Sélectionner une page

RGPD avocat : ce qu´il faut connaitre sur le RGPD

Vous avez peut-être entendu parler da la loi RGPD, le dernier effort en matière de réglementation des données personnelles qui a fait les gros titres ces derniers temps. Voici un aperçu de tout ce que vous devez savoir à ce sujet et des mesures que vous pouvez prendre pour protéger les données de vos clients dans le cadre de votre pratique juridique.

Qu’est-ce que le RGPD ?

Créé par le Parlement européen, l’objectif du règlement général sur la protection des données (RGDP) est de garantir que les entreprises protègent les données personnelles qu’elles acquièrent auprès des « personnes concernées » dans l’Union européenne.

Le RGPD définit la « personne concernée » comme « une personne physique identifiée ou identifiable », ce qui, en termes simples, signifie essentiellement toute personne qui fournit ses données personnelles à une entreprise. Lorsque vous créez un compte sur des sites de commerce électronique tels qu’Amazon ou Ebay, que vous choisissez de recevoir une lettre d’information par courrier électronique, ou même de remplir un formulaire d’admission dans un cabinet médical – et dans le cas de vos clients, dans votre cabinet d’avocats – vous fournissez vos données personnelles à une entreprise.

Ces entreprises sont appelées « responsables du traitement des données », que le RGPD définit comme « la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Les cabinets d’avocats tels que le vôtre seraient également couverts par ce label.

Qu’est-ce qui est considéré comme des données à caractère personnel ?

Les données personnelles protégées par le RGPD comprennent (mais ne se limitent pas à) :

  • Les noms et prénoms,
  • Les adresses résidentielles,
  • Les adresses électroniques,
  • Les numéros d’identification (permis de conduire, numéro de sécurité sociale, etc.),
  • Les informations bancaires,
  • Les données web (localisation GPS, cookies, adresses IP, etc.),
  • Les dossiers médicaux,
  • La race et l’ethnicité,
  • L’orientation sexuelle,
  • L’appartenance politique.

 

Quand le RGPD entrera-t-il en vigueur ?

Le RGPD est entré officiellement en vigueur le 25 mai 2018. Le non-respect du RGPD pourrait entraîner de lourdes amendes, pouvant atteindre 28 millions de dollars ou 4 % des revenus annuels de l’entreprise fautive, selon le chiffre le plus élevé. Toutefois, les experts prédisent que ces sanctions seront probablement réservées aux plus gros contrevenants, les plus flagrants, qui ne prennent pas activement de mesures pour protéger les données des clients dans l’UE.

En quoi le RGPD me concerne-t-il ?

On pense souvent à tort que les entreprises qui ne sont pas établies dans l’UE n’ont pas à s’inquiéter du RGPD, car elles pensent que les règlements de l’UE ne peuvent pas leur être légalement appliqués. En réalité, les accords internationaux conclus entre différents pays et l’UE signifient que le RGPD touche les entreprises du monde entier. Quel que soit son lieu d’implantation, toute entreprise qui collecte des données personnelles auprès de clients situés dans l’UE doit se conformer au RGPD.

Toutefois, si votre cabinet juridique ne collecte pas de données personnelles auprès de clients de l’UE, il est probable que le RGPD ne s’applique pas à vous. Cela dit, si vous prévoyez que votre cabinet le fera dans un avenir proche, il est dans votre intérêt de prendre des mesures pour vous mettre en conformité avec le RGPD. Même si vous ne travaillez jamais avec un client dans l’UE, les pratiques requises pour se conformer au RGPD peuvent améliorer considérablement les systèmes de cybersécurité de votre entreprise.

Que dois-je faire pour me mettre en conformité ?

Politiques de protection de la vie privée

Pour les entreprises de services professionnels telles que la vôtre, la création d’une politique de protection de la vie privée devrait être votre priorité absolue si vous n’en avez pas encore une. Selon le RGPD, votre politique de protection de la vie privée doit contenir un langage simple qui indique clairement comment vous collectez les données de vos clients et ce que vous en faites. Vous devez également indiquer si votre entreprise va partager les données d’un client avec un tiers et combien de temps vous avez l’intention de conserver ces données. Votre politique de confidentialité doit également être facilement accessible sur votre site, ou mise à disposition sur demande (tenir un registre).

