12 étapes pour se conformer au RGPD en 2022

746 millions d’euros. C’est le montant qu’Amazon doit payer pour avoir violé le RGPD de l’UE. Annoncée dans leur rapport financier de juillet 2021, cette amende est la plus élevée jamais infligée dans le cadre du RGPD et constitue un avertissement clair : les autorités européennes de protection des données n’hésitent pas à sanctionner les entreprises les plus puissantes.

Le RGPD peut sembler complexe et difficile à maîtriser, mais ce n’est pas le cas. Il est tout à fait possible d’avoir un site web ou une application mobile conforme au RGPD. Cet article vous guidera à travers les principes de base et vous fournira une checklist pratique pour vous assurer de rester en conformité avec ce cadre de protection des données.

Table des matières

• Qu’est-ce que le RGPD dans l’UE ?
• À qui s’applique la conformité au RGPD ?
  • Sous-traitants de données
  • Responsables du traitement des données
• 12 étapes pour garantir la conformité au RGPD en 2022
  • Auditer et maintenir vos activités de traitement des données
  • Justifier clairement le traitement des données
  • Utiliser un logiciel pour détecter et signaler les violations de données
  • Adopter une politique de sécurité interne
  • Évaluer la nécessité d’une analyse d’impact sur la protection des données
  • Chiffrer les données autant que possible
  • Nommer un Délégué à la Protection des Données (DPO)
  • Veiller à ce que la politique de confidentialité soit à jour
  • Signer un accord avec les tiers
  • Examiner les droits des utilisateurs en matière de protection des données
  • Désigner un représentant de l’UE
• FAQ sur la conformité au RGPD

Qu’est-ce que le RGPD dans l’UE ?

Le Règlement général sur la protection des données (RGPD) est la loi de l’Union européenne en matière de confidentialité et de protection des données. Son objectif est de renforcer le contrôle et les droits des ressortissants de l’UE sur leurs données personnelles, tout en simplifiant l’environnement réglementaire pour les entreprises internationales. De nombreux pays en dehors de l’UE ont d’ailleurs calqué leurs cadres de protection des données sur le RGPD.

Adopté en 2016 et entré en vigueur en 2018, le RGPD est directement applicable dans tous les États membres de l’UE. Toute entreprise qui fait des affaires dans l’UE ou avec des entités de l’UE doit avoir un site web conforme au RGPD.

À qui s’applique la conformité au RGPD ?

Le RGPD s’applique à toute entreprise qui collecte des données sur des personnes dans l’UE ou qui leur propose des biens ou services. Cela est vrai même si vous n’avez aucune présence physique dans l’UE. Par exemple, vous pourriez être une agence immobilière à Minneapolis, dans le Minnesota, mais si vous suivez et analysez les visiteurs européens qui viennent sur votre site web, vous pouvez être concerné par le RGPD.

Sous-traitants de données

Le RGPD définit un sous-traitant comme « une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. » Bien qu’ils ne prennent pas de décisions sur la manière de gérer ou de traiter les données personnelles (cette responsabilité revient au responsable du traitement, voir ci-dessous), ils doivent tout de même se conformer au RGPD.

Responsables du traitement des données

Le RGPD définit un responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel. » Si votre organisation exerce un contrôle sur la manière dont les données à caractère personnel sont traitées, il s’agit de vous. Un responsable du traitement doit être en mesure de prouver qu’il est conforme au RGPD.

12 étapes pour garantir la conformité au RGPD en 2022

Auditer et maintenir vos activités de traitement des données

Si vous avez plus de 250 employés ou si vous effectuez un traitement de données à haut risque, vous devez tenir un registre de vos activités de traitement. Cette liste doit être à jour, détaillée et comprendre les éléments suivants :

• la finalité du traitement des données,
• les types de données que vous traitez,
• les personnes autorisées à accéder aux données dans votre organisation,
• les tiers ayant accès aux données et leur localisation,
• ce que vous faites pour protéger les données,
• le moment où vous prévoyez d’effacer les données.

Fournissez une justification claire du traitement des données

En vertu du RGPD, il est illégal de collecter des données sans justification adéquate. Vous devez pouvoir justifier pourquoi vous collectez les données personnelles de personnes dans l’UE. Voici quelques raisons valables pour le faire :

• la personne vous a donné son consentement explicite et sans ambiguïté pour traiter ses données. Par exemple, elle peut avoir accepté de figurer sur votre liste de diffusion marketing ;
• vous avez besoin des données de quelqu’un pour conclure un contrat avec cette personne. Par exemple, une société de location de voitures qui souhaite louer une voiture à un citoyen de l’UE ;
• vous avez besoin des données de quelqu’un pour sauver sa vie. Ceci est particulièrement pertinent pour les entreprises du secteur de la santé ;
• vous avez un intérêt légitime à utiliser les données de quelqu’un. C’est la justification la plus flexible, mais elle nécessite une raison particulièrement solide, notamment en ce qui concerne le traitement des données d’enfants.

Une fois que vous avez déterminé pourquoi vous collectez et traitez des données, vous devez documenter ces raisons et les présenter aux utilisateurs concernés de manière transparente et claire. Vous pouvez le faire dans votre politique de confidentialité.

Utiliser un logiciel pour détecter et signaler les violations de données

Vous devez notifier l’autorité compétente d’une violation de données dans les 72 heures suivant sa découverte. Il s’agit d’une exigence légale. Si vous dépassez ce délai, vous devez fournir une raison valable, faute de quoi des amendes supplémentaires peuvent être infligées.

Personne ne souhaite qu’une fuite de données se produise, en particulier lorsqu’il s’agit des données personnelles de vos clients. Mais si une fuite survient, il est essentiel d’en être informé le plus rapidement possible pour limiter les dégâts. Les logiciels de cybersécurité peuvent vous aider à éviter les fuites de données, ou du moins à vous en alerter lorsque les dommages sont encore limités.

Arrêtez et signalez les violations de données en temps réel. Commencez votre essai gratuit avec DataDome dès aujourd’hui.

Adopter une politique de sécurité interne

Même si votre sécurité technique est solide, des fuites de données peuvent toujours survenir si vos employés ne sont pas informés des bonnes pratiques en matière de sécurité des données. Mettez en place une politique de sécurité interne avec des meilleures pratiques, des mesures de protection et des procédures de sécurité pour tous les processus, logiciels ou interactions impliquant des données personnelles. Assurez-vous de documenter ces mesures et de les rendre facilement accessibles à tous les employés.

Examiner la nécessité d’une analyse d’impact sur la protection des données

Une analyse d’impact relative à la protection des données est un processus qui permet d’identifier les risques liés au traitement des données personnelles et de déterminer comment minimiser ces risques. Si vous utilisez des outils, procédures ou partenaires tiers présentant des risques élevés (ce qui est souvent le cas pour les activités en ligne), une analyse d’impact sur la protection des données est essentielle.

L’évaluation doit, au minimum, décrire de manière systématique pourquoi et comment les données sont traitées, si ce traitement est absolument nécessaire pour les objectifs établis, si ce traitement viole ou risque de violer les droits de confidentialité des utilisateurs, et comment vous allez précisément répondre à ces risques en cas d’incident.

Chiffrer les données autant que possible

L’une des meilleures façons de protéger les données des utilisateurs et de minimiser les conséquences d’une fuite de données est de chiffrer toutes les données. Le RGPD exige l’utilisation du chiffrement ou de la pseudonymisation autant que possible. Un logiciel de chiffrement de bout en bout peut vous aider à atteindre cet objectif. Ce n’est pas seulement une bonne idée dans le cadre du RGPD, mais aussi contre toutes les formes d’attaques de cybersécurité.

DataDome protège la confidentialité des utilisateurs finaux. Découvrez comment nous protégeons vos données : planifiez une démonstration aujourd’hui.

Nommer un Délégué à la Protection des Données (DPO)

Un DPO est une personne qui comprend le RGPD et sait comment il s’applique à votre organisation. Bien que cela soit utile, vous n’êtes tenu de désigner un DPO que si vous appartenez à l’une des trois catégories ci-dessous :

1. Vous êtes une autorité publique (autre qu’une juridiction agissant en sa qualité judiciaire).
2. Vous effectuez une surveillance régulière à grande échelle (par exemple, Facebook, Google).
3. Vous traitez des catégories particulières de données (celles définies dans les Articles 9 et 10 du RGPD).

Veiller à ce que votre politique de confidentialité soit à jour

Toute organisation souhaitant être conforme au RGPD doit avoir une politique de confidentialité concise, transparente, intelligible et facilement accessible sur son site web. Elle doit expliquer comment votre entreprise gère les données des utilisateurs. Cette politique doit inclure les informations suivantes :

• l’identité et les coordonnées de votre organisation, de son représentant, et de son DPO ;
• la finalité et la base légale du traitement des données personnelles par votre organisation ;
• les intérêts légitimes de votre organisation ;
• les détails concernant les transferts de données personnelles vers un pays tiers et les mesures de protection mises en place ;
• la durée de conservation des données personnelles et les critères sur lesquels elle repose ;
• les droits de vos utilisateurs en vertu du RGPD, y compris le droit de déposer une plainte ;
• si le traitement des données personnelles est une obligation légale ou contractuelle ;
• si les données sont traitées de manière automatisée et comment ce système a été mis en place.

