Règles Générales sur la Protection des Données
Données collectées par YOTECH et par ses Clients
Vue d'ensemble des nouvelles règles européennes concernant la confidentialité des données et les pratiques qui en découlent avec YOTECH
Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entre en vigueur, ouvrant une nouvelle ère de protection des données et de vie privée pour tous. Même si vous avez certainement entendu et lu beaucoup d'informations sur RGPD, il peut être difficile de comprendre exactement ce que cela signifie pour votre entreprise, en termes pratiques, et ce que vous devriez faire pour vous conformer aux nouvelles règles.
Chez YOTECH, nous nous engageons à suivre les meilleures pratiques en termes de sécurité et de confidentialité. Nous nous efforçons de fournir le même niveau de protection à tous les utilisateurs et clients, sans distinction d'emplacement ou de nationalité. Et nous appliquons ces meilleures pratiques pour toutes les données, pas seulement pour les données personnelles.
YOTECH Sàrl France et YOTECH Sàrl Suisse sont donc conformes à la RGPD.
1. Ce que vous devez savoir sur la RGPD
Astuce: Si vous le pouvez, la meilleure façon de comprendre la RGPD est de lire le texte officiel. C'est un peu long (99 articles sur 88 pages), mais assez lisible pour les non experts.
Il s'agit d'un règlement de l'UE qui vise à harmoniser et à moderniser la législation existante en matière de protection de la vie privée, telle que la directive européenne sur la protection des données qu'il remplace. Il établit des règles pour la protection des personnes physiques en ce qui concerne le traitement de leurs données personnelles et la libre circulation des données personnelles en Europe.
Il s'agit d'un règlement et non d'une directive, donc applicable immédiatement dans tous les États membres de l'UE, sans qu'il soit nécessaire de le transposer dans le droit interne de chaque pays. Les pays de l'UE ont une marge d'interprétation limitée pour les points les plus subtils, mais les règles fondamentales seront les mêmes pour tous, partout dans l'UE.
La RGPD apporte également la législation au prochain millénaire, en prenant en compte les médias sociaux, le cloud computing, la cybercriminalité et les principaux défis qu'ils causent en termes de confidentialité et de sécurité des données personnelles.
En un mot: ne paniquez pas ! La RGPD n'est pas une nouvelle législation à l'échelle mondiale, et c'est fondamentalement une bonne chose pour les citoyens et les entreprises.
C'est positif ! Nous voulons souligner que la RGPD peut être salutaire pour vous et vos clients. Se conformer à la RGPD peut initialement représenter beaucoup de travail, retenez les points positifs de ces nouvelles règles comme une confiance accrue de vos clients et de vos utilisateurs.
Simplification: Les mêmes règles sont appliquées dans tous les pays de l'UE et à toute structure mondiale traitant des données sur des citoyens européens la plupart des associations et entreprises suisses sont donc aussi concernées, se référer aussi à la loi fédérale sur la protection des données LDP pour la Suisse.
Rationalisation et centralisation de vos processus organisationnels
Le but de la RGPD est d'imposer aux individus plus de surveillance sur les données personnelles qu'elles traitent. Si votre entreprise met en place les stratégies et les systèmes appropriés, elle sera plus facile à gérer, plus sûre aujourd'hui et pour les années à venir.
Quels sont les risques si vous n'êtes pas conforme ?
La pénalité maximale pour non-conformité est une amende administrative de 20 millions d'euros, ou 4% de votre chiffre d'affaires annuel global, selon le montant le plus élevé. Un plus petit maximum de 10 millions d'euros ou 2% de votre chiffre d'affaires annuel global est applicable pour des infractions dites mineurs.
Ces maximums sont censés être dissuasifs pour les entreprises de toutes tailles, mais la RGPD exige également que les amendes soient maintenues proportionnées.
Les autorités de surveillance (également appelées autorités de protection des données: ADP) doivent prendre en compte les circonstances de chaque cas, y compris la nature, la gravité et la durée de l'infraction. Ces ADP sont également habilités à enquêter et à imposer des actions correctives, y compris la limitation des activités contrefaisantes, sans nécessairement imposer une amende.
Un autre risque si vous ne vous conformez pas est la perte de confiance de vos clients et prospects, qui se soucient de la façon dont vous traitez leurs données.
Enfin, de nombreux APD ont laissé entendre qu'ils n'imposeront pas encore d'amendes en 2018, mais ils s'attendent à ce que les entreprises démontrent qu'elles travaillent à la conformité.
Principes clés de la RGPD
Portée
Le règlement s'applique à tout traitement de données à caractère personnel par une organisation:
(1) si l'organisation de contrôle ou de traitement est située dans l'UE
(2) si l'organisation n'est pas située dans l'UE, mais que le traitement concerne des données personnelles de personnes résidant dans l'UE et est lié à des offres commerciales ou à un suivi du comportement.
Le champ d'application inclut donc les entreprises non-UE, ce qui n'était pas le cas avec une législation plus ancienne.
