1. Qu'est-ce que le RGPD ou GDPR ?

Il s'agit de la nouvelle loi européenne sur la protection des données. Elle vise principalement à réglementer et à renforcer le contrôle de l'utilisation des « données à caractère personnel ».

Le sigleRGPDsignifie « Règlement général sur la protection des données ».

Ce RGPD est un ensemble de «droits numériques »pour les citoyens de l'UE. Le nouveau règlement entrera en vigueur le 25 mai 2018.

Le RGPD concerne également les entreprises et les associations en Suisse ainsi que les amendes peuvent être infligées aux entreprises et associations suisses.

En anglais, cela s'appelle : General Data Protection Regulation, ou RGPD.

Veuillez noter que ces informations sont fournies à titre indicatif uniquement et ne constituent en aucun cas un conseil juridique. Nous déclinons toute responsabilité. Nous restons à votre disposition pour toute question.

2. Les entreprises et associations suisses sont-elles concernées par le RGPD ?

Le RGPD (GDPR) concerne non seulement les entreprises européennes, mais aussi les entreprises et associations suisses, ainsi que toute personne traitant des données à caractère personnel susceptibles de provenir de l'UE. C'est le cas, par exemple, si vous envoyez des newsletters à des citoyens de l'UE.

« Si une entrepreneuse individuelle s'adresse à des personnes dans l'UE via son site web et leur propose, par exemple, des cadeaux promotionnels tels que des newsletters ou des livres blancs, le RGPD s'applique à cet égard. » Maître Martin Steiger, avocat chez Watson

Le RGPD s'applique donc à tous ceux qui traitent des données relatives à des citoyens de l'UE. Probablement aussi à vous. 

Actuellement, un équivalent suisse au RGPD, une nouvelle loi fédérale sur la protection des données, est en cours d'élaboration. En tant qu'agence de marketing en ligne, nous vous tiendrons informés des dernières nouveautés à ce sujet.

3. Que sont les « données à caractère personnel » ?

Les données à caractère personnel , ou « Personally Identifiable Information - PII » en anglais , peuvent être toutes les informations se rapportant à des personnes, qu'elles concernent leur vie privée, publique ou professionnelle.

Les données à caractère personnel ou personnelles sont concrètes :

• Noms,

• Adresses privées,

• Photos,

• Adresses e-mail,

• Coordonnées bancaires,

• Publications sur les réseaux sociaux,

• données médicales,

• adresses IP

• et tout ce qui se trouve entre les deux :)

En vertu du RGPD, les entreprises doivent garantir que les personnes physiques ont le contrôle de leurs données à caractère personnel.

Les utilisateurs doivent désormais avoir la possibilité non seulement d'accéder aux données enregistrées, mais aussi de les modifier, de les supprimer ou simplement de les exporter (par exemple, transférer des playlists Spotify vers Deezer et inversement).

4. Combien de temps les données à caractère personnel peuvent-elles être conservées ?

Vous ne pouvez conserver les données à caractère personnel que pendant la durée nécessaire à la réalisation des finalités pour lesquelles vous les conservez [art. 5, paragraphe 1, point e)].

Essayez toujours de garder à l'esprit la raison pour laquelle vous avez reçu ces données et respectez la durée de conservation.

EXEMPLE
Une personne postule avec son CV et d'autres données à caractère personnel. Si vous avez publié une offre d'emploi spécifique en tant que PME , vous devez supprimer les données à caractère personnel dès que possible après un refus, car leur conservation n'est plus nécessaire.

En tant qu'agence de placement , vous êtes probablement autorisé à conserver les CV plus longtemps qu'une PME « normale », car vous pouvez utiliser ces documents pour plusieurs postes . Cependant, même dans ce cas, il n'est guère justifié de conserver les dossiers du personnel pendant plusieurs années, car les CV deviennent de toute façon obsolètes après un certain temps.

5. Liste de contrôle RGPD Suisse

1. Vous devez offrir la possibilité de refuser les cookies sur le site web ou expliquer comment cela peut être mis en œuvre.

2. Vous ne pouvez utiliser des cookies ( à l'exception de ceux qui sont indispensables à l'utilisation du site par un utilisateur) qu'après avoir obtenu le consentement de l'utilisateur.

