1. Qu'est-ce que le RGPD de l'UE ou GDPR ?

C'est la nouvelle loi de l'UE sur la protection des données. Elle vise principalement à réglementer et à gérer plus strictement l'utilisation de ce que l'on appelle les "données personnelles" .

L'acronyme RGPD signifie Règlement Général sur la Protection des Données.

Ce RGPD est un ensemble de “droits numériques” pour les citoyens de l'UE. La nouvelle réglementation est entrée en vigueur le 25 mai 2018.

Le RGPD concerne également les entreprises et associations en Suisse, et les amendes substantielles peuvent également être appliquées aux entreprises et associations suisses.

En anglais, cela s'appelle : General Data Protection Regulation, ou GDPR.

Veuillez noter que ces informations sont fournies à titre indicatif uniquement et ne constituent en aucun cas un conseil juridique. Toute responsabilité est déclinée. Nous restons à votre disposition pour toute question.

2. Les entreprises et associations suisses sont-elles concernées par le RGPD ?

Le RGPD (GDPR) ne concerne pas uniquement les entreprises européennes, mais aussi les entreprises et associations suisses, ou toute personne traitant des données personnelles susceptibles de provenir de l'UE. Par exemple, si vous envoyez des newsletters à des citoyens de l'UE.

"Si une entrepreneuse individuelle cible des personnes dans l'UE avec son site web et leur propose, par exemple, des ressources gratuites comme des newsletters ou des livres blancs, alors le RGPD est applicable à cet égard." Avocat Martin Steiger sur Watson

Le RGPD s'applique donc à toute personne traitant des données de citoyens de l'UE. Probablement aussi à vous. 

Actuellement, un pendant suisse au RGPD, une nouvelle loi fédérale sur la protection des données, est également en cours d'élaboration. En tant qu'agence de marketing en ligne, nous vous tiendrons informé(e) des nouveautés à ce sujet.

3. Que sont les "données personnelles" ?

Les données personnelles, ou en anglais “Personally Identifiable Information - PII”, peuvent être toutes les informations se rapportant à une personne, qu'elles concernent la vie privée, publique ou professionnelle.

Concrètement, les données personnelles sont :

• Noms,

• Adresses privées,

• Photos,

• Adresses e-mail,

• Coordonnées bancaires,

• Publications sur les réseaux sociaux,

• Données médicales,

• Adresses IP

• et tout le reste :)

En vertu du RGPD, les entreprises doivent s'assurer que les personnes physiques ont le contrôle de leurs données personnelles.

Un utilisateur doit désormais avoir la possibilité non seulement d'accéder aux données stockées, mais aussi de les modifier, de les supprimer ou simplement de les exporter (par exemple, transférer des playlists Spotify vers Deezer et vice-versa).

4. Combien de temps les données personnelles peuvent-elles être conservées ?

Vous ne pouvez conserver les données personnelles que pendant la durée nécessaire aux finalités pour lesquelles vous les stockez [Art.5(1)(e)].

Essayez toujours de garder à l'esprit la raison pour laquelle vous avez obtenu ces données et respectez les limites de temps.

EXEMPLE
Une personne postule avec un CV et d'autres données personnelles. Si, en tant que PME, vous aviez publié une offre d'emploi spécifique, vous devriez supprimer les données personnelles dès que possible après un refus, car leur conservation n'est plus nécessaire.

En tant qu'agence de placement, vous pourriez probablement conserver les CV plus longtemps qu'une PME « normale », car vous pouvez utiliser ces documents pour plusieurs postes. Cependant, même dans ce cas, il est difficilement justifiable de conserver les dossiers du personnel pendant plusieurs années, car les CV deviennent de toute façon obsolètes après un certain temps.

5. Liste de contrôle RGPD Suisse

1. Vous devez proposer la possibilité de cookies de désactivation (opt-out) sur le site web ou expliquer comment cela peut être mis en œuvre.

2. Vous ne pouvez utiliser de cookies (à l'exception de ceux qui sont indispensables à l'utilisation du site par un utilisateur) qu'après avoir obtenu le consentement de l'utilisateur.