Les rôles
Le règlement distingue deux types principaux d'entités:
Contrôleur de données: toute entité qui détermine les finalités et les moyens du traitement de données à caractère personnel, seul ou conjointement. En règle générale, chaque organisation est un contrôleur pour ses propres données.
Processeur de données: toute entité qui traite des données pour le compte d'un contrôleur de données.
Par exemple, si votre société possède une base de données de type Odoo, Wordpress, Drupal, Pestashop, MODX... vous êtes le contrôleur de cette base de données et YOTECH le processeur des données.
Données personnelles
La RGPD donne une définition large des données personnelles: toute information relative à une personne physique identifiée ou identifiable. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, au moyen de ses noms, courriels, numéros de téléphone, informations biométriques, données de localisation, données financières, etc. Les identifiants en ligne (adresses IP, ID d'appareil, ...) sont également portée a cette réglementation.
Cela s'applique aussi dans les contextes professionnels: info@yotech.pro n'est pas considéré comme personnel, mais eric.dupond@yotech.pro l'est, car il peut être utilisé pour identifier une personne physique au sein d'une entreprise.
RGPD exige également un niveau de protection plus élevé pour les données sensibles, qui comprend des catégories spécifiques de données personnelles telles que la santé, l'information génétique, raciale ou religieuse.
Principes de traitement des données
Afin d'être conforme, les activités de traitement doivent respecter les règles suivantes, énumérées à l'article 5 de la RGPD:
Légalité, équité et transparence: pour collecter des données, vous devez disposer d'une base légale, d'un objectif clair et vous devez en informer le sujet.
⇨ Avoir une politique de confidentialité simple et claire, et s'y référer partout où vous collectez des données
⇨ Vérifier la base légale pour chacune de vos activités de traitement de données
Limitation de la finalité: une fois collectées dans un but précis, demandez la permission si vous souhaitez l'utiliser dans un but différent
⇨ Par exemple: vous ne pouvez pas décider de vendre vos données clients si elles n'ont pas été collectées à cette fin
Être minimaliste: Vous devez uniquement collecter les données nécessaires à votre utilisation
Exactitude: Des mesures raisonnables devraient être prises pour s'assurer que les données sont tenues à jour, en ce qui concerne le but
⇨ Par exemple: Assurez-vous de gérer les emails avec retour à l'expéditeur, et corrigez ou supprimez les adresses
Limite de stockage: Les données personnelles ne doivent être conservées que pendant la durée nécessaire à la réalisation de leur objectif principal.
⇨ Définir des délais d'effacement ou de révision des données personnelles que vous traitez, en fonction de leur finalité
Intégrité et confidentialité: les responsables du traitement des données doivent mettre en œuvre des mesures appropriées de contrôle d'accès, de sécurité et de prévention des pertes de données, en fonction des types et des étendues de données traitées.
⇨ Par exemple: Assurez-vous que votre système de sauvegarde fonctionne, disposez de contrôles de sécurité appropriés, utilisez le cryptage pour protéger les données sensibles telles que les mots de passe, ...
Responsabilité: Les contrôleurs de données sont responsables et doivent être en mesure de démontrer la conformité avec tous les principes de traitement ci-dessus. YOTECH peut être mandaté pour accompagner votre contrôleur de données dans ses taches.
⇨ Établir et maintenir une référence de cartographie de données pour votre organisation, décrivant la conformité de vos activités de traitement
⇨ Informer vos clients via une politique de confidentialité claire
Base légale
Pour être légal en vertu de la RGPD (premier principe), le traitement des données à caractère personnel doit se fonder sur l'une des six bases juridiques possibles énumérées à l'article 6 (1):
Consentement. Valide lorsque la personne concernée a explicitement et librement donné son consentement après avoir été correctement informée, y compris dans un but clairement défini et spécifique. Le fardeau de la preuve pour tout cela incombe au contrôleur.
Nécessaire pour l'exécution d'un contact, ou pour répondre aux demandes de la personne concernée, en préparation d'un contrat.
Le respect d'une obligation légale imposée au responsable du traitement.
Protéger un intérêt vital. Lorsque le traitement est nécessaire pour sauver une vie.
Intérêt public ou autorité officielle.
Intérêt légitime. Applicable lorsque le responsable du traitement a un intérêt légitime qui n'est pas outrepassé par les intérêts et les droits fondamentaux de la personne concernée.
Un changement majeur introduit par la RGPD par rapport à la réglementation précédente sur la confidentialité des données est les exigences plus strictes pour obtenir un consentement opposable.
Droits des sujets des données concernées
Les droits de confidentialité des données existants pour les particuliers sont étendus par la RGPD. Les organisations doivent être préparées à traiter les demandes des personnes concernées en temps opportun (dans un délai d'un mois), sans frais:
Droit d'accès: Les individus ont le droit de savoir comment et ou leurs données personnelles sont traitées, en toute transparence
Droit de rectification: Les individus ont le droit d'obtenir la correction ou le droit de compléter de leurs données personnelles
Droit à l'effacement: Les individus ont le droit d'obtenir la suppression de leurs données personnelles pour des raisons légitimes (consentement retiré, plus nécessaire pour le but initial, etc.)
Droit de restriction: Les individus peuvent demander que le responsable du traitement cesse de traiter leurs données personnelles, s'ils ne veulent pas ou ne peuvent pas demander une suppression complète
Droit d'opposition: Les particuliers ont le droit de s'opposer à tout traitement de leurs données personnelles à tout moment, par exemple à des fins de marketing direct
Portabilité des données: Les personnes ont le droit de demander que des données personnelles détenues par un responsable du traitement leur soient fournies, ou à un autre responsable du traitement
2. Comment vous devriez vous préparer pour la RGPD
Avertissement: Nous ne pouvons pas fournir de conseils juridiques, cette section est uniquement fournie à titre informatif. Veuillez contacter votre conseiller juridique afin de déterminer exactement comment la RGPD affecte votre entreprise.
Voici les étapes clés que nous suggérons pour une feuille de route de conformité pour la RGPD:
Établissez une cartographie des données sur les activités de traitement des données de votre organisation pour obtenir une image claire de la situation. Les autorités de protection des données fournissent souvent des modèles de feuilles de calcul pour vous aider dans cette tâche. YOTECH peut mettre en place une cartographie en rapport au données traitées dans le cadre des mandats qui lui sont confiés.
Pour chaque processus, documenter le type de données personnelles et comment elles ont été collectées; le but, la base légale et la politique d'effacement du traitement,les mesures de sécurité techniques et organisationnelles mises en place et les sous-traitants comme YOTECH (processeurs) impliqués.
Vous devrez maintenir cette cartographie de données régulièrement, à mesure que vos processus évoluent.
En fonction de l'étape 1, choisissez une stratégie d'assainissement pour tout traitement pour lequel vous n'avez pas de base légale (par exemple, un consentement manquant) ou lorsque vous n'avez pas mis en place les mesures de sécurité appropriées. Adaptez vos processus, vos procédures internes, vos règles de contrôle d'accès, les sauvegardes, la surveillance, etc.
Mettez à jour et publiez une politique de confidentialité claire sur votre site Web. Expliquez quelles données personnelles vous traitez, comment vous le faites et quels sont les droits des individus en ce qui concerne leurs données
Passez en revue vos contrats avec un conseiller juridique et adaptez-les à la RGPD
Décidez comment vous allez répondre aux différents types de demandes de données
Préparez votre procédure de réponse aux incidents en cas de violation de données
Selon votre situation, d'autres éléments pourraient être ajoutés à la liste, comme la nomination d'un délégué à la protection des données (DPO Data protection Officer). Consultez vos experts en traitement interne et vos conseillers juridiques pour déterminer toute autre mesure pertinente.
Rappelez-vous que l'établissement d'une cartographie claire de vos processus rendra tout plus facile sur la route de la conformité!
3. Comment les solution proposées par YOTECH sont-elles compatibles avec la RGPD?
Chez YOTECH, la mise en œuvre des meilleures pratiques en matière de confidentialité et de sécurité n'est pas une idée nouvelle. En tant que société d'hébergements dématérialisés, nous révisons et améliorons constamment nos systèmes, outils et processus, afin de maintenir une infrastructure fiable et sécurisée.
Notre rôle pour vous face à la RGPD
Notre responsabilité en matière de protection des données personnelles dépendent de l'activité de traitement des données en relation avec nos clients
Traitement de l'information
Type de données
Contrôleur de données et processeur
Sur Yotech.pro
Données personnelles fournies par nos clients directs et nos prospects, nos partenaires et tous les utilisateurs directs de Yotech.pro (noms, emails, adresses, mots de passe ...)
Processeur de données
Toutes les données personnelles stockées dans les bases de données de nos clients, hébergées sur notre infrastructure font l'objet d'agrément de confidentialité (NDA Non Divulgation Agreement)
Nos documents pour la RGPD
En tant que contrôleur de données, nos activités sont couvertes par notre politique de confidentialité, que nous mettons à jour régulièrement pour la RGPD. Cette politique explique aussi clairement que possible quelles données nous traitons, pourquoi nous les traitons et comment nous le faisons.
Étroitement liée à cela, notre politique de sécurité explique les meilleures pratiques en matière de sécurité que nous avons mises en place chez YOTECH, à tous les niveaux (technique et organisationnel) afin de garantir que vos données soient traitées de manière sûre, fiable et sécurisée.
Nos activités en tant que processeur de données sont couvertes par la même politique de confidentialité et la même politique de sécurité. En outre, nous sommes en train de mettre à jour nos contrats standard afin d'ajouter les clauses de protection des données nécessaires (souvent appelées «Data Protection Addendum» ou «Data Processing Agreement»), comme requis par la RGPD. Nos activités de traitement sont conformes à toutes les exigences de l'article 28 de la RGPD, nous faisons régulièrement approuver nos formulations, nos termes par notre partenaire juridique.