Signer un accord avec les tiers

Pour une conformité complète au RGPD, vous devez être conscient des risques liés au traitement des données lorsque vous travaillez avec des tiers. Si vous demandez à un tiers de traiter des données personnelles en votre nom (dans ce cas, vous êtes le responsable du traitement et il est le sous-traitant), vous devez signer un accord de traitement des données.

Cet accord est un contrat juridiquement contraignant qui définit les droits et obligations de chaque partie en matière de données personnelles. L’article 28, section 3 du RGPD précise les éléments à inclure dans cet accord pour qu’il soit valide. Si vous ne pouvez pas signer un tel accord, il est conseillé de reconsidérer la collaboration avec ce tiers.

Par exemple, la solution reCAPTCHA v3 de Google n’est pas intrinsèquement conforme au RGPD, et il est peu probable que vous puissiez signer un contrat spécifique à reCAPTCHA avec Google. Comme Google n’est pas suffisamment transparent sur la manière dont il utilise les données de reCAPTCHA, toute entreprise qui utilise cette solution risque de violer les règles du RGPD. Il serait alors préférable de considérer l’utilisation d’une solution CAPTCHA compatible avec le RGPD.

Examiner les droits des utilisateurs en matière de protection de la vie privée

Il va presque de soi que vous devez connaître les droits de confidentialité de vos utilisateurs pour garantir votre conformité au RGPD. De plus, si vous êtes dans l’UE, ces droits s’appliquent aussi à vous. Les voici :

1. Le droit à l’information. Vous avez le droit de savoir comment vos informations personnelles sont collectées et utilisées.
2. Le droit d’accès. Vous avez le droit d’obtenir une copie de vos données personnelles ainsi que toutes les informations supplémentaires y afférentes.
3. Le droit de rectification. Vous avez le droit de corriger des données personnelles inexactes dans des délais raisonnables.
4. Le droit à l’effacement. Vous avez le droit de faire effacer vos données personnelles, également appelé le droit à l’oubli.
5. Le droit de limiter le traitement. Vous avez le droit de restreindre le traitement de vos données personnelles dans certaines circonstances, par exemple si vos données ont été traitées de manière illicite.
6. Le droit à la portabilité des données. Vous avez le droit d’obtenir vos données personnelles auprès d’un responsable de traitement de manière à pouvoir les réutiliser facilement dans un autre contexte.
7. Le droit d’opposition. Vous avez le droit de vous opposer au traitement de vos données personnelles, à moins que le responsable de traitement ne prouve un intérêt légitime à le faire.
8. Droits relatifs à la prise de décision automatisée et au profilage. Vous avez le droit de ne pas être soumis à une décision automatique qui vous affecte de manière significative.

Désigner un représentant au sein de l’UE

Nous comprenons que le RGPD peut sembler complexe. Si vous êtes une entreprise située en dehors de l’UE, cela peut être difficile à gérer seul. Un représentant dans l’UE peut vous aider à naviguer dans le cadre juridique du RGPD et vous fournir une checklist claire et exploitable pour vous mettre en conformité avec le RGPD.

Discutez avec l’un de nos experts pour vous assurer que votre organisation est conforme au RGPD. Réservez une démonstration en direct de DataDome dès aujourd’hui.

FAQ sur la conformité au RGPD

Comment savoir si je suis conforme au RGPD ?

Si vous suivez la checklist RGPD ci-dessus, vous aurez déjà bien avancé pour assurer votre conformité. La nomination d’un Délégué à la Protection des Données (DPO) ou d’un représentant au sein de l’UE est une manière particulièrement efficace de garantir que vous resterez conforme au RGPD.

Qu’est-ce que cela signifie d’être conforme au RGPD ?

Être conforme au RGPD signifie respecter pleinement les règles légalement contraignantes du règlement. Cela implique de traiter les données personnelles de manière responsable, tout en protégeant la vie privée des personnes résidant dans l’UE.

Comment se mettre en conformité avec la protection des données ?

Vous devez vous assurer que votre organisation est techniquement et opérationnellement sécurisée. La sécurité technique peut être assurée par des logiciels de protection de bout en bout et des solutions de gestion de la fraude comme DataDome, tandis que la sécurité opérationnelle peut être assurée par une politique de sécurité interne. Ces deux mesures contribueront grandement à la protection des données à caractère personnel que vous contrôlez ou traitez.

Qu’est-ce qu’une checklist de protection des données ?

Une checklist de protection des données est une liste d’actions que vous pouvez entreprendre pour protéger les données que vous contrôlez ou traitez. Elle n’est pas exhaustive, mais constitue généralement un bon point de départ pour garantir la conformité et la sécurité des données.