3. Vous avez besoin d'une déclaration de confidentialité précise/correcte sur votre site web. Voici des générateurs de déclarations de confidentialité qui pourraient vous aider :

   1. Générateur de déclaration de confidentialité Swiss Anwalt (Suisse)

   2. Générateur de déclaration de confidentialité Datenschutzpartner (Suisse)

   3. Générateur de déclaration de confidentialité Weiss & Partner (UE)

   4. Générateur de déclaration de confidentialité Dr. Schwenke (UE)

4. Vous devriez utiliser l'anonymisation des adresses IP pour Google Analytics. Informations Google sur l'anonymisation des IP

5. Ne transmettez pas de données personnelles (par exemple, via des formulaires de contact) à Google Analytics (GA) ou à d'autres outils d'analyse et de suivi de site web. Cela serait contraire au RGPD et pourrait même entraîner la suppression de votre compte Google Analytics (car cela va également à l'encontre des directives de Google). Voici un guide pour vérifier si des données personnelles sont stockées dans GA et ce qui peut être fait pour y remédier.

6. Limitez les formulaires de contact aux seules données personnelles qui sont réellement nécessaires pour la prestation de service.

7. Dans le formulaire de contact, faites référence à vos politiques de confidentialité. Une case à cocher n'est pas indispensable selon nous, mais ne serait évidemment pas désavantageuse du point de vue du RGPD.

8. Les données personnelles doivent être stockées et transmises de manière cryptée et sécurisée.

9. Documentez qui a accès à quelles données.

10. Les sites web SSL sont un impératif.

11. Vous avez besoin du consentement actif des utilisateurs pour leur envoyer des newsletters (le consentement passif ne suffit plus).

12. Vous devez être en mesure de prouver quand et où une personne a donné son accord pour recevoir une newsletter.

13. Désignez un Délégué à la Protection des Données (DPO) (obligatoire uniquement pour les organisations qui traitent de grands volumes de données, mais également recommandé pour les petites entreprises).

14. Documentez votre processus de traitement des données.

15. Lors de l'envoi et de la réception d'e-mails, utilisez toujours le protocole de cryptage TLS (ou SSL).

Des questions ou des suggestions ? Écrivez-les dans les commentaires ci-dessous.

6. Évaluation RGPD et prévention des amendes

Pour évaluer la responsabilité en cas d'infractions et d'amendes, faites un inventaire de toutes les données personnelles que vous avez collectées et examinez-les à l'aide des six questions suivantes :

1. Dans quel but détenez-vous ces données ?

2. Comment avez-vous obtenu ces données ?

3. Quel était le but initial de la collecte ?

4. Combien de temps souhaitez-vous conserver ces données ?

5. Sont-elles sécurisées, tant en termes de cryptage que d'accessibilité ?

6. Partagez-vous les données avec des tiers et si oui, dans quel but ?

Gardez à l'esprit que les entreprises ne sont pas tenues de prouver leur conformité, mais le RGPD a le droit de mener des audits et des inspections.

7. Pourquoi le RGPD est nécessaire

Le RGPD est une bonne nouvelle pour tous les internautes.

Les utilisateurs se préoccupent de plus en plus de la manière dont leurs données personnelles sont utilisées – et à juste titre.

À une époque où les nouvelles font régulièrement état de violations de données non contrôlées, cette nouvelle directive répond aux préoccupations des utilisateurs et leur confère des droits et des obligations en matière de traitement des données. Une amélioration indispensable, et pas seulement après le récent scandale des données de Facebook.

Le RGPD vise à offrir plus de protection et de sécurité aux internautes et à simplifier la navigation sur Internet, ce qui est également une bonne nouvelle pour les exploitants de sites web, car cela permet de renforcer la confiance.

8. Droits et obligations essentiels de la nouvelle loi sur la protection des données 2018

1. Droit d'accès

Le droit d'accès est un droit de la personne concernée. Il confère aux citoyens de l'UE le droit d'accéder aux données personnelles stockées et aux informations relatives au traitement de ces données.

2. Droit à l'effacement

Le droit à l'effacement signifie que la personne concernée a le droit de demander la suppression de ses données personnelles pour l'une des raisons énumérées, y compris le non-respect de l'article 6.1 (licéité).

3. Droit à la portabilité des données (Art. 20 RGPD)

Chacun a le droit de transférer ses données personnelles d'un système de traitement électronique à un autre, sans être entravé par les responsables du traitement. L'exception concerne les données suffisamment anonymisées. RGPD Art. 20 https://dsgvo-gesetz.de/art-20-dsgvo/

4. Obligation : Protection des données dès la conception - Paramètres de confidentialité stricts à chaque étape (Art. 25 RGPD)

Les paramètres de confidentialité sur chaque partie d'un site web, que ce soit par le biais de formulaires, d'analyses ou partout où les données des utilisateurs sont gérées ou stockées, doivent être définis par défaut à un niveau élevé. Cela signifie que l'utilisateur n'a pas besoin de prendre des mesures supplémentaires pour s'assurer que ses données restent privées par défaut.

