Données personnelles — c’est une expression à la mode qui envahit les actualités et nous oblige à réfléchir à notre identité en ligne et à la manière dont elle est utilisée par d’autres sites web et entreprises.
Les entreprises en ligne et les propriétaires de sites web agissent souvent comme des gardiens des données personnelles sensibles qu’ils ont collectées. Avec la mise en œuvre récente du RGPD — des réglementations globales régissant la sécurité des données et la confidentialité dans l’UE — tu pourrais être préoccupé par la manière dont tu stockes et protèges les informations des autres, et si ces données sont sûres et sécurisées.
N’es-tu pas ?
Les nouvelles lois sur les données personnelles de l’UE te mettent en charge de t’assurer que tu respectes les règlements, mais nous sommes là pour te donner quelques conseils. Le Règlement Général sur la Protection des Données se concentre sur le renforcement du contrôle des citoyens sur leurs données sur le web.
En plus de donner aux utilisateurs le pouvoir de décider ce qui arrive à leurs informations, le RGPD inclut également de nouvelles règles sur la manière dont les organisations doivent gérer ces données. Tout cela peut nécessiter une action de ta part — même si tu n’es pas basé dans l’UE. Voici ce que tu dois savoir, et ce que tu peux faire pour rester à jour.
Lié : DreamHost est conforme au GDPR
Ce Que Tu Dois Savoir Sur Le GDPR
1. Le RGPD est là.
C’est exact : Le RGPD est entré en vigueur le 25 mai 2018. Cela signifie que si tu n’as pas déjà mis à jour ton site web pour être conforme, tu dois commencer à rattraper le retard. Le reste de cet article te donnera quelques conseils et ressources sur ce que cela implique. Ne panique pas ! Après avoir lu cet article, nous te recommandons de te rendre sur le site officiel du RGPD pour te mettre à jour.
2. Le RGPD s’applique aux « données personnelles » des personnes dans l’UE.
Il peut y avoir de nombreuses raisons pour lesquelles un site web collecte des données utilisateur : faciliter un achat, distribuer une liste de diffusion, cibler la publicité, ou déterminer le type de contenu le plus populaire. Quelle que soit la raison, si ces données concernent un individu visitant le site depuis un État membre de l’UE, le RGPD s’applique.
Les visiteurs de ton site n’ont même pas besoin d’être citoyens de l’UE — s’ils visitent l’UE depuis, disons, le Ghana ou le Brésil, et qu’ils visitent ton site, ton site doit protéger leurs droits en vertu du RGPD.
Bien que la réglementation soit basée en Europe, elle est en réalité plus étendue qu’il n’y paraît à première vue. Si ton entreprise a une quelconque connexion avec l’Europe, que ce soit par le biais de clients ou de partenaires (même juste un !), tu devrais être au courant de ce que la loi exige.
3. La définition des données personnelles est élargie dans le RGPD.
Lorsque nous pensons aux données personnelles, des éléments comme le nom, l’adresse et le numéro de téléphone peuvent nous venir à l’esprit. Selon la définition du RGPD, il y a bien plus que cela. Allant au-delà des détails qui seraient normalement considérés comme des informations personnellement identifiables, le RGPD stipule que toute information « spécifique à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne » est sous protection.
Étant donné ces paramètres larges, il est sûr de supposer que tout ce qui identifie une personne peut entrer dans la définition des données personnelles. Si tu n’es pas sûr que cela compte, c’est probablement le cas ! En fait, la définition du RGPD des informations personnellement identifiables est « toute information se rapportant à une personne physique identifiée ou identifiable. » Alors, voilà.
4. Toute entité qui contrôle et traite ces données doit se conformer.
Les documents réels du GDPR font référence aux collecteurs et aux processeurs de données personnelles. Tu n’es pas sûr si tu es un contrôleur ou un processeur ? Lis la suite.
Un responsable du traitement est une entité — une entreprise, une organisation ou un individu — qui prend des décisions sur les données qui sont collectées et la manière dont elles sont utilisées. Un processeur de données collecte, stocke et transfère ces données une fois qu’elles sont collectées. Donc, si ton organisation gère une sorte de données de personnes dans l’UE, ou s’associe avec une qui le fait, il est temps de s’y mettre.
5. Les nouvelles lois exigent le consentement pour collecter des données.
Tu as peut-être remarqué que beaucoup de sites web et d’applications ont mis à jour leurs politiques de confidentialité et leurs conditions d’utilisation récemment. C’est tout à cause du GDPR. Si une organisation s’attend à ce que quelqu’un dans l’UE visite son site web, l’entreprise doit inclure des informations demandant le consentement pour collecter les données des utilisateurs.
