FAQ sur le RGPD

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne est une réglementation complète pour la protection de la vie privée. Elle remplacera l’actuelle Directive 95/46/CE sur la protection des données personnelles et sera mise en œuvre le 25 mai 2018. En avril 2016, après plus de quatre ans de négociations, l’Union européenne a approuvé le RGPD. Celui-ci a pour objectifs le renforcement et l’harmonisation des réglementations relatives à la protection des données pour tous les résidents de l’Union européenne, ainsi que la consolidation de l’économie digitale dans l’Union européenne. Le RGPD est directement applicable aux États membres, sans nécessité d’implémenter une législation nationale.


À quelle date le RGPD entrera-t-il en vigueur ?

