Le Parlement européen a adopté le 16 avril 2016 le tout nouveau RGPD. Ce texte prône la protection des données des internautes européens. Désormais, les entreprises doivent faire preuve de transparence dans la collecte, le traitement et la sécurisation des données de leurs utilisateurs. Avec son entrée en vigueur le 25 mai 2018, ce règlement aura d’énormes impacts sur les acteurs du numérique.
Les exigences de transparence
Avec le nouveau règlement général de protection des données, la transparence s’impose aux auteurs du numérique. Avant consentement à transmettre ses données personnelles, l’internaute doit connaître la base juridique de la récupération desdites données ainsi que les finalités de leur traitement. L’entreprise qui instaure la collecte doit fournir à l’internaute des informations sur les destinataires de ces données. Elle doit aussi préciser si ces données transiteront vers une autre société, un sous-traitant, un pays tiers ou une organisation internationale. Elle garantit l’archivage des données et indique leur durée de conservation. Par ailleurs, le principe du « data minimization » exige que l’entreprise ne récupère que des données nécessaires, l’organisme de protection des données pouvant à tout moment lui demander de justifier ses choix.
L’indispensable consentement de l’utilisateur
Le nouveau RGPD consacre l’internaute comme un acteur clé de la collecte des données. Son consentement explicite devient obligatoire. Très précis, ce consentement s’applique à toutes les sources de collecte de données et doit demeurer vérifiable par un organisme externe. Concrètement, le nouveau RGPD met fin au cold-emailing. Enfin, le règlement impose un « double opt-in » de tous les prospects et de tous les clients. Le client ou le prospect doit confirmer son accord par mail avant toute politique d’emailing. Quant aux cookies, ils nécessitent aussi le consentement de l’internaute qui peut désormais les accepter ou les refuser avec la pleine connaissance de leur utilité.
Des droits avérés aux utilisateurs
Le RGPG consacre le droit à la portabilité des données des contacts, et les internautes bénéficient aussi du droit à l’oubli. Les entreprises doivent donc mettre en place un processus capable de renseigner chaque contact des informations disponibles sur lui. Ceci exige un espace dédié aux contacts. Ces derniers pourront y effectuer des demandes pour modifier ou supprimer leurs données. Pour une demande de suppression de données, les entreprises disposent de 30 jours au maximum pour y donner suite.
L’obligation de sécurité et de notification
Les entreprises doivent garantir la protection des données des utilisateurs. En cas de violation de données à caractère personnel, les sociétés doivent notifier l’information à l’organisme de protection des données, ainsi qu’aux individus concernés.
Leave a Reply