3. Vous devez disposer d'une déclaration de confidentialité précise/correcte sur votre site web. Vous trouverez ici des générateurs de déclarations de confidentialité qui pourront peut-être vous aider :

   1. Générateur de protection des données Swiss Anwalt (Suisse)

   2. Générateur de politique de confidentialité Partenaires en matière de protection des données (Suisse)

   3. Générateur de politique de confidentialité Weiss & Partner (UE)

   4. Générateur de politique de confidentialité Dr Schwenke (UE)

4. Vous devriez utiliser l'anonymisation des adresses IP pour Google Analytics . Informations Google sur l'anonymisation des adresses IP

5. Ne transmettez aucune donnée personnelle (par exemple via des formulaires de contact) à Google Analytics (GA) ou à d'autres outils d'analyse et trackers de sites web. Cela serait contraire au RGPD, mais pourrait également entraîner la suppression du compte Google Analytics (car cela est également contraire aux directives de Google). Instructions pour vérifier si des données à caractère personnel sont stockées dans GA et ce qui peut être fait pour y remédier.

6. Limitez les formulaires de contact aux données personnelles qui sont réellement nécessaires pour le service.

7. Indiquez votre politique de confidentialité dans le formulaire de contact. À notre avis, une case à cocher n'est pas nécessaire, mais elle ne serait bien sûr pas préjudiciable du point de vue du RGPD.

8. Les données personnelles doivent être cryptées et stockées et transmises de manière sécurisée .

9. Consignez qui a accès à quelles données.

10. Les sites web SSL sont indispensables.

11. Vous devez obtenir le consentement actif des utilisateurs pour leur envoyer des newsletters (le consentement passif ne suffit plus).

12. Vous devez être en mesure de montrer quand et où une personne a accepté de recevoir une newsletter.

13. Nommez un délégué à la protection des données (DPO) (obligatoire uniquement pour les organisations qui traitent des volumes de données importants, mais également recommandé pour les petites entreprises).

14. Consignez votre processus de traitement des données .

15. Lorsque vous envoyez et recevez des e-mails, utilisez toujours le protocole de cryptage TLS (ou SSL).

Des questions ou des commentaires ? Écrivez-les dans les commentaires ci-dessous.

6. RGPD Évaluation et prévention des amendes

Afin d'évaluer la responsabilité en cas d'infractions et d'amendes, dressez un inventaire de toutes les données à caractère personnel que vous avez collectées et examinez-les à l'aide des 6 questions suivantes :

1. Dans quel but conservez -vous ces données ?

2. Comment avez -vous obtenu ces données ?

3. Quel était l'objectif initial de l'achat ?

4. Combien de temps souhaitez-vous conserver ces données ?

5. Sont-ils sécurisés tant en termes de cryptage que d'accessibilité ?

6. Partagez-vous les données avec des tiers et , si oui, dans quel but ?

N'oubliez pas que les entreprises ne sont pas tenues de prouver leur conformité, mais que le RGPD a le droit d'effectuer des audits et des inspections.

7. C'est pourquoi le RGPD est nécessaire

Le RGPD est une bonne nouvelle pour tous les internautes.

Les utilisateurs s'intéressent de plus en plus à la manière dont leurs données personnelles sont utilisées, et à juste titre.

À une époque où les violations incontrôlées des données font régulièrement la une de l'actualité, cette nouvelle directive répond aux préoccupations des utilisateurs et leur confère des droits et des obligations en matière de traitement des données. Une amélioration urgente et nécessaire, et pas seulement après le récent scandale Facebook.

Le RGPD vise à offrir davantage de protection et de sécurité aux internautes et à faciliter la navigation sur Internet, ce qui est également une bonne nouvelle pour les exploitants de sites Web, car cela permet de renforcer la confiance.

8. Droits et obligations essentiels de la nouvelle loi sur la protection des données 2018

1. Droit d'accès

Le droit d'accès est un droit de la personne concernée. Il donne aux citoyens de l'UE le droit d'accéder aux données à caractère personnel enregistrées et aux informations relatives au traitement des données à caractère personnel.

2. Droit à l'effacement

Le droit à l'effacement signifie que la personne concernée a le droit de demander l'effacement de ses données à caractère personnel pour plusieurs raisons, notamment le non-respect de l'article 6.1 (licéité).

3. Droit à la portabilité des données (art. 20 RGPD)

Toute personne a le droit de transférer ses données à caractère personnel d'un système de traitement électronique à un autre sans être entravée par les responsables du traitement. Les données suffisamment anonymisées constituent une exception. RGPD, art. 20 https://dsgvo-gesetz.de/art-20-dsgvo/

4. Obligation : protection des données dès la conception - paramètres de confidentialité stricts à chaque étape (art. 25 RGPD)

Les paramètres de confidentialité de chaque partie d'un site web, qu'il s'agisse de formulaires, d'analyses ou de tout autre élément permettant de gérer ou de stocker les données des utilisateurs, doivent être réglés par défaut à un niveau élevé. Cela signifie que l'utilisateur n'a pas besoin de prendre de mesures supplémentaires pour s'assurer que ses données restent confidentielles par défaut.

Le responsable du traitement prend des mesures techniques et procédurales pour garantir que l'ensemble du cycle de vie du traitement soit conforme au règlement. Le cryptage peut soustraire les données à caractère personnel au champ d'application du RGPD. Cela signifie que lorsque les données sont entièrement cryptées, elles ne sont plus identifiables et ne relèvent donc plus du champ d'application du RGPD.

Les processus de chiffrement et de déchiffrement doivent être effectués localement afin de garantir que les clés et les données restent sous le contrôle du propriétaire des données, et ainsi préserver la confidentialité.

Certaines techniques de chiffrement peuvent ne pas suffire à soustraire les données à caractère personnel au champ d'application du RGPD. Les responsables du traitement devraient examiner attentivement les données chiffrées et évaluer si celles-ci risquent d'être déchiffrées, en tenant compte des technologies futures possibles.

5. Obligation de tenir des registres des activités

Cela signifie qu'il faut tenir des registres des activités de traitement des données qui décrivent très précisément la finalité du traitement, les catégories concernées et les délais prévus.

6. Obligation de signaler les infractions dans les 72 heures

Le RGPD impose une nouvelle exigence : les responsables doivent signaler toute violation de données à caractère personnel à l'autorité de contrôle de leur pays dans les 72 heures suivant sa découverte, sauf si les données ont été anonymisées ou cryptées. Les violations qui présentent un danger pour une personne (usurpation d'identité, atteinte à la confidentialité, etc.) doivent également être signalées directement aux personnes concernées.

9. Qui est votre délégué à la protection des données ?

Le RGPD exige la nomination obligatoire d'un DPD (délégué à la protection des données) pour toute entreprise ou organisation qui stocke ou traite de grandes quantités de données à caractère personnel, que ce soit pour ses employés, des personnes extérieures à l'organisation ou les deux.

Le traitement des données est dirigé par un responsable du traitement dont l'activité principale est le traitement des données. Le DPD exige un aperçu régulier et systématique des données concernées. Le DPD est une personne compétente qui doit connaître les règles et pratiques en matière de protection des données et qui peut aider et contrôler les responsables du traitement afin de s'assurer qu'ils respectent le RGPD.

Le délégué à la protection des données doit être en mesure de prouver le « consentement » (opt-in) et de garantir que celui-ci peut être révoqué. L'identité et les coordonnées du responsable du traitement dans votre entreprise doivent être indiquées .

Même si cela n'est pas obligatoire pour toutes les organisations, il est recommandé à la plupart des entreprises de nommer un délégué à la protection des données.

10. RGPD : montant des amendes possibles

Les amendes ont été augmentées. Il existe deux niveaux d'amendes en fonction de l'infraction commise.

La sanction maximale pour non-respect du RGPD est de 20 000 000 euros ou jusqu'à 4 % de votre chiffre d'affaires annuel mondial (sur la base des chiffres de l'exercice précédent), selon le montant le plus élevé.

11. Arrêt récent de la CJUE, septembre 2019

La CJUE s'est prononcée sur quatre questions très importantes :

• Outre Facebook, les exploitants de sites web sont toujours responsables des violations de la protection des données.

• Le transfert non sollicité de données utilisateur via le bouton « J'aime » de Facebook sur les sites web enfreint la législation sur la protection des données.

• Les associations de concurrence peuvent adresser des avertissements payantsaux sites web qui ont intégré le bouton « J'aime » de Facebook sans possibilité de refus.

• Pour les cookies utilisés à des fins de suivi ou de publicité, le consentement réel des visiteurs du site web est nécessaire. Une bannière d'information sur les cookies n'est pas suffisante.

12. Conclusion

Le RGPD est une bonne nouvelle pour les particuliers et le grand public. Il s'agit d'une nouvelle étape vers le renforcement de la sécurité sur Internet et, surtout, vers la promotion de l'équité et du respect dans l'utilisation des données à caractère personnel.

En tant qu'entreprise ou association suisse, il est important que voussoyez conscient devos obligations et que vous les respectiez. Vous pouvez faire appel à un avocat pour plus de sécurité et vous pouvez consulter au préalable la liste de contrôle RGPD-Suisse et la parcourir attentivement.

Des questions ou des commentaires ?

Postez vos questions dans les commentaires et nous nous ferons un plaisir d'y répondre.

*En envoyant ce formulaire, vous acceptez que onlineKarma enregistre et traite les données personnelles indiquées ci-dessus afin de vous fournir le contenu souhaité :Politique de confidentialité.