Twilio et le Règlement général sur la protection des données (RGPD)

Présentation

« RGPD » désigne le Règlement général sur la protection des données de l'Union européenne. Il remplace la Directive sur la protection des données. L'objectif du RGPD est d'assurer une protection adéquate des données à caractère personnel dans une société numérique.

Le RGPD, comme auparavant la Directive sur la protection des données, s'inspire de l'article 8(1) de la Charte des droits fondamentaux de l'Union européenne, qui fait écho à l'article 12 de la Déclaration universelle des droits de l'homme adoptée par l'Assemblée générale des Nations unies en 1948, et de l'article 16(1) du Traité sur le fonctionnement de l'Union européenne, en vertu duquel « toute personne a droit à la protection des données à caractère personnel la concernant ».

Bien que le RGPD ait été adopté en 2016, ce n'est que le 25 mai 2018 qu'il est entré en application.

Quelles sont mes principales responsabilités en vertu du RGPD ?

Vos responsabilités en vertu du RGPD dépendront de la nature de votre entreprise et de vos activités de traitement des données à caractère personnel. Néanmoins, de manière générale, le RGPD exige que les données à caractère personnel soient :

  1. traitées de manière légale, équitable et transparente ;
  2. collectées pour des finalités précises, explicites et légitimes et non traitées d'une manière incompatible avec ces finalités ;
  3. adéquates, pertinentes et limitées à ce qui est nécessaire pour atteindre ces finalités ;
  4. exactes et à jour ;
  5. stockés pas plus longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées ; et
  6. correctement protégées contre les pertes, les destructions ou les dommages accidentels.

En outre, le RGPD impose aux entreprises des obligations supplémentaires, à savoir documenter leurs activités de traitement et être en mesure de prouver leur respect des principes susmentionnés. Il codifie également l'obligation, pour les entreprises, d'appliquer la protection des données dès la conception et la protection des données par défaut lors du développement et de la conception de processus, de produits et de systèmes.

Par ailleurs, si vous faites appel à des prestataires de services pour traiter des données à caractère personnel en votre nom, vous devrez vous assurer de disposer d'un contrat en bonne et due forme garantissant l'application, par les prestataires de services, des normes de traitement des données du RGPD. De même, si vous procédez à un transfert des données à caractère personnel de l'UE en dehors de l'UE, ce transfert ne pourra être effectué que vers un pays disposant, selon la Commission européenne, de réglementations adéquates en matière de traitement des données. Pour les transferts vers des pays dont on estime qu'ils ne disposent pas de réglementations adéquates, vous devez vous assurer que des garanties alternatives appropriées sont en place. Actuellement, en vertu de la Directive, les garanties de transfert approuvées incluent le bouclier de protection des données UE-États-Unis et les clauses contractuelles types.

En fonction de la nature de votre entreprise et de vos activités de traitement des données à caractère personnel, plusieurs autres obligations prévues par le RGPD peuvent s'appliquer. Vous devez consulter un professionnel de la protection de la vie privée qualifié pour comprendre comment le RGPD s'applique à votre entreprise.

Quelle est la définition des « données à caractère personnel » en vertu du RGPD ?

Les données à caractère personnel désignent les données qui se rapportent à une personne physique identifiée ou identifiable (la « personne concernée »). Une personne concernée identifiable est une personne qui peut être identifiée, directement ou indirectement, par exemple en se référant à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs facteur(s) propre(s) à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Il s'agit là d'une définition très large qui peut englober des données telles que les adresses IP de l'appareil personnel d'un utilisateur, l'identifiant de son appareil ou son numéro de téléphone. Peu importe que l'identifiant puisse changer (par exemple changement de numéro de téléphone ou d'identifiant d'appareil de l'utilisateur). Ce qui compte, c'est que les informations puissent être utilisées pour « repérer cet utilisateur dans la foule » même si vous ne savez pas qui est cet utilisateur.

Il est également important de noter que la définition des données à caractère personnel n'est pas liée à des préoccupations concernant l'usurpation d'identité comme le sont les définitions des informations d'identification personnelle (PII) en vertu des nombreuses lois américaines sur la violation des données. Ainsi, même s'il est peu probable que le vol des adresses IP de vos utilisateurs porte réellement atteinte à leur vie privée, ces adresses IP n'en demeurent pas moins des données à caractère personnel. Toutefois, ces données peuvent ne pas nécessiter le même niveau de protection que des données à caractère personnel plus sensibles comme les numéros de carte de crédit de vos utilisateurs.