Consentement démontrable

Le RGPD exige également que les entreprises obtiennent le consentement explicite d’un client dans l’UE avant d’utiliser leurs données personnelles à des fins commerciales. Par exemple, si vous disposez de l’adresse électronique d’un client et que vous souhaitez lui envoyer un bulletin d’information électronique, vous devez être en mesure de démontrer clairement que votre client souhaite que vous lui envoyiez ce bulletin. Cela peut souvent se faire en ajoutant une clause à vos formulaires d’accueil des clients, ou en ajoutant une case à vos formulaires en ligne que les répondants peuvent cocher pour indiquer leur consentement.

Droits étendus

Les nouveaux droits accordés aux clients de l’UE dans le cadre du RGPD comprennent le droit d’accès et le droit d’être oublié. Le droit d’accès permet aux personnes dans l’UE d’obtenir leurs données auprès d’un responsable du traitement ou du DPO (Délégué à la protection des données) sur demande, sans frais. Le droit d’être oublié permet aux personnes dans l’UE de demander à tout responsable du traitement qui possède leurs données personnelles de les effacer de leurs dossiers.

Gestion des données

Il est essentiel que vous sachiez où se trouvent les données personnelles de vos clients afin de pouvoir les récupérer en cas de demande. Si ces données sont stockées sur vos machines, assurez-vous qu’elles sont conservées dans un casier numérique crypté et que seul le personnel autorisé peut y accéder. Si des données sont traitées par un tiers, tel qu’un organisme de paiement en ligne, vous devrez le contacter pour les récupérer si vous recevez une demande.

Il incombe également à votre entreprise de confirmer que toute demande de données est légitime. Pour ce faire, vous pouvez vérifier l’identité du demandeur en comparant les données personnelles que vous avez déjà obtenues légalement, par exemple en lui demandant d’indiquer son adresse ou son numéro de téléphone à domicile. Si vous ne pouvez pas vérifier la légitimité de la demande, celle-ci doit être refusée.

Pour en savoir plus sur les responsabilités liées au RGPD.

Que se passe-t-il ensuite ?

Il est important de se rappeler que le RGPD est encore relativement récent au moment où nous écrivons ces lignes – le plein impact de cette nouvelle réglementation sera probablement visible avec le temps. Bien que le RGPD puisse sembler imposant, la plupart des entreprises de services professionnels n’ont rien à craindre. Tant que vous évaluez les pratiques actuelles en matière de sécurité des données (et que vous les ajustez si nécessaire), que vous respectez les nouveaux droits des consommateurs et que vous maintenez la transparence sur l’utilisation des données personnelles, votre entreprise sera probablement en sécurité.

Comment rédiger le registre RGPD dorénavant obligatoire ?

Comment rédiger le registre RGPD dorénavant obligatoire ?

Le registre de données, également appelé Inventaire des données, Cartographie des données personnelles, Registre des traitements, Registre des logiciels et Index des données, doit être tenu par le responsable du traitement ou le DPO et du contrôle des données de...

Quel est le rôle du DPO au sein de l’entreprise ?

Quel est le rôle du DPO au sein de l’entreprise ?

Qu’est-ce qu’un délégué à la protection des données ? Le délégué à la protection des données (DPO) est un nouveau rôle de sécurité de premier plan qui a été créé avec l'application du règlement général sur la protection des données (RGPD). Le délégué à la protection...

Avez-vous besoin d’un DPO pour être conforme au RGPD ?

Avez-vous besoin d’un DPO pour être conforme au RGPD ?

Depuis l'entrée en vigueur de la loi rgpd (Règlement Général de l'Union européenne sur la Protection des Données) en mai 2018, les conversations ont beaucoup porté sur les changements que les organisations doivent apporter pour se conformer aux nouvelles règles. L'un...

Comment votre entreprise est-elle impliquée dans le RGPD ?

Comment votre entreprise est-elle impliquée dans le RGPD ?

À partir du 25 mai 2018, une nouvelle loi affectera grandement la manière dont les entreprises de technologie de l'information se conforment à la collecte et au traitement des données personnelles. Cette loi rgpd, le Règlement général sur la protection des données,...

Quelles sont vos responsabilités en matière de RGPD ?

Quelles sont vos responsabilités en matière de RGPD ?

La responsabilité est un principe commun aux organisations de nombreuses disciplines ; ce principe implique que les organisations répondent aux attentes, par exemple dans la livraison de leurs produits et leur comportement envers ceux avec qui elles interagissent. Le...