Exigences du RGPD

Tout dépend si vous stockez ou utilisez des données personnelles sur des citoyens européens. Que ces citoyens soient des clients, des prospects ou des employés. Si vous avez des employés européens, vous stockez probablement leurs noms, adresses et informations bancaires. De telles données sont considérées comme des données personnelles aux yeux de la Commission européenne. Vous devez donc mettre en œuvre certaines parties du règlement, par exemple, les employés doivent donner leur consentement à l’utilisation de leurs données et ont des droits tels que le droit de rectification. Vous devez être en mesure de documenter tout cela aux autorités.

Tout dépend du type de données que vous traitez. Les données peuvent-elles être utilisées pour identifier des personnes ? Si tel est le cas, et c'est le cas pour la plupart des entreprises B2B, vous traitez des données personnelles aux yeux de la Commission européenne. Vous devez donc vous mettre en conformité dans les mêmes conditions que les entreprises B2C

La réponse est simple : Oui, vous l'êtes. Si vous traitez des données personnelles de citoyens de l’Union européenne, vous devez vous mettre en conformité, quel que soit l’endroit où vous vous situez, membre de l'UE ou non.

Non, pas nécessairement. Une première version du RGPD spécifiait effectivement que 250 employés était le nombre exact à partir duquel vous aviez besoin d’un DPD. Le règlement final ne contient malheureusement pas de directives aussi claires à ce sujet. Les DPD sont obligatoires pour toutes les autorités publiques, pour les organisations qui effectuent un traitement à grande échelle de catégories spéciales de données personnelles (telles que les données relatives à la santé), et lorsque les activités principales d’une entreprise impliquent « un suivi régulier et systématique des personnes concernées, à grande échelle ». La plupart des grands retailers répondent à cette définition. Si vous n’êtes pas sûr que ce point du RGPD s’applique à vous, nous vous suggérons de consulter un conseiller juridique.

Oui. Le RGPD définit une «  limitation du stockage des données » ce qui signifie que les données personnelles ne peuvent pas être stockées plus longtemps que ce qui est nécessaire aux fins de traitement. Les données à caractère personnel peuvent être conservées pendant des périodes plus longues. Ces données doivent dans ce cas être traitées uniquement à des fins d'archivage dans l'intérêt public, ou à des fins de recherche scientifique et historique ou à des fins statistiques.

Oui. Il s’agit désormais d’un droit du consommateur appelé « droit à la portabilité des données ». Le RGPD indique explicitement : « La personne concernée a le droit de recevoir les données à caractère personnel la concernant, qu’elle a fournies à un contrôleur, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre contrôleur sans que le contrôleur auquel les données à caractère personnel ont été fournies y fasse obstacle. »

Le RGPD a certainement un impact important sur la façon dont vous faites votre marketing, sans parler des personnes que vous pouvez cibler, et ce, que vous soyez dans le secteur B2C ou B2B. Selon les exigences en matière de consentement, vous devez recueillir un consentement clair de chaque personne ciblée, qui indique clairement qu’elle accepte que vous utilisiez ses données et que vous lui adressiez des messages marketing. Auparavant, vous pouviez collecter des contacts et les placer dans votre base de données. Vous pouvez ensuite utiliser leurs coordonnées pour leur adresser des messages marketing sur des plateformes et à des fins différentes de celles pour lesquelles les données avaient été collectées à l'origine. Avec le RGPD, le consentement doit être spécifique à une opération de traitement particulière, ce qui signifie que vous ne pouvez pas demander un consentement illimité ou général pour couvrir un traitement futur. Si vous souhaitez prospecter une personne pour des fins différentes, vous devrez recueillir un nouveau consentement relatif à cet objectif spécifique. En outre, vous devez gérer correctement tous ces consentements pour pouvoir les présenter aux autorités sur demande.

Oui, mais les récepteurs de ces données doivent respecter certaines normes de protection des données. Le RGPD autorise le transfert de données personnelles vers des organisations et des pays non membres de l’UE dont la Commission européenne a estimé qu’ils offraient un niveau de protection « adéquat » ou dans certaines circonstances, par exemple en utilisant des clauses contractuelles types ou des règles d'entreprise contraignantes (BCR).

Le RGPD est également créé pour simplifier la gestion des données personnelles dans un environnement multinational et pour minimiser le risque que les entreprises soient impliquées dans des violations de données gravement dommageables. Le RGPD a remplacé dans la plupart des aspects les différentes lois nationales, dans le but d'harmoniser les règles de protection des données dans toute l'Europe. En outre, avec l’introduction d’une « autorité de contrôle » dans chaque État membre, les organisations disposent d'un seul endroit où s'adresser pour toutes les questions relatives aux données personnelles.

Le non-respect de ces règles peut entraîner d'énormes amendes. Les sanctions pour les infractions relatives au contrôle et à l’atténuation peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total. Les infractions relatives aux droits et obligations peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires.