Le nouveau Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai dernier a pris une place importante dans l’actualité. Vous avez sans doute reçu à cette occasion beaucoup d’emails de sites web vous informant de vos nouveaux droits en matière de protection des données personnelles. Certains sites utilisent des messages d’accueil vous invitant à valider les nouveaux paramètres de confidentialité et à préciser vos choix. C’est une avancée majeure pour les utilisateurs, mais aussi une opportunité pour les entreprises de redessiner un cadre de confiance pour leurs relations clients. Mais qu’en est-il pour Trackforce et ses partenaires ?
Sur la même longueur d’onde
La protection a toujours été au cœur des préoccupations de Trackforce. En qualité de sous-traitant de données personnelles de résidents européens, nous sommes directement concernés par le nouveau règlement. En effet, nous comptons parmi nos clients et partenaires commerciaux de nombreuses sociétés multinationales basées dans l’UE. Nous avons donc rapidement mis en place un processus de mise en conformité au RGPD.
Vers une meilleure protection des données à l’échelle mondiale
La récente polémique autour de la société Cambridge Analytica qui a collecté et exploité illégalement des données personnelles d’utilisateurs de Facebook, montre à quel point l’enjeu de la confidentialité des données est crucial. Le RGPD devrait considérablement modifier les modèles de traitement de données appliqués jusqu’ici et avoir une portée internationale. La présidente de la Commission Nationale Informatique et Liberté, Isabelle Falque-Pierrotin considère que l’Europe peut faire émerger un standard mondial, si les objectifs du nouveau règlement sont atteints.
De nombreux pays travaillent sur des projets de lois similaires au RGPD, tels que l’Argentine, le Brésil, l’Inde et la Chine, tandis que certains géants du numérique, comme le Japonais Rakuten Viber ou même l’Américain Apple s’adaptent déjà à la loi européenne.
Et concrètement pour nos clients…
Pour le moment, seuls nos clients traitant les données de résidents de l’Union Européenne doivent mettre à jour les paramètres liés au RGPD dans les applications Trackforce. Toutefois, l’ensemble de nos clients bénéficient des nouvelles dispositions apportées à notre documentation légale. Nous avons décidé par ailleurs de ne travailler qu’avec des prestataires ou fournisseurs conformes aux exigences du RGPD.
Différences entre le RGPD et la législation américaine
Les États Unis ne disposent pas de loi fédérale régissant la collecte et le traitement des données et donc pas d'agence indépendante chargée de la faire respecter, telle que la CNIL en France. Il existe bien quelques lois très spécifiques, comme celle relative aux informations sur la solvabilité des individus ou le Children's Online Privacy Protection Act, qui oblige les entreprises à obtenir le consentement des parents avant de collecter des données d’enfants de moins de 13 ans. On peut citer également les lois sur la notification de violation des données, initiées au départ par l’État de Californie il y a déjà 15 ans. Mais même sur ce point, le RGPD est beaucoup plus strict.
- En effet, les entreprises américaines qui ont été la cible d'une atteinte à la protection des données ont jusqu'à 30 jours pour aviser les personnes concernées, alors que les entreprises de l'UE ont désormais un délai de 72 heures pour envoyer des notifications à partir du moment où elles ont eu connaissance de l'infraction. On voit bien ici l’objectif du RGPD qui est de renforcer le niveau de sécurité des données personnelles et de réduire les risques inhérents, en cas d’infraction.
- Le contenu de la notification que doit fournir l’entreprise américaine est assez vague. Le RGPD, en revanche, liste de manière explicite les informations qui doivent être partagée dans cette lettre : la nature des données violées, le nombre précis de personnes affectées, ou encore le nom du DPO de la société.
- La nouvelle règlementation européenne contraint également les entreprises à obtenir le consentement des individus lors de la collecte de données personnelles. L’organisation doit expliquer, en des termes simples et compréhensibles par tous, la finalité, le destinataire et le délai de conservation des données. La personne concernée donne alors son accord par le biais d’une case à cocher et doit pouvoir se désinscrire à tout moment.
Les sanctions sévères prévues par le RGPD en cas d’infraction vont contraindre les entreprises américaines qui traitent des données personnelles d’individus européens à se mettre en conformité. En effet, ces derniers sont susceptibles d’encourir une sanction financière pouvant atteindre 4% de leur chiffre d’affaires annuel ou 20 millions d’euros d’amende, la plus forte somme étant retenue. De quoi faire réfléchir…
Notre délégué à la protection des données personnelles (DPO) est disponible pour répondre à vos questions à l’adresse suivante : dpo@trackforce.com.
