fren

Le RGPD: 4 mythes à déboulonner pour de bon

Le RGPD, le Règlement général sur la protection des données, semble être un sujet dont tout le monde parle ces temps-ci. Malheureusement, j’ai remarqué la prolifération de bien des mythes concernant la conformité à cette loi (non seulement dans des billets de blogue, mais aussi en pratique). Je me suis donc dit qu’il serait pertinent d’adresser certains d’entre eux. Voici 4 mythes sur le RGPD qu’il faut déboulonner pour de bon.

Notez que ce billet de blogue ne constitue pas un avis juridique formel, mais plutôt de l’information juridique. Si vous avez des questions concernant le RGPD ou que vous avez besoin d’aide pour vous conformer à cette loi, envoyez-moi un courriel à info@artylaw.ca.

 

#1 Le RGPD ne s’applique qu’aux entreprises dans l’Union européenne

Bien que cela aurait rendu les choses beaucoup plus simples pour un grand nombre d’entreprises, il faut comprendre que tout le monde ne parle pas du RGPD pour rien. Ce règlement s’applique à toutes les entités qui collectent des données personnelles de résidents européens afin de leur vendre des biens ou des services ou de suivre leur comportement. Malheureusement, avec les pratiques existantes sur internet et l’utilisation de plateformes telles que Google Analytics, ceci s’applique à la plupart des entreprises.

Qu’est-ce qui est considéré comme une donnée personnelle ? C’est « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

 

#2 Je dois demander à tous ceux sur ma liste d’envoi de me redonner leur consentement si je veux continuer à leur envoyer mon infolettre

Il est vraiment dommage que ce mythe existe, car plusieurs entreprises y ont cru et ont donc perdu une grande partie de leur liste suite à l’envoi de courriels redemandant le consentement des abonnés. Si vous avez déjà obtenu le consentement de vos abonnés auparavant (ce que vous devriez absolument documenter), vous n’avez pas besoin de le redemander. Si vous n’avez pas demandé leur consentement avant de les inclure à vote liste d’envoi, les contacter pour le demander serait illégal.

Informer ses abonnés de sa nouvelle politique de confidentialité est une excellente pratique, mais ne tombez pas dans le piège de la redemande de consentement. Ce mythe ne découle que d’une mécompréhension de la loi.

 

#3 Si mes pratiques sont conformes à la LPRPDE (PIPEDA) et la loi Anti-spam, elles devraient aussi être conformes à la RGPD

Bien que les lois canadiennes sur la vie privée partagent certains aspects du RGPD, elles sont ultimement très différentes. Par exemple, les lois canadiennes permettent d’obtenir le consentement implicite d’utilisateurs afin de collecter leurs données, alors que le consentement explicite est un des principes clés du RGPD. PIPEDA n’impose aussi aucun âge requis afin de pouvoir donner son consentement alors que le RGPD met une limite de 16 ans (cette limite pouvant être abaissée à 13 ans par les membres de l’Union).

Le concept de portabilité des données (ce qui veut dire que si vous demandez à une entreprise les informations personnelles qu’elle détient sur vous, elle doit vous les donner dans un format « dans un format structuré, couramment utilisé, lisible par machine ») est aussi absent lorsqu’on analyse les lois canadiennes. Je pourrais rédiger un billet entier sur les différences entre les lois canadiennes et le RGPD, mais l’important est de comprendre que la conformité à PIPEDA et la loi Anti-spam ne garantit en aucun cas la conformité avec le RGPD.

 

#4 Avoir un politique de confidentialité, une politique de cookies et des formulaires conformes au RGPD est suffisant pour être complètement conforme à la loi

Il est vrai que ces aspects sont ceux qui sont le plus souvent abordés lorsqu’il est question du RGPD. Toutefois, ils sont loin d’être les seuls qui existent. Un des éléments les plus importants de cette loi est le fait de documenter les étapes prises afin d’être en conformité avec le RGPD et d’avoir une excellente compréhension du parcours des données personnelles à travers votre entreprise. Si vous traitez des données personnelles, vous devez savoir pourquoi vous le faites, sur quelles bases juridiques vous vous permettez de le faire et pendant combien de temps vous allez conserver ces données.

Être en conformité avec le RGPD implique aussi la révision de vos politique internes et de vous assurer que des mesures de sécurité adéquates sont en place. Si vous travaillez avec des sous-traitants ou d’autres partenaires d’affaires qui devront traiter les données personnelles que vous collectez (un hébergeur web est un bon exemple), vous devez vous assurer que ceux-ci sont aussi en conformité avec la loi.

 

N’oubliez pas qu’être conforme au RGPD est un processus et non une course. Prenez le temps de faire les choses correctement, d’avoir des politiques de confidentialité claires et transparentes et d’acquérir une excellente compréhension de ce que vous faites des données collectées.

Si vous avez besoin d’aide dans votre processus de conformité au RGPD, n’hésitez pas à me contacter que ce soit pour rédiger/réviser votre politique de confidentialité, faire un audit RGPD complet de votre entreprise ou simplement afin de répondre à vos questions. Vous pouvez toujours me contacter au info@artylaw.ca ou cliquer sur le lien ci-dessous afin d’obtenir une consultation.

À propos de l'auteure