aux visiteurs du site Web.

Comment se conformer au RGPD

La confidentialité des données est un problème mondial et le RGPD a un impact sur toute entreprise qui traite les données des résidents de l'UE. Si votre site Web collecte des données utilisateur avec un logiciel d'analyse, ce règlement vous concerne et vous devrez passer d'une collecte de données opt-out à une collecte opt-in.

Auditez les données que vous collectez.

Comprenez quel type de données vous traitez, comment elles sont stockées et qui dans votre organisation y a accès. Surveillez vos fournisseurs qui collectent des données à partir de votre site Web et vérifiez leurs déclarations de conformité au RGPD.

Abordez la confidentialité à tous les niveaux.

Ne faites pas seulement attention à la façon dont les systèmes sont conçus ou à la façon dont les informations sont stockées, mais aussi à qui a un accès local aux comptes.

Adoptez une approche basée sur les risques.

La conformité à la sécurité des données nécessite une collaboration ; recueillez les idées et les commentaires de tous les membres de votre organisation. En vous réunissant pour identifier vos plus grands risques et en hiérarchisant leurs correctifs, vous pouvez reconnaître efficacement vos risques et assurer la conformité.

Contrôle des données

Les consommateurs européens ont désormais des droits étendus sur la manière dont leurs données personnelles sont collectées et utilisées, mais ils ont également le droit à la "portabilité des données", ce qui signifie qu'ils peuvent demander une copie des données personnelles détenues à leur sujet ou demander qu'elle être rectifié ou supprimé.

Les entreprises fortement investies dans l'espace numérique et trafiquant des données personnelles à tous les niveaux vont devoir développer des pratiques et des technologies leur permettant de se conformer facilement à la réglementation.

  • Surveillez et sécurisez en permanence les ressources numériques.
  • Mettez en place des contrôles appropriés pour protéger les données contre les violations.
  • Mettre les données à la disposition des personnes concernées dans un « délai raisonnable ».

Que se passe-t-il si vous ne vous conformez pas : sanctions du RGPD

Les sanctions très médiatisées pour GDPR ont été vastes. Au cours de la première année de la nouvelle règle, Google s'est vu infliger une amende de 50 millions d'euros. Intersoft Consulting écrit à propos des amendes du RGPD qu'elles sont conçues pour être "efficaces, proportionnées et dissuasives pour chaque cas individuel".

Le règlement a été rédigé avec une structure d'amendes à deux niveaux pour pénaliser les entreprises :

Les infractions mineures sont "passibles d'amendes administratives jusqu'à 10 millions d'euros, ou dans le cas d'une entreprise, jusqu'à 2% du chiffre d'affaires annuel mondial total de l'exercice précédent, selon le montant le plus élevé".

Les infractions graves sont « passibles d'amendes administratives pouvant atteindre 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, selon le montant le plus élevé ».

Des sanctions peuvent être décidées en tenant compte :

  • la nature, la gravité et la durée de l'infraction compte tenu de la nature, de l'étendue ou de la finalité du traitement concerné ainsi que du nombre de personnes concernées et de l'ampleur du préjudice subi par celles-ci.
  • le caractère intentionnel ou négligent de l'infraction.
  • toute action entreprise par le responsable du traitement ou le sous-traitant pour atténuer les dommages subis par les personnes concernées.
  • le degré de responsabilité du responsable du traitement ou du sous-traitant compte tenu des mesures techniques et organisationnelles mises en œuvre par eux.
  • toute infraction antérieure pertinente par le responsable du traitement ou le sous-traitant.
  • le degré de coopération avec l'autorité de contrôle, afin de remédier à l'infraction et d'atténuer les éventuels effets néfastes de l'infraction.
  • les catégories de données personnelles concernées par l'infraction.
  • la manière dont l'infraction a été portée à la connaissance de l'autorité de contrôle, notamment si, et le cas échéant dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié l'infraction.
  • lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné en ce qui concerne le même objet, le respect de ces mesures.
  • le respect de codes de conduite approuvés conformément à l'article 40 ou de mécanismes de certification approuvés conformément à l'article 42.
  • tout autre facteur aggravant ou atténuant applicable aux circonstances de l'affaire, tels que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, de l'infraction.

Quelles sont les amendes moyennes pour les violations du RGPD ?