Associé : Votre liste de vérification pour la refonte de site web 2020
Les politiques mises à jour doivent inclure des informations sur les données collectées, pourquoi elles sont collectées, combien de temps elles seront conservées, ainsi que la manière dont elles seront utilisées et qui aura accès aux données. Tout cela doit être clairement indiqué sur le site web dans un endroit bien visible.
La conformité au RGPD exige un consentement actif — et non des méthodes passives, comme une case pré-cochée. Le RGPD aura peu de tolérance pour les pratiques de UX obscures qui trompent les personnes en les amenant à accepter ou à s’inscrire à des choses, ou pour un mauvais design de blog qui cache des informations pertinentes.
Ces notifications sont nécessaires même si le type de données collectées est le plus basique. USA Today a adopté une approche intéressante pour se conformer au RGPD en hébergeant deux instances séparées de leur site web — une pour les utilisateurs de l’UE et une autre pour tous les autres. Le site orienté UE ne collecte aucune information autre que l’adresse IP d’un utilisateur afin de le diriger vers le site correct — mais USA Today doit toujours notifier aux utilisateurs que l’entreprise collecte cette information.
6. Il y a des exigences plus strictes pour la sécurité des données sous le RGPD.
Comparé à la précédente législation de l’UE sur la confidentialité des données personnelles (la Directive sur la protection des données, mise en œuvre en 1998), le RGPD impose des responsabilités plus prescriptives aux contrôleurs et aux processeurs de données en matière de sécurité.
Si tu gères des informations personnellement identifiables, tu dois faire preuve de diligence raisonnable pour garantir que les informations sont pleinement protégées. Il pourrait y avoir plusieurs solutions à cela, selon les données collectées, les technologies disponibles et ton budget. Certaines mesures de sécurité que le RGPD suggère incluent le chiffrement des données, s’assurer que les systèmes et services garantissent la confidentialité, fournir la capacité de restaurer l’accès aux données personnelles, et maintenir un processus d’évaluation de la sécurité des systèmes.
Ce ne sont que quelques-unes des stratégies que les organisations peuvent utiliser pour démontrer qu’elles respectent le RGPD. Tu as peut-être déjà pris ces éléments en compte, ou tu devras peut-être ajouter certains composants à ton plan de sécurité.
Avec ces nouvelles normes, tu pourrais être préoccupé par le coût pour ton entreprise pour se conformer. Cependant, la sécurité n’a pas besoin d’être coûteuse. Plusieurs fournisseurs — DreamHost inclus — incluent des certificats SSL/TLS gratuitement pour chiffrer le trafic web vers les sites des clients.
7. Les violations de données doivent être signalées aux personnes dont les données ont été compromises.
Un autre nouvel aspect des lois sur la confidentialité tel que mandaté par le GDPR est l’obligation de notifier les utilisateurs lorsqu’une violation de données s’est produite et a pu affecter leurs informations personnelles. Le GDPR définit une violation de données personnelles comme un événement qui entraîne « la destruction, la perte, l’altération, la divulgation non autorisée de, ou l’accès à, des données personnelles transmises, stockées ou autrement traitées de manière accidentelle ou illégale. » Cela protège bien au-delà du risque de fraude ou de vol d’identité (qui résulterait de l’accès à des dossiers financiers) pour inclure l’accès non autorisé à tout ce qui est défini comme information personnelle identifiable.
Si une violation de données personnelles se produit et qu’elle est « susceptible de constituer un risque élevé pour les droits et libertés des individus », les responsables du traitement des données ont l’obligation de notifier rapidement les personnes affectées. Il existe peu d’exceptions à cette règle, comme lorsque les données chiffrées seraient inintelligibles pour les utilisateurs non autorisés ou lorsque le responsable prend des mesures après la violation pour prévenir le risque. Les détails de cette règle peuvent être sujets à interprétation et discussion, mais en cas de doute, le RGPD adopte une position ferme et complète sur la protection des données des utilisateurs.
Si le responsable du traitement des données a un bureau principal dans l’UE, il doit également notifier l’autorité de surveillance dans l’État membre de l’UE où se trouve l’organisation. Cette communication doit être faite dans les 72 heures suivant l’identification de la violation.
Héberger le site web de ton organisation sur un serveur sécurisé et stable aide à prévenir les violations de données personnelles. Les plans de DreamHost disposent tous d’une sécurité de premier ordre grâce aux certificats SSL/TLS de Let’s Encrypt, qui chiffrent de manière sécurisée les données transitant par un site DreamHost.
