Dans le cadre de la mise en place de la nouvelle législation européenne sur la protection des données personnelles ( RGPD ), différentes agences accompagnent les entreprises et les institutions dans la création et la formalisation du registre des traitements de données personnelles, mais aussi dans sa diffusion sur leur site internet, quel que soit le technologie utilisée.
Le règlement général sur la protection des données a été mis en place pour protéger les données personnelles des personnes physiques. Elle établit certaines exigences pour assurer la transparence de l'entreprise et accorde aux utilisateurs des droits supplémentaires.
La tenue du registre, outre le respect de la loi, vous permet d'identifier, de comprendre et de gérer votre patrimoine de données personnelles. Sa construction et sa mise à jour permettent de se poser les bonnes questions et de réduire les risques liés au RGPD. Il s'agit donc d'une étape nécessaire à la mise en conformité avec le RGPD. Le traitement est souvent identique d'une entreprise à l'autre (prise en charge des candidats, clients, prospects, etc.). Ainsi, nous pouvons vous proposer un registre des agences types que nous avons réalisé et dans lequel vous pouvez collecter et adapter des éléments pouvant également vous concerner.
Une fois la phase d'inscription terminée, il s'agit de mettre en pratique les principes et règles définis sur le site. Ce règlement comprend 5 points importants, qui sont expliqués plus en détail ci-dessous :
1 1/ Informer le public sur la collecte des données
2 2/ Obtenir et obtenir le consentement exprès
3 3/ Durée du consentement
4 4/ Garantie de transfert des données personnelles
5 5/ Les mentions légales nécessaires sur votre site
6 Suivez ces étapes pour vous assurer que vos politiques de confidentialité sont en place.
7 Le cadre légal du traitement des données de santé
1/ Informer le public sur la collecte de données
Le RGPD vous oblige à informer explicitement les visiteurs de votre site web de la collecte de données que vous effectuez : les données collectées, la finalité de la collecte et la durée de conservation.
Toutes les données qui identifient directement ou indirectement un individu constituent des données personnelles. Une distinction est faite entre les données sensibles (origine raciale, opinions politiques, convictions religieuses, etc.) et les données non sensibles.
L'utilisateur doit comprendre clairement les raisons de la collecte des données (par exemple pour contacter l'entreprise ou traiter un achat en ligne), ce qui permet d'utiliser ces données et la base juridique au moment de la collecte. Il est également nécessaire d'indiquer qui peut accéder aux données (fonctions internes de l'entreprise, sous-traitants, etc. ), pendant combien de temps les données seront conservées et si elles seront transférées vers des pays hors de l'Union européenne (si oui, indiquer le pays et le cadre juridique permettant de maintenir le niveau de protection juridique).
Par ailleurs, vous êtes tenu de simplifier le processus par lequel l'utilisateur peut exercer ses droits, en indiquant par exemple comment il peut s'opposer à l'utilisation de ses données personnelles (en envoyant un e-mail, par courrier…).
2/ Obtenir et recueillir le consentement exprès
Le RGPD précise que « le consentement doit être donné au moyen d'un acte positif non équivoque par lequel l'intéressé exprime volontairement, explicitement et sans équivoque son consentement au traitement des données à caractère personnel le concernant, tel qu'une déclaration écrite, y compris électronique, ou une déclaration oral".
Une simple case cochée n'est pas recevable pour exprimer le consentement de l'utilisateur, elle doit être obtenue par un acte affirmatif. Le traitement n'est licite que si la personne concernée a consenti au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques.
Par ailleurs, le droit à l'oubli ou « droit à l'effacement » signifie que l'utilisateur d'un site internet doit disposer d'un droit permanent d'accès et de contrôle de ses données afin de demander la suppression définitive de ses données personnelles collectées lorsqu'il le souhaite.
3/ Durée du consentement
L'internaute a le droit de retirer à tout moment son consentement à la collecte de ses données personnelles. Dans le cas des cookies, l'autorisation ne peut être prolongée au-delà d'une période de 13 mois.
4/ Garantie de transfert des données personnelles
Le but ici est d'assurer l'échange d'informations entre l'ordinateur d'un internaute et le site d'une entreprise, d'une institution ou éventuellement de leurs sous-traitants. Cela nécessite de mettre en place un cryptage des données sous la forme d'un certificat TLS (SSL/HTTPS). Cela vous permet également de bénéficier d'un léger bonus de référencement naturel sur Google, ce qui n'est pas négligeable dans un monde de plus en plus concurrentiel.