Le RGPD est devenu loi en mai 2018, et rien que pendant le reste de l'année, 91 amendes ont été infligées pour un total de 55 955 871 €. Pour la plupart, ce sont les amendes importantes et très médiatisées qui retiennent le plus l'attention, mais toutes les amendes du RGPD ne sont pas publiées ou ne font pas la une des journaux. Lorsque vous supprimez des données l'amende aberrante de 50 millions d'euros infligée à Google, l'amende RGPD moyenne à laquelle une entreprise est confrontée est d'environ 66 000 euros.

L'Autorité néerlandaise de protection des données (DPA) a publié ses directives pour sanctionner les infractions en mars 2019. Elle a développé un système de sanctions à plusieurs niveaux avec quatre catégories en fonction de la gravité de l'infraction.

La catégorie I s'applique dans le cas de violations simples ou matérielles, telles que "ne pas partager les coordonnées du délégué à la protection des données (DPD) de l'entreprise ou ne pas enregistrer de manière adéquate les responsabilités des sous-traitants ou des responsables conjoints du traitement". Fourchette fine de 0 € à 200 000 € ; pénalité forfaitaire de 100 000 €.

La catégorie II s'applique lorsqu'une entreprise ne remplit pas les obligations et exigences spécifiques du RGPD. Fourchette fine de 120 000 € à 500 000 € ; pénalité forfaitaire de 310 000 €.

La catégorie III s'applique lorsqu'une entreprise refuse d'être transparente avec ses utilisateurs ou avec l'autorité néerlandaise de protection des données (DPA), refuse de notifier à la DPA les violations ou refuse de coopérer avec la DPA. Fourchette fine de 300 000 € à 750 000 € ; pénalité forfaitaire de 525 000 €.

La catégorie IV s'applique lorsqu'une entreprise se livre au traitement illégal de données sensibles, au profilage illégal ou refuse de se conformer aux directives spécifiques de la DPA néerlandaise. Fourchette fine de 450 000 € à 1 000 000 € ; pénalité forfaitaire de 725 000 €*
*Uniquement dans le cas où les 20 000 000 € / 4 % du chiffre d'affaires annuel s'appliquent

Exemples notables d'application du RGPD

À l'automne 2020, Marriot et British Airways ont toutes deux été condamnées à des amendes substantielles à la suite de violations de données distinctes en 2018 qui ont nui aux consommateurs.

Compagnies aériennes britanniques | 25,85 millions de dollars | Royaume-Uni, 2020

British Airways a été condamnée à une amende de 25,85 millions de dollars et 400 000 des données de ses clients ont été compromises lors de la violation de données. L'amende qui leur a été infligée par le Bureau du Commissaire à l'information (ICO) concernait leurs faiblesses en matière de sécurité des données après que l'enquête a révélé qu'ils avaient traité "une quantité importante de données personnelles sans mesures de sécurité adéquates en place".

Bien que l'amende soit la plus élevée que l'ICO ait infligée, ils avaient initialement proposé une amende de 229 millions de dollars avant de prendre en considération l'impact économique que Covid-19 a eu sur l'industrie aéronautique. L'ICO a également rendu hommage à BA pour les "améliorations considérables de sa sécurité informatique" à la suite de l'attaque et pour s'être conformée aux enquêteurs - qui ont tous deux contribué à réduire le total initial de l'amende.

Marriott International | 23,8 millions de dollars | Royaume-Uni, 2020

En 2020, Marriott Hotels s'est vu infliger une amende de 23,8 millions de dollars pour une violation de données qui a révélé 339 millions de dossiers de clients, affectant 30 millions d'utilisateurs dans l'UE. La chose intéressante à propos de l'affaire Marriott est que la violation initiale remonte à 2014 mais n'a été découverte qu'en 2018, et "la sanction ne couvre que la partie de la violation qui date du 25 mai 2018 - lorsque le GDPR est entré en vigueur .”.

Comme l'amende de British Airways, infligée quelques semaines seulement avant l'amende de Marriott, le gouvernement britannique a réduit le montant total de l'amende de 123 millions de dollars en raison de l'impact économique de Covid-19 ainsi que des efforts d'atténuation et de conformité de la société.

Google | 57 millions de dollars | France, 2018

Google a, depuis la création du RGPD, été l'ire des régulateurs français des données. En 2018, la société a été condamnée à une amende de 50 millions d'euros pour "manque de transparence, informations insuffisantes et absence de consentement valable concernant la personnalisation des publicités".

Google | 121 millions de dollars | France, 2020

Fin 2020, les régulateurs français ont de nouveau infligé à Google une amende de 100 millions d'euros, bien que Google conteste actuellement le montant devant les tribunaux. L'amende était due au fait que lors de la visite des utilisateurs sur google.fr "sept cookies étaient déposés sur leur équipement terminal, avant toute action de leur part".

