Logo - Full (Color)
Ignorer et passer au contenu principal
 

Conformité au RGPD

La plateforme HubSpot permet d'assurer facilement une mise en conformité au RGPD.

Consultez cette page pour en savoir plus sur les fonctionnalités de HubSpot en lien avec la mise en conformité au RGPD.

En savoir plus

Le RGPD en bref

Le RGPD (Règlement général de l'UE sur la protection des données) est une réglementation de l'UE qui remplace la Directive de l'UE sur la protection des données personnelles (DPD) de 1995. Son but est d'améliorer de manière significative la protection des données des citoyens de l'UE et d'augmenter les obligations des entreprises qui collectent ou traitent des données personnelles. Le règlement est applicable depuis le 25 mai 2018. Il s'appuie sur de nombreuses exigences de la Directive de 1995 concernant la confidentialité et la sécurité des données, mais comprend aussi plusieurs nouvelles dispositions visant à accroître les droits des personnes concernées et à durcir les pénalités en cas d'infraction.

Le texte complet du RGPD peut être consulté à cette adresse et un glossaire de tous les termes juridiques dont vous aurez besoin est à disposition sur cette page.

Avant le RGPD

La protection des données dans l'UE est antérieure au RGPD. commence à dater ? Bien que la Directive de l'UE sur la protection des données personnelles de 1995 a été remplacée en mai 2018 par le RGPD, ladite Directive avait fixé les huit principes de protection des données qui ont régi le traitement des données personnelles par les entreprises depuis plus de vingt ans. 

Pour en savoir plus sur la Directive de 1995 et les huit principes originaux de protection des données, faites défiler cette page vers le bas jusqu'à la section des questions et réponses.

Le RGPD me concerne-t-il ?

Alors que la législation européenne en vigueur (la Directive de l'UE sur la protection des données personnelles de 1995) s'applique aux entités au sein de l'UE, la portée territoriale du RGPD est bien plus large, car celui-ci s'applique aux entreprises hors de l'UE qui (1) distribuent leurs produits dans l'UE ou (2) s'intéressent au comportement de la population dans l'UE. En d'autres termes, même si votre siège se situe hors de l'UE, tant que vous contrôlez ou traitez des données relatives aux citoyens de l'UE, le RGPD s'applique à vous.

Vérifiez si votre entreprise est prête pour le RGPD grâce à cette check-list.

Les principales modifications apportées par le RGPD

Consentement

Lorsqu'une personne s'apprête à soumettre ses informations personnelles, le responsable du traitement des données (en général, une entreprise) doit veiller à obtenir son consentement. Le RGDP durcit les normes de divulgation lors de l'obtention du consentement, qui doit se « manifester de façon libre, spécifique, éclairée et univoque », et exige que les responsables du traitement utilisent des termes juridiques « clairs et simples » qui se « distinguent clairement » d'autres questions. Les responsables du traitement doivent également établir que leurs processus sont conformes et suivis dans chaque cas. Auparavant, en vertu de la DPD, le consentement pouvait être déduit d'une action ou d'une inaction lorsque cette action ou inaction signifiait clairement un consentement. Par conséquent, la Directive a laissé la possibilité de mettre en place un mécanisme de retrait. Toutefois, cela changera avec le RGPD qui exige que la personne concernée donne son accord par « une déclaration ou par un acte positif clair ».

En bref, le consentement de votre client ne peut être forcé, et ce dernier doit être conscient qu'il accepte le traitement de ses données personnelles. De plus, il doit savoir exactement ce à quoi il consent et il doit être informé à l'avance de son droit à retirer ce consentement. Le consentement doit être obtenu par une indication positive, c'est-à-dire qu'il ne peut être déduit du silence, de cases précochées ou de l'inactivité. Cela signifie qu'il sera plus important à l'avenir d'informer l'utilisateur pendant le processus d'inscription.

Nouveaux droits pour les personnes

Le règlement intègre aussi deux nouveaux droits pour les personnes concernées : un « droit à l'oubli » exigeant des responsables du traitement qu'ils informent les destinataires de telles demandes d'effacement, et un « droit à la portabilité des données » qui permet aux personnes concernées de demander une copie de leurs données dans un format couramment utilisé. Grâce à ces deux droits, il sera désormais plus facile pour les utilisateurs de demander que les informations stockées soient supprimées ou que les informations collectées soient partagées avec eux.