Si tu choisis entre le Shared Hosting et le VPS Hosting tu peux être assuré que les informations personnellement identifiables sont sécurisées. Nos plans de Dedicated Hosting maintiennent les données personnelles encore plus à l’abri.
8. Les responsables du traitement doivent donner accès aux données aux utilisateurs lorsqu’ils le demandent.
La signification de cet aspect du GDPR est claire : si un utilisateur souhaite voir les données que tu as collectées sur lui, tu dois les lui remettre dans un délai raisonnable. Le chemin pour y parvenir pourrait être un peu plus sinueux, cependant, selon tes circonstances actuelles.
Pour accorder ces demandes, tu auras besoin d’un système permettant aux clients de soumettre des demandes et d’un personnel capable de les satisfaire. Une technologie permettant l’exportation des données personnelles sera également nécessaire. Dans l’Article 15, le RGPD détaille plusieurs autres droits liés à l’information, comme qui a accès aux données et combien de temps elles seront conservées.
9. Les utilisateurs dans l’UE ont « le droit à l’oubli ».
Une autre disposition liée à l’accès aux données est ce que le RGPD appelle “le droit à l’oubli.” Dans l’Article 17, les citoyens ont le droit de demander que leurs données soient supprimées du système du contrôleur. Ils peuvent le faire pour de nombreuses raisons, qui incluent le retrait du consentement au traitement des données.
La loi suggère qu’il pourrait y avoir des raisons légitimes de demander la suppression des données personnelles. Cependant, elle fournit des orientations sur les moments où une organisation pourrait refuser une telle demande. Si le traitement des données est jugé nécessaire pour « exercer le droit à la liberté d’expression et d’information », remplir des obligations légales ou établir des revendications légales, ou servir l’intérêt public de certaines manières, une organisation n’est pas obligée de se conformer.
10. Le Brexit n’exclut pas le Royaume-Uni du RGPD — pour l’instant.
Le RGPD s’applique toujours aux entreprises au Royaume-Uni, malgré le départ imminent du pays de l’UE. Une fois le Brexit formellement réalisé, le RGPD ne régira plus la sécurité des données britanniques. Cependant, la Loi sur la Protection des Données du pays est presque identique au RGPD — jusqu’à la même date de début, le 25 mai. Si tu es conforme au RGPD, tu devrais également être couvert par la loi britannique.
11. Enfreindre les termes du GDPR a un coût élevé.
Ne tente pas d’éviter ou d’ignorer le RGPD — cela te coûtera cher. Les sanctions les plus élevées pour non-conformité comprennent des amendes allant jusqu’à 20 millions d’euros (plus de 23 millions de dollars) ou 4 pour cent du chiffre d’affaires mondial, selon le montant le plus élevé. Ce niveau de sanction serait réservé aux pires contrevenants, mais il vaut mieux ne pas découvrir comment les petits méfaits seront gérés.
Outre le fait de prendre ton argent, les autorités de protection des données de l’UE pourraient également retirer certains privilèges de collecte de données à ton entreprise — ou même t’interdire de collecter des données complètement. Fais simplement ce qu’il faut !
12. L’accent des nouvelles règles est l’utilisation légale et le commerce équitable.
Le RGPD vise à unifier les réglementations des données de tous les États membres de l’UE. Avec les nouvelles lois, les règles sont plus claires et le terrain de jeu est plus équilibré quant à la manière dont les entreprises de l’UE gèrent la collecte et l’utilisation des données personnelles. En même temps, cela met une pression sur les entreprises d’autres pays pour être conformes.
Cependant, la poussée pour la sécurité et la transparence pourrait être bénéfique pour les affaires à long terme, et cela a tout à voir avec la perception des clients. Ces dernières années, il y a eu une augmentation des violations de la sécurité des données, ainsi qu’une publicité accrue entourant la collecte et l’utilisation des données des personnes.
À cette ère d’échange de données, le GDPR vise également à augmenter la confiance des citoyens dans les entreprises en leur offrant davantage de protections. Les règlements sont largement considérés comme une victoire pour les droits individuels à la vie privée. Mais bien que cela puisse être pénible de devoir mettre à jour les avis de confidentialité — et éventuellement changer les politiques d’utilisation des données dans votre entreprise — le GDPR a le potentiel de donner aux clients plus de confiance dans le commerce. La philosophie, en résumé, est que ce qui est bon pour le client est bon pour les affaires.