A propos de la réglementation 2018 européenne sur la protection des données

Posté le 16 mars 2018 by

Comment limiter l’impact du GDRP sur son entreprise

Le GDRP concerne tous les résidents européens, tous, sauf ceux qui ne sont pas vos clients.

La meilleure solution pour limiter l’impact du GDRP sur l’entreprise est de ne pas stocker les données personnelles. Par exemple un casino en ligne tel que betFIRST Casino qui identifiera les habitudes des consommateurs afin de proposer sur une page dédiée les nouveaux jeux auxquels l’internaute n’as pas encore joué aura tout intérêt à ne pas stocker l’information « a joué » ou « n’a pas joué » à ce jeu, et simplement proposer une page identique des nouveaux jeux aux internautes en se basant sur la date de mise en ligne du jeu pour l’ensemble des internautes.

Lorsqu’il est nécessaire pour l’entreprise de traiter la donnée personnelle, la loi l’autorise si au moins une des conditions suivantes est remplie, et donc dans certains cas sans consentement:

  • la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques
  • le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;
  • le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
  • le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement

 

Les données collectées et hébergées via des outils et logiciels

La nouvelle réglementation sur la protection des données s’applique à  compter du vendredi 25 mai prochain. Pour vous conformer à la réglementation, vous pouvez (devez) vous appuyer sur des outils conformes à la réglementation, la jurisprudence Darty ayant statuée sur le fait que le donneur d’ordre porte la responsabilité de s’assurer que le fournisseur est conforme à la règlementation.

Logiciels et outils de sous-traitants

Les principaux acteurs de l’emailing, tel que Mailchimp, ont anticipé cette problématique et se sont engagés à proposer des outils adaptés pour vous permettre d’être conforme, tant en collectant les données d’opt-in (informations autorisées pour la collecte, avec date, heure et adresse IP correspondant au optin), qu’en donnant un droit (et un medium) d’accès et de suppression des données collectées aux utilisateurs.

A l’extérieur des outils

Lorsque vous créez votre propre site internet, celui-ci est tenu de se conformer au règlement européen si vous êtes une entité légalement basée en Europe, ou dont le site internet est hébergé en Europe, ou dont les internautes cibles sont domiciliés en Europe. Ce dernier point peut être litigieux, aussi nous vous recommandons dans la mesure du possible de vous y conformer si vous n’êtes pas dans l’un des deux premiers cas.

Les données concernées

Toutes les données personnelles sont concernées, que ce soit en B2C (le client est une personne), qu’en B2B : le représentant de l’entreprise ou votre contact privilégié est généralement une personne nommément nommée, dotée d’un nom, d’un prénom, et de caractéristiques professionnelles (un numéro de téléphone type ligne directe par exemple) qui sont reliées à ses noms prénoms et permettent donc de l’identifier.

Faut-il chiffrer les données ?

Ne cherchez pas la réponse sur internet mais dans le règlement européen n°2016/679. D’une manière générale nous vous recommandons d’aller à la source de l’information, puis de chercher un exemple, outil ou cas d’utilisation et mise en pratique. En l’occurrence, nombre de sites internet évoquent un chiffrement obligatoire, ce qui n’est pas le cas.

Section 2 – Sécurité des données à caractère personnel > Article 32 – Sécurité du traitement

« le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »

Un exemple de cas complexe à traiter

La règlementation française interdit les jeux en lignes de type casino, quand la règlementation européenne ne les interdit pas. Un site de jeu en ligne européen non français est donc face, sinon à un paradoxe, à un cas complexe : si il souhaite interdire les jeux aux ressortissants Français, il doit pour autant collecter et contrôler leur adresse IP. Ne stockant pas la donnée, ne l’associant pas à une données personnelle, et la consultant uniquement, celle-ci étant transmise publiquement par le visiteur, il peut la traiter sans la mentionner dans ses mentions légales et sans informer l’internaute car il en a besoin à des fins règlementaires. Le fait de faire réaliser l’application par un sous traitant, européen ou non, est sans incidence sur la règle.