Demandes d'accès

Les personnes concernées ont toujours eu le droit de demander à accéder à leurs données. Le RGPD renforce ce droit. Dans la plupart des cas, vous ne pourrez faire payer le traitement d'une demande d'accès, sauf si vous êtes en mesure de prouver que le coût de cette demande sera excessif. De plus, le délai de traitement d'une demande d'accès diminuera considérablement par rapport au délai actuel de 40 jours. Dans certains cas, les entreprises peuvent refuser l'accès à des données, lorsque la demande est jugée infondée ou abusive par exemple. Toutefois, les entreprises devront définir des clauses et des procédures de refus claires, et démontrer en quoi la demande répond à ces critères de refus.

Protection des données dès la conception et analyse d'impact relative à la protection des données

Plusieurs nouveaux principes sont introduits pour les entreprises qui gèrent des données personnelles, y compris l'obligation d'intégrer la confidentialité des données « dès la conception » lors du développement de nouveaux systèmes, ainsi que l'obligation d'effectuer une analyse d'impact relative à la protection des données lorsque les données sont traitées à l'aide de « nouvelles technologies » ou de manière risquée. Une analyse d'impact relative à la protection des données consiste à systématiquement prendre en compte l'incidence potentielle d'un projet ou d'une initiative sur la vie privée des personnes, de manière à pouvoir détecter d'éventuels problèmes de confidentialité avant qu'ils ne surgissent, et donner ainsi le temps à l'entreprise de trouver un moyen de les atténuer avant de lancer le projet.

Délégué à la protection des données

Sur le plan de la sécurité, le RGPD imposera à de nombreuses entreprises d'avoir un délégué à la protection des données, chargé de superviser les initiatives de conformité. Parmi les entreprises qui ont besoin d'un délégué à la protection des données figurent les administrations publiques, les entreprises dont les activités incluent la surveillance régulière et systématique de personnes concernées à grande échelle, ou les entreprises qui traitent de larges volumes de ce qu'on appelle actuellement les données personnelles sensibles.  Même si le RGDP conserve actuellement les méthodes approuvées de la Directive permettant de garantir le « caractère adéquat » du transfert de données personnelles vers un pays tiers (y compris le bouclier de protection et les clauses contractuelles types), les délégués à la protection des données seront également utiles pour superviser les relations du responsable du traitement avec les fournisseurs qui traitent et hébergent des données personnelles, évaluer les pratiques de ces fournisseurs en matière de sécurité et informer ces derniers des demandes effectuées par les personnes concernées.

Contrats et documents relatifs à la confidentialité

Étant donné que le RGPD a pour objectifs ultimes la transparence et l'équité, les responsables du traitement et les sous-traitants devront examiner leurs avis et déclarations de confidentialité et toute autre politique interne en matière de données afin de vérifier leur conformité au RGPD. Si un responsable du traitement fait appel à des fournisseurs tiers pour traiter les données personnelles qu'il contrôle, il devra s'assurer que les contrats signés avec ces sous-traitants ont été mis à jour de manière à prendre en compte les nouvelles dispositions obligatoires énoncées à l'article 28 du règlement. De même, les sous-traitants devront réfléchir aux modifications à apporter aux contrats passés avec leurs clients afin d'être conformes au RGPD à partir de mai 2018.

Un guichet unique

La tâche des délégués à la protection des données devrait être simplifiée par une nouvelle disposition du RGPD dite du « guichet unique », en vertu de laquelle les entreprises comptant des bureaux dans plusieurs États membres de l'UE disposeront d'une « autorité de contrôle chef de file » agissant comme organisme central d'application, afin d'éviter des incohérences dans les instructions données par plusieurs autorités de contrôle.

Signaler les failles de sécurité

Le RGPD comporte une nouvelle obligation en vertu de laquelle les responsables du traitement doivent avertir l'autorité de contrôle de leur pays de toute violation des données personnelles dans les 72 heures après la découverte de cette violation, sauf si les données étaient anonymes ou chiffrées. En pratique cela signifie que la plupart des violations de données devront être signalées à l'autorité de protection des données.  Les failles de sécurité susceptibles de porter préjudice à une personne (un vol de données d'identité ou une violation de la confidentialité par exemple) doivent également être communiquées aux personnes concernées.