Amazone | 42 millions de dollars | France, 2020

Amazon a également été condamné à une amende de 35 millions d'euros par les régulateurs français pour la même violation de cookies. Les autorités françaises ont déterminé que ni Google ni Amazon ne remplissaient "l'exigence d'information préalable, claire et complète des utilisateurs, ni celle d'obtenir leur consentement et que le mécanisme d'opposition à ces cookies était partiellement défaillant".

H&M | 41,3 millions de dollars | Allemagne, 2020

Alors que les autres cas très médiatisés d'application du RGPD étaient dus à des consommateurs touchés par des violations de données et des pratiques de l'entreprise, l'amende de H&M était pour avoir surveillé illégalement ses propres employés en Allemagne.

L'Autorité de protection des données de Hambourg (HmbBfDI) a prononcé l'amende, la plus importante en Allemagne depuis la mise en œuvre du RGPD, après qu'il a été constaté que l'entreprise surveillait de manière excessive la vie privée de ses employés. Depuis au moins 2014, certains membres du personnel avaient fait l'objet d'un « enregistrement approfondi de détails sur leur vie privée ».

"Après des absences telles que des vacances et des congés de maladie, les chefs d'équipe de supervision ont mené des soi-disant entretiens de retour avec leurs employés. Après ces entretiens, dans de nombreux cas, non seulement les expériences concrètes de vacances des employés ont été enregistrées, mais également les symptômes de maladie et les diagnostics », a déclaré HmbBfDI. "De plus, certains superviseurs ont acquis une large connaissance de la vie privée de leurs employés grâce à des entretiens personnels et au sol, allant de détails plutôt anodins à des problèmes familiaux et à des croyances religieuses."

Les pratiques de collecte de données ont été exposées en octobre 2019 après qu'une erreur interne a rendu l'information accessible pendant plusieurs heures. Le professeur Johannes Casper, commissaire de Hambourg à la protection des données et à la liberté d'information, a déclaré à propos de l'amende : "Le montant de l'amende infligée est donc adéquat et efficace pour dissuader les entreprises de violer la vie privée de leurs employés."

Notre avis sur le RGPD

Le RGPD est une loi progressiste et complète qui établit une norme de protection des données qui protège les consommateurs, et c'est une bonne chose pour les particuliers. Les sanctions sont conçues pour être proportionnées et efficaces, pour obliger les entreprises à prendre conscience de la gravité de la question de la protection des données et pour dissuader le non-respect.

Je suis européen, donc j'ai peut-être un parti pris ; GDPR s'aligne sur mes sensibilités européennes. Mais mes priorités vont aux entreprises pour lesquelles j'apporte de la valeur, et je pense que des pratiques de sécurité des données améliorées sont également dans leur meilleur intérêt.

Oui, le changement pourrait avoir des difficultés de démarrage pour les entreprises qui ne sont pas en mesure de se conformer assez rapidement ou de payer le coût de l'embauche de professionnels de la conformité pour gérer des risques spécifiques. Pourtant, les amendes sont suffisamment chères pour envisager d'investir dans des professionnels de la conformité ou au moins d'auditer vos risques existants.

Cela aide les agences européennes chargées de l'application des données à travailler avec les contrôleurs de données pour atténuer les retombées de toute violation ou de toute violation potentielle. Ce n'est pas seulement qu'ils infligent des sanctions, ils veulent activement que l'environnement numérique soit plus sûr, plus intelligent et plus amélioré ; restaurer la confiance des consommateurs dans les espaces numériques ; et de fournir aux utilisateurs des droits et des protections sur leurs données personnelles.

Avec l'approche opt-in pour le remarketing auprès des visiteurs de votre site Web, le remarketing pourrait devenir plus léger. Vous pouvez être rassuré que les utilisateurs de vos listes ont pris la décision consciente de s'inscrire pour y être. Avoir des systèmes en place pour organiser et auditer vos propres données élimine également une grande partie du bruit dans les données ; supprimer les données redondantes, obsolètes et triviales (ROT). Vos données seront de l'or, vous aurez envie de les protéger, et votre équipe n'en sera que plus efficace.

Nous ne sommes pas des avocats; nous ne pouvons pas vous aider à auditer et à assurer la conformité en matière de cybersécurité, mais nous pouvons créer un site Web qui répondra aux exigences du RGPD, et nous pouvons travailler aux côtés de votre équipe de gestion des données pour créer un environnement numérique qui renforcera la confiance des consommateurs dans votre marque et répondra vos objectifs commerciaux.