Le responsable du traitement prend des mesures techniques et procédurales pour s'assurer que l'ensemble du cycle de vie du traitement est conforme au règlement. Le chiffrement peut exclure les données personnelles du champ d'application du RGPD. Cela signifie que si les données sont entièrement chiffrées, elles ne sont plus identifiables et ne relèvent donc plus du champ d'application du RGPD.

Les opérations de chiffrement et de déchiffrement doivent être effectuées localement afin de garantir que les clés et les données restent sous le contrôle du propriétaire des données, et ainsi préserver la confidentialité.

Certaines techniques de chiffrement pourraient ne pas suffire à exclure les données personnelles du champ d'application du RGPD. Les responsables doivent examiner attentivement les données chiffrées et évaluer si elles risquent d'être déchiffrées, en tenant compte des éventuelles technologies futures.

5. Obligation de tenir des registres d'activités

Cela signifie que des registres des activités de traitement des données doivent être tenus, décrivant très précisément la finalité du traitement, les catégories de personnes concernées et les délais de conservation prévus.

6. Obligation de notification des violations dans les 72h

Le RGPD impose une nouvelle exigence : les responsables doivent notifier à l'autorité de contrôle de leur pays toute violation de données personnelles dans les 72 heures suivant sa découverte, à moins que les données n'aient été anonymisées ou chiffrées. Les violations présentant un risque élevé pour les droits et libertés d'une personne (vol d'identité, atteinte à la confidentialité, etc.) doivent également être signalées directement aux personnes concernées.

9. Qui est votre Délégué à la protection des données ?

Le RGPD exige la désignation obligatoire d'un DPO (Data Protection Officer, en français Délégué à la protection des données) pour toute entreprise ou organisation qui stocke ou traite de grandes quantités de données personnelles, que ce soit pour ses employés, des personnes externes à l'organisation ou les deux.

Le traitement des données est dirigé par un responsable du traitement dont les activités principales sont le traitement des données. Le DPO exige un aperçu régulier et systématique des données concernées. Le DPO est une personne experte qui doit connaître les réglementations et les pratiques en matière de protection des données et qui peut soutenir et superviser les responsables du traitement pour s'assurer qu'ils respectent le RGPD.

Le Délégué à la protection des données doit être en mesure de prouver un « consentement » (opt-in) et de s'assurer que ce consentement peut être retiré. L'identité et les coordonnées du responsable du traitement au sein de votre entreprise doivent être indiquées.

Même si non obligatoire pour toutes les organisations, la désignation d'un délégué à la protection des données est recommandée dans la plupart des entreprises.

10. RGPD : Montant des amendes possibles

Les amendes ont été augmentées. Selon l'infraction, il existe deux niveaux d'amendes.

La sanction maximale pour le non-respect du RGPD s'élève à vingt millions d'euros ou jusqu'à 4% de votre chiffre d'affaires annuel mondial (basé sur les chiffres de l'exercice précédent), selon le montant le plus élevé.

11. Arrêt actuel de la CJUE de septembre 2019

La CJUE s'est prononcée sur quatre questions très importantes :

• Les exploitants de sites web sont, aux côtés de Facebook, toujours co-responsables des violations de la protection des données.

• Le transfert non sollicité de données d'utilisateurs via le bouton J'aime de Facebook sur les sites web contrevient au droit de la protection des données.

• Les associations de consommateurs peuvent mettre en demeure, moyennant des frais, les sites web qui ont intégré le bouton J'aime de Facebook sans possibilité de consentement.

• Pour les cookies utilisés à des fins de suivi ou de publicité, un consentement réel des visiteurs du site web est nécessaire. Une simple bannière d'information sur les cookies ne suffit pas.

12. Conclusion

Le RGPD est une bonne nouvelle pour les particuliers et le public. C'est un pas de plus pour renforcer la sécurité d'Internet et surtout pour promouvoir l'équité et le respect dans l'utilisation des données personnelles.

Pour vous, en tant qu'entreprise ou association suisse, il est important que vous soyez conscient de vos obligations et que vous les respectiez. Vous pouvez consulter un avocat pour vous assurer de la conformité et vous pouvez au préalable imprimer et examiner attentivement la liste de contrôle RGPD-Suisse ci-dessus.

Questions et commentaires ?

Écrivez vos questions dans les commentaires et nous y répondrons avec plaisir.

*En soumettant ce formulaire, vous consentez à ce qu'onlineKarma stocke et traite les données personnelles soumises ci-dessus afin de vous fournir le contenu demandé : Déclaration de confidentialité.