Portée

Alors que la législation en vigueur (la Directive de l'UE sur la protection des données personnelles de 1995) s'applique aux entités au sein de l'UE, la portée territoriale du RGPD est bien plus large, car celui-ci s'applique aux entreprises hors de l'UE qui (1) distribuent leurs produits dans l'UE ou (2) s'intéressent au comportement de la population dans l'UE. En d'autres termes, même si votre siège se situe hors de l'UE, tant que vous contrôlez ou traitez des données relatives aux citoyens de l'UE, le RGPD s'applique à vous.

Responsabilité

Ce nouveau concept imposera aux responsables du traitement et aux sous-traitants d'être en mesure de prouver à leur autorité de contrôle locale qu'ils respectent le RGPD. Les processus devront être enregistrés, appliqués et révisés régulièrement. Le personnel devra être formé et des mesures techniques et organisationnelles adaptées devront être prises pour garantir et prouver la conformité au RGPD.

Des sanctions sévères

L'importance des nouvelles dispositions du RGPD est soulignée par les nouvelles sanctions imposées en cas d'infraction. Selon le type d'infraction constatée, les responsables du traitement et les sous-traitants qui géreraient mal des données personnelles ou violeraient les droits des personnes concernées pourraient avoir à payer une amende allant jusqu'à 20 millions d'euros, ou égale à 4 % de leur chiffre d'affaires annuel global (la somme la plus importante étant retenue).

En savoir plus sur la conformité avec le RGPD

  • Bien que la DPD soit en passe d'être remplacée par le RGPD, elle établit les huit principes de protection des données sur lesquels ce dernier est fondé. Ces règles qui régissent la manière dont les entreprises doivent traiter les données personnelles sont définies ci-dessous :

    1. Obtenir et traiter les données personnelles de manière loyale
    2. Les conserver uniquement à des fins précises et licites
    3. Les traiter uniquement de manière compatible avec les fins auxquelles elles vous ont été fournies au départ
    4. Assurer leur sécurité
    5. Veiller à ce qu'elles soient exactes et à jour
    6. Veiller à ce qu'elles soient adéquates, pertinentes et non excessives
    7. Ne pas les conserver plus longtemps que nécessaire
    8. Fournir une copie de ses données personnelles à quiconque en fait la demande

    La DPD est une directive, c'est-à-dire un acte législatif qui définit des objectifs que tous les pays de l'UE doivent atteindre. Toutefois, il incombe à chaque pays de concevoir ses propres lois quant à la façon d'atteindre ces objectifs. En Irlande par exemple, les objectifs de la DPD ont été traduits dans le Irish Data Protection Act de 1998.

    En revanche, un règlement tel que le RGPD est un acte législatif contraignant qui s'applique dans son intégralité dans l'ensemble de l'UE.

  • Pour ceux qui ne connaissent pas ce terme, le processus de double d'inscription est un mécanisme en deux étapes par lequel une personne doit confirmer son adresse email après son inscription initiale. Le RGPD ne précise pas si cette forme de consentement est obligatoire. Nous avons déjà donné la définition du terme « consentement » plus haut. Le considérant 32 du RGPD définit plus clairement ce que signifie le terme consentement selon le règlement et de nouveau, le processus de double inscription n'est pas expressément imposé pour le consentement. Le considérant 32 dispose que :

    Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site internet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.
     

    Au moment où nous écrivons ces lignes, le groupe de travail européen pour l'article 29 n'a fourni aucune instruction officielle qui suggérerait que ce mécanisme soit obligatoire en vertu du RGPD. HubSpot surveillera les évolutions et les conseils donnés dans ce domaine et mettra à jour cette page au cas où les institutions de l'UE fourniraient une instruction officielle sur le sujet.

    Il convient d'observer que les abonnés au service HubSpot ont déjà la possibilité d'activer la fonctionnalité de double inscription dans leur portail, ce qui leur permet de disposer d'un moyen supplémentaire de prouver qu'ils ont obtenu le consentement requis.

  • En juin 2016, la majorité des électeurs britanniques ont voté en faveur de la sortie de l'UE lors du référendum appelé « Brexit ». En mars 2017, Theresa May a notifié l'UE de la sortie du Royaume-Uni en vertu de l'article 50, ce qui a déclenché le lancement des négociations sur le Brexit. Le Royaume-Uni devra quitter l'UE au plus tôt selon les modalités de sortie convenues et dans un délai maximal de deux ans après la notification de sortie, donc d'ici la fin du mois du mars 2019. Par conséquent, il est très probable que le Royaume-Uni fera encore partie de l'UE au mois de mai 2018, date d'échéance du RGPD. Cela signifie que si votre entreprise a son siège au Royaume-Uni, vous devrez vous efforcer de respecter le RGPD, comme si le Brexit n'avait jamais eu lieu.

    Une fois que le Royaume-Uni quittera l'UE, le RGPD disparaîtra automatiquement, sauf si le pays adopte une législation nationale pour conserver tout ou partie du RGPD. Le gouvernement britannique se prononce actuellement en faveur d'une telle conservation, mais il faudra attendre de voir si cela se confirme dans les faits.

    Si le siège de votre entreprise se trouve en dehors du Royaume-Uni mais que vous avez des fournisseurs ou des filiales au Royaume-Uni avec lesquels vous partagez des données personnelles, vous devrez surveiller les évolutions dans ce domaine. Lorsque le Royaume-Uni quittera l'UE, il deviendra un « pays tiers» aux fins des transferts de données à l'étranger, et par conséquent des mesures de protection supplémentaires pourront être nécessaires pour protéger les données que vous transférez vers le Royaume-Uni. Si l'UE détermine que le Royaume-Uni a adopté des normes suffisantes pour protéger correctement les données personnelles des citoyens de l'UE, ce dernier pourra être ajouté à la « liste blanche » des pays approuvés, auquel cas il ne sera pas nécessaire d'ajouter des mesures de protection, telles que les clauses types de l'UE, pour protéger ces transferts.

  • La Directive de l'UE sur la protection des données personnelles de 1995 accorde déjà de nombreux droits aux personnes concernées, mais le RGPD renforce considérablement ces droits. Désormais les personnes concernées peuvent :

    • obtenir des détails sur la manière dont leurs données sont traitées par une entreprise ou un organisme ;
    • obtenir une copie des données personnelles qu'une entreprise détient à leur sujet ;
    • faire corriger les données incorrectes ou incomplètes ;
    • obtenir la suppression de leurs données par une entreprise, lorsque celle-ci n'a pas de motif légitime de les conserver, par exemple ;
    • récupérer leurs données auprès d'une entreprise et les faire transmettre à une autre entreprise (portabilité des données) ;
    • refuser le traitement de leurs données par une entreprise dans certaines circonstances ;
    • ne pas faire l'objet (avec certaines exceptions) d'un processus automatisé de prise de décision, notamment le profilage.
  • Non. Le RGPD n'impose pas de stocker les données dans un pays de l'UE et les règles concernant le transfert des données personnelles en dehors de l'UE ne changeront pas. Cela signifie que, tant que les données personnelles sont « correctement protégées », elles peuvent être transférées à l'étranger. Par exemple, l'UE a préparé une liste des pays qui selon elle offrent des normes de protection adéquates (appelée « liste blanche »), vers lesquels les transferts de données sont autorisés. Lorsqu'un pays ne figure pas sur cette liste de l'UE (les États-Unis par exemple), le responsable du traitement doit s'appuyer sur les dispositions contractuelles approuvées (telles que les les clauses types ou les règles d'entreprise contraignantes) ou sur l'une des autres mesures prévues par la loi, telles que la certification de conformité au bouclier de protection.

  • Nous avons élaboré une liste de sites supplémentaires donnant des informations sur le nouveau règlement. N'hésitez pas à consulter ces sites.

  1. A glossary with all legal definitions around the GDPR

    Notre glossaire du RGPD

    Le RGPD a été rédigé par des avocats, il n'est donc pas surprenant qu'il comporte un peu de jargon juridique, et c'est pourquoi nous avons compilé un glossaire qui vous permettra d'en comprendre les termes essentiels.

    Accéder au glossaire
  2. Our GDPR Compliance Checklist

    Notre liste gratuite de contrôle de la conformité au RGPD

    HubSpot a élaboré une liste de contrôle de la conformité au RGPD gratuite pour aider ses clients et ses partenaires à déterminer la marche à suivre.

    Accéder à la liste
  3. Our GDPR Compliance Checklist

    Notre étude sur le RGPD

    Votre entreprise est-elle conforme aux nouvelles dispositions du RGPD ? Que pensent les consommateurs de ces changements ? Découvrez les réponses à ces questions dans notre étude sur le RGPD.

    Accéder à l'étude