Tout le monde a déjà entendu parler de la loi du Règlement Général sur la Protection des Données ou GDPR en anglais.

Cette loi vient remplacer la précédente, Directive 95/46/EC, qui a été la loi de base pour la protection des données en Europe depuis 1995.

Le RGPD est la loi qui vient renforcer la protection des données confidentielles des internautes. Elle est aussi là pour réguler la façon dont les individus et les entreprises peuvent collecter, stocker et utiliser les données personnelles.

Les sociétés marocaines sont-elles concernées par le RGPD ?
Le RGPD affecte toutes les organisations établies en Europe, mais également toutes les organisations qui sont amenées à traiter les données personnelles des citoyens Européens. Il s’agit donc d’un concept nouveau d’extraterritorialité, puisque la loi peut également concerner les entreprises basées en dehors de l’UE.

Concrètement, si votre entreprise traite, collecte, ou utilise des données personnelles appartenant à des citoyens Européens, alors elle sera concernée.

Que risquent les entreprises non conformes au RGPD ? 
La non-conformité au RGPD peut donner lieu à des sanctions financières considérables, allant jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires si supérieur.

Quelles sont les différences entre les rôles de « Controller » et « Processor » ? 
Le Controller est l’organisation qui détermine les motifs et les moyens du traitement des données personnelles, ainsi que les types de données qui seront collectées auprès des individus. Il est le principal responsable de la protection des données personnelles.

Le Processor est l’organisation qui traite les données pour le compte du Controller. Il s’agit notamment des plateformes technologiques de routage d’e-mail, d’analyse d’audience ou de diffusion de publicité.

En résumé, quels sont les droits des citoyens Européens sous le RGPD ? 

Les droits individuels sont largement étendus avec le RGPD : 

Droit à l’oubli : vous devrez supprimer les internautes et abonnés suite à leur demande. Ou encore le droit d’accès et de rectification : les internautes peuvent à tout moment demander l’accès à leurs données personnelles et/ou les rectifier.

Les citoyens Européens disposent d’un droit de consentement renforcé : 

En premier, vous devez obtenir légalement le consentement pour le traitement des adresses e-mail et des autres données personnelles de vos internautes, contacts et abonnés. Vous devez ensuite offrir la possibilité à vos internautes, contacts et abonnés de retirer leur consentement ou de modifier les préférences d’utilisation des données de manière simple et accessible.

Pour continuer d’utiliser des données personnelles qui ont été collectées avant le 25 mai 2018, vous devrez vous assurer que ces données ont été collectées conformément au RGPD. En cas de doute, il est vivement recommandé de faire parvenir une nouvelle demande de consentement qui soit conforme au RGPD, comme un e-mail avec un lien d’acceptation suite à la lecture de votre nouvelle charte de confidentialité.

Il conviendra aussi de préciser la liste des fournisseurs et organisations tierces à qui vous serez amenés à fournir des données personnelles et indiquer les mesures employées pour vous assurer que ces dernières sont conformes au RGPD. Précisez si vous êtes amenés à transférer des données collectées en dehors de l’Union européenne.

La RGPD impose la mise en place de mesures renforcées de protection des données : 

Une politique de protection des données doit être mise en place au sein de l’entreprise :

● Les collaborateurs devront être sensibilisés à la confidentialité et à la protection des données personnelles.

● Des procédures de sécurité devront être déployées afin d’assurer la sécurité des systèmes d’information dans lesquels sont collectées les données personnelles et le cryptage des données sensibles.

● En cas de détection d’une brèche dans vos systèmes de sécurité, vous devrez en aviser les internautes concernées dans un délai raisonnable.

● A moins d’avoir des moyens importants pour mettre en place des processus complexes, il est recommandé d’éviter la collection, voire de supprimer les données considérées « sensibles », à savoir notamment les informations relatives à la santé, aux origines ethniques, aux orientations religieuses et politiques, etc.