RGPD avocat :
ce qu´il faut connaitre sur le RGPD
01.
Créé par le Parlement européen, l’objectif du règlement général sur la protection des données (RGDP)
02.
Les données personnelles protégées par le RGPD comprennent (mais ne se limitent pas à) :
03.
On pense souvent à tort que les entreprises qui ne sont pas établies dans l’UE n’ont pas à s’inquiéter du RGPD
Qu’est-ce que le RGPD ?
Créé par le Parlement européen, l’objectif du règlement général sur la protection des données (RGDP) est de garantir que les entreprises protègent les données personnelles qu’elles acquièrent auprès des « personnes concernées » dans l’Union européenne.
Le RGPD définit la « personne concernée » comme « une personne physique identifiée ou identifiable », ce qui, en termes simples, signifie essentiellement toute personne qui fournit ses données personnelles à une entreprise. Lorsque vous créez un compte sur des sites de commerce électronique tels qu’Amazon ou Ebay, que vous choisissez de recevoir une lettre d’information par courrier électronique, ou même de remplir un formulaire d’admission dans un cabinet médical – et dans le cas de vos clients, dans votre cabinet d’avocats – vous fournissez vos données personnelles à une entreprise.
Ces entreprises sont appelées « responsables du traitement des données », que le RGPD définit comme « la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Les cabinets d’avocats tels que le vôtre seraient également couverts par ce label.
- Ad magna conubia bibendum voluptate labore ultri.
- Quidem cupidatat justo porttitor urnacupidatat jus.
- Vulputate ad eos diamlorem cupiditate ad eos diam.
- Esse labore ultrices! Hic pellentesque labore ultrices.
Droits étendus
Les nouveaux droits accordés aux clients de l’UE dans le cadre du RGPD comprennent le droit d’accès et le droit d’être oublié. Le droit d’accès permet aux personnes dans l’UE d’obtenir leurs données auprès d’un responsable du traitement ou du DPO (Délégué à la protection des données) sur demande, sans frais. Le droit d’être oublié permet aux personnes dans l’UE de demander à tout responsable du traitement qui possède leurs données personnelles de les effacer de leurs dossiers.
Que dois-je faire pour me mettre en conformité ?
Politiques de protection de la vie privée
Pour les entreprises de services professionnels telles que la vôtre, la création d’une politique de protection de la vie privée devrait être votre priorité absolue si vous n’en avez pas encore une. Selon le RGPD, votre politique de protection de la vie privée doit contenir un langage simple qui indique clairement comment vous collectez les données de vos clients et ce que vous en faites. Vous devez également indiquer si votre entreprise va partager les données d’un client avec un tiers et combien de temps vous avez l’intention de conserver ces données. Votre politique de confidentialité doit également être facilement accessible sur votre site, ou mise à disposition sur demande (tenir un registre).
Que se passe-t-il ensuite ?
Il est important de se rappeler que le RGPD est encore relativement récent au moment où nous écrivons ces lignes – le plein impact de cette nouvelle réglementation sera probablement visible avec le temps. Bien que le RGPD puisse sembler imposant, la plupart des entreprises de services professionnels n’ont rien à craindre. Tant que vous évaluez les pratiques actuelles en matière de sécurité des données (et que vous les ajustez si nécessaire), que vous respectez les nouveaux droits des consommateurs et que vous maintenez la transparence sur l’utilisation des données personnelles, votre entreprise sera probablement en sécurité.
Quand le RGPD entrera-t-il en vigueur ?
Le RGPD est entré officiellement en vigueur le 25 mai 2018. Le non-respect du RGPD pourrait entraîner de lourdes amendes, pouvant atteindre 28 millions de dollars ou 4 % des revenus annuels de l’entreprise fautive, selon le chiffre le plus élevé. Toutefois, les experts prédisent que ces sanctions seront probablement réservées aux plus gros contrevenants, les plus flagrants, qui ne prennent pas activement de mesures pour protéger les données des clients dans l’UE.
Qu’est-ce qui est considéré comme des données à caractère personnel ?
Les données personnelles protégées par le RGPD comprennent (mais ne se limitent pas à) :
- Les noms et prénoms,
- Les adresses résidentielles,
- Les adresses électroniques,
- Les numéros d’identification (permis de conduire, numéro de sécurité sociale, etc.),
- Les informations bancaires,
- Les données web (localisation GPS, cookies, adresses IP, etc.),
- Les dossiers médicaux,
- La race et l’ethnicité,
- L’orientation sexuelle,
- L’appartenance politique
Consentement démontrable
Le RGPD exige également que les entreprises obtiennent le consentement explicite d’un client dans l’UE avant d’utiliser leurs données personnelles à des fins commerciales. Par exemple, si vous disposez de l’adresse électronique d’un client et que vous souhaitez lui envoyer un bulletin d’information électronique, vous devez être en mesure de démontrer clairement que votre client souhaite que vous lui envoyiez ce bulletin. Cela peut souvent se faire en ajoutant une clause à vos formulaires d’accueil des clients, ou en ajoutant une case à vos formulaires en ligne que les répondants peuvent cocher pour indiquer leur consentement.
En quoi le RGPD me concerne-t-il ?
On pense souvent à tort que les entreprises qui ne sont pas établies dans l’UE n’ont pas à s’inquiéter du RGPD, car elles pensent que les règlements de l’UE ne peuvent pas leur être légalement appliqués. En réalité, les accords internationaux conclus entre différents pays et l’UE signifient que le RGPD touche les entreprises du monde entier. Quel que soit son lieu d’implantation, toute entreprise qui collecte des données personnelles auprès de clients situés dans l’UE doit se conformer au RGPD.
Toutefois, si votre cabinet juridique ne collecte pas de données personnelles auprès de clients de l’UE, il est probable que le RGPD ne s’applique pas à vous. Cela dit, si vous prévoyez que votre cabinet le fera dans un avenir proche, il est dans votre intérêt de prendre des mesures pour vous mettre en conformité avec le RGPD. Même si vous ne travaillez jamais avec un client dans l’UE, les pratiques requises pour se conformer au RGPD peuvent améliorer considérablement les systèmes de cybersécurité de votre entreprise.
Gestion des données
Il est essentiel que vous sachiez où se trouvent les données personnelles de vos clients afin de pouvoir les récupérer en cas de demande. Si ces données sont stockées sur vos machines, assurez-vous qu’elles sont conservées dans un casier numérique crypté et que seul le personnel autorisé peut y accéder. Si des données sont traitées par un tiers, tel qu’un organisme de paiement en ligne, vous devrez le contacter pour les récupérer si vous recevez une demande.
Il incombe également à votre entreprise de confirmer que toute demande de données est légitime. Pour ce faire, vous pouvez vérifier l’identité du demandeur en comparant les données personnelles que vous avez déjà obtenues légalement, par exemple en lui demandant d’indiquer son adresse ou son numéro de téléphone à domicile. Si vous ne pouvez pas vérifier la légitimité de la demande, celle-ci doit être refusée.
Pour en savoir plus sur les responsabilités liées au RGPD.