Le RGPD introduit la notion de responsabilité solidaire, ce qui signifie que vous êtes responsable des données collectées par vous ou l'un de vos sous-traitants.
5/ Les mentions légales nécessaires sur votre site
Pour être en conformité avec le RGPD, les mentions légales de votre site internet doivent être modifiées pour répondre à l'objectif de transparence. Vous devez dédier une page entière de votre site au traitement des données spécifié dans votre registre. Cette nouvelle page, généralement appelée "Données Personnelles", renseigne l'utilisateur sur la collecte des données du site en décrivant la finalité, ou la finalité de l'inscription. Il explique également les types de données pouvant être utilisées, la durée de conservation (voir point précédent), les droits dont disposent les visiteurs sur leurs données et les différentes modalités d'application. Tout cela semble assez difficile, mais si le dossier de données personnelles de l'entreprise est rempli correctement, la page est assez simple à exécuter.
Suivez ces étapes pour vous assurer que vos politiques de confidentialité sont en place.
Il est nécessaire d'établir la finalité du traitement des données personnelles, ainsi que la raison de la collecte des données. Conformément à l'article 13.1. c du Règlement, « le responsable du traitement lui fournit, lors de la collecte des données concernées, l'ensemble des informations suivantes (…) les finalités du traitement auquel sont destinées les données à caractère personnel, ainsi que les base juridique du traitement ».
Ensuite, précisez la base juridique du traitement de vos données : consentement individuel, exécution d'un contrat ou d'une mesure précontractuelle, obligation légale, protection des intérêts vitaux d'une personne, mission d'intérêt public / autorité publique, intérêts légitimes du contrôleur de données.
Par la suite, il convient de préciser à qui sont destinées les données personnelles. Le RGPD diffère de la règle précédente en ce qu'il impose l'identification exacte des destinataires ou groupes de destinataires autorisés à accéder aux données personnelles collectées (sous-traitants, etc.). Le sous-traitant, selon le RGPD, est toute personne physique ou morale, autorité publique, service ou autre organisation qui traite des données personnelles pour le compte du responsable du traitement. Si vous travaillez avec des responsables du traitement qui ont accès aux données personnelles que vous traitez, vous devez les nommer, décrire leur fonction et préciser si les données sont détenues à l'intérieur ou à l'extérieur de l'Union européenne.
Lors de la collecte de données personnelles sur votre site Internet, il est essentiel de déterminer la durée de conservation. Si la détermination de la durée n'est pas possible, il est nécessaire de décrire les critères utilisés pour la déterminer. Vous devez également préciser si les données que vous souhaitez collecter sont obligatoires ou non.
D'autres éléments obligatoires doivent être inclus, tels que l'identité et les coordonnées du responsable du traitement et, le cas échéant, de son représentant, les coordonnées du délégué à la protection des données (si vous en avez un), le droit de demander la rectification ou la suppression d'un données personnelles de l'utilisateur ou de s'opposer à leur traitement et à leur portabilité, ainsi que le droit d'introduire une réclamation auprès d'une autorité de contrôle.
Dans des cas plus spécifiques, les fonctionnalités suivantes seront ajoutées : badge d'accès aux locaux commerciaux, vidéosurveillance des lieux de travail, géolocalisation des voitures des salariés.
Le cadre légal du traitement des données de santé
Certaines données considérées comme posant d'importants problèmes de confidentialité (par exemple, les données de santé) devraient faire l'objet d'une évaluation de l'impact sur la protection des données. Cette démarche vise à aider les entreprises à respecter la vie privée des utilisateurs lors du traitement de leurs données, mais aussi à démontrer leur conformité au RGPD.
Les données de santé étant considérées comme sensibles, elles font l'objet de mesures de protection plus strictes (groupe sanguin, données génétiques, fréquence cardiaque, etc.).
De manière générale, les données de santé relatives à une personne connue ou identifiable ne peuvent être exploitées ou commercialisées. Toutefois, si les personnes concernées donnent leur consentement clair et explicite, ou si le traitement relève de l'une des exceptions légales, les données peuvent être utilisées.
Voici les cas dans lesquels la loi autorise le traitement des données :
– Prévention de la santé publique – Préservation des intérêts vitaux de la personne – La médecine préventive, le traitement et le diagnostic sont autant d'aspects de l'évaluation médicale. – La médecine du travail, c'est-à-dire le pourcentage légal de personnes handicapées employées. – La gestion des systèmes et services de santé, ainsi que la protection sociale.