Qu'est-ce que le règlement général sur la protection des données (RGPD)?
Le règlement général sur la protection des données (RGPD) est un cadre juridique qui définit des lignes directrices pour la collecte et le traitement des informations personnelles des personnes qui vivent dans l'Union européenne (UE). Étant donné que le règlement s'applique quel que soit le lieu d'implantation des sites Web, il doit être pris en compte par tous les sites qui attirent des visiteurs européens, même s'ils ne commercialisent pas spécifiquement des biens ou des services aux résidents de l'UE.
Le RGPD exige que les visiteurs de l'UE reçoivent un certain nombre de divulgations de données. Le site doit également prendre des mesures pour faciliter ces droits des consommateurs de l'UE en tant que notification en cas de violation de données personnelles. Adopté en avril 2016, le règlement est entré en vigueur en mai 2018, après une période de transition de deux ans.
Exigences de service à la clientèle du RGPD
Selon les règles, les visiteurs doivent être informés des données que le site recueille auprès d'eux et consentir explicitement à cette collecte d'informations, en cliquant sur un bouton Accepter ou sur toute autre action. (Cette exigence explique en grande partie la présence omniprésente de divulgations selon lesquelles les sites collectent des «cookies» - de petits fichiers contenant des informations personnelles telles que les paramètres et les préférences du site.)
Les sites doivent également informer les visiteurs en temps opportun en cas de violation de l'une de leurs données personnelles détenues par le site. Ces exigences de l'UE peuvent être plus strictes que celles requises dans la juridiction dans laquelle le site est situé.
Une évaluation de la sécurité des données du site est également requise, et si un délégué à la protection des données (DPD) doit être embauché ou si un membre du personnel existant peut remplir cette fonction.
Les informations sur la manière de contacter le DPD et les autres membres du personnel concernés doivent être accessibles afin que les visiteurs puissent exercer leurs droits en matière de données de l'UE, ce qui inclut également la possibilité de faire effacer leur présence sur le site, entre autres mesures. (Naturellement, le site doit également ajouter du personnel et d'autres ressources pour pouvoir effectuer de telles demandes.)
Autres règles et mandats du règlement général sur la protection des données (RGPD)
Afin de protéger davantage les consommateurs, le RGPD exige également que toutes les informations personnelles identifiables (PII) que les sites collectent soient anonymisées (rendues anonymes, comme le terme l'indique) ou pseudonymisées (avec l'identité du consommateur remplacée par un pseudonyme). La pseudonymisation des données permet aux entreprises de faire une analyse de données plus approfondie, telle que l'évaluation des taux d'endettement moyens de ses clients dans une région particulière - un calcul qui pourrait autrement dépasser les objectifs initiaux des données collectées pour évaluer la solvabilité d'un prêt.
Le RGPD affecte les données au-delà de celles collectées auprès des clients. Plus particulièrement, peut-être, le règlement s'applique aux registres des ressources humaines des employés.
Polémiques liées au RGPD
Le RGPD a suscité des critiques dans certains milieux. L'obligation de nommer des DPD, ou simplement d'en évaluer la nécessité, selon certains, impose une charge administrative indue à certaines entreprises. Certains se plaignent également que les directives sont trop vagues sur la meilleure façon de traiter les données des employés.
En outre, les données ne peuvent pas être transférées vers un autre pays en dehors de l'UE, à moins que la société destinataire ne garantisse le même degré de protection que l'UE l'exige. Cela a conduit à des plaintes concernant une perturbation coûteuse des pratiques commerciales.
On craint également que les coûts associés au RGPD n'augmentent au fil du temps, en partie en raison de la nécessité croissante de sensibiliser les clients et les employés aux menaces et aux solutions de protection des données. Il existe également un scepticisme quant à la manière dont les agences de protection des données dans l'UE et au-delà peuvent aligner leur application et leur interprétation des réglementations, et garantir ainsi des conditions de concurrence équitables à mesure que le RGPD entre en vigueur.