Dois-je nommer un délégué à la protection des données pour le RGPD ?

Cela dépend. En vertu de l'article 37 du RGPD, les entités sont tenues de désigner un délégué à la protection des données si :

  1. le traitement est effectué par une autorité ou un organisme public (à l'exception des tribunaux agissant dans le cadre de leurs fonctions judiciaires) ;
  2. L'activité principale de l'entité consiste en un traitement de données à caractère personnel qui équivaut ou nécessite un suivi régulier ou systématique des individus de l'UE à grande échelle ;
  3. l'activité principale de l'entité consiste à traiter à grande échelle des catégories spéciales de données (origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques utilisées pour identifier une personne, ou données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne) et des données à caractère personnel relatives à des condamnations ou des infractions pénales.

Le Groupe de travail « Article 29 » (un groupe d'organismes de régulation de la protection des données au sein de l'UE) a fourni des conseils supplémentaires pour vous aider à déterminer si vous relevez de l'une de ces catégories.

Existe-t-il des circonstances dans lesquelles le RGPD ne s'applique pas ?

Le RGPD a une portée et un champ d'application étendus. Mais il n'est pas pour autant illimité. Par conséquent, si vous n'avez pas d'établissement dans l'Union et que vous ne traitez pas de données à caractère personnel de ressortissants de l'UE, le RGPD ne s'appliquera pas à vos activités. Si vous ne savez pas si vous traitez ou non des données à caractère personnel de l'UE, vous devez déterminer si vous offrez des biens et des services (même gratuitement) à des ressortissants de l'UE ou si vous surveillez ou non le comportement de ressortissants de l'UE. Si c'est le cas, vous êtes alors soumis au RGPD. Le considérant 23 du RGPD indique que le RGPD n'est pas destiné à s'appliquer aux entités susceptibles de traiter par inadvertance des données à caractère personnel de l'UE, mais qui ne cherchent pas à fournir leurs biens ou services à des ressortissants de l'UE.

Mon entreprise est conforme à la norme ISO 27001. Cela m'aidera-t-il à être en conformité avec le RGPD ?

La conformité aux normes telles que la norme ISO 27001 peut être utile pour la conformité au RGPD, en particulier en ce qui concerne la sécurité du traitement, mais la conformité au RGPD et la conformité à la norme ISO 27001 ne sont pas interchangeables. De ce fait, vous ne devez pas supposer que si vous êtes conforme à la norme ISO 27001, vous êtes également en conformité avec le RGPD.

Quelles sont les sanctions en cas de non-conformité avec le RGPD ?

Selon la nature de la violation, les autorités de protection des données peuvent infliger des amendes ou des pénalités pour non-conformité pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

En savoir plus sur le RGPD

Beaucoup d'articles ont été rédigés sur le RGPD. Une simple recherche sur le Web peut donc fournir un certain nombre d'informations. En outre, Twilio dispensera des conseils et des informations supplémentaires sur le RGPD via son site Web. Cela dit, les ressources les plus fiables seront toujours celles produites par les organismes de régulation de la protection des données ou par l'Union européenne elle-même. Les documents d'orientation élaborés par le Groupe de travail « Article 29 », particulièrement utiles, fournissent des informations sur la manière dont les organismes de régulation de la protection des données de l'UE, chargés de l'application du RGPD, sont susceptibles d'interpréter le règlement.

Les informations susmentionnées constituent l'interprétation faite par Twilio du RGPD et de ses exigences à la date de publication. Veuillez noter que toutes les interprétations ou exigences du RGPD ne sont pas bien définies et que son application dépend des faits et du contexte. Ces informations ne doivent pas être considérées comme des conseils juridiques ou être utilisées pour déterminer comment le RGPD s'applique à votre entreprise ou organisation. Nous vous encourageons à demander conseil à un professionnel qualifié pour savoir comment le RGPD s'applique spécifiquement à votre entreprise ou organisation et comment assurer la conformité. Ces informations sont fournies « telles quelles » et peuvent être mises à jour ou modifiées sans préavis. Vous pouvez copier et utiliser ce post à des fins de référence interne uniquement.

Cet article a-t-il été utile ?

Vous avez d'autres questions ? Soumettre une demande

Have more questions? Submit a request
Powered by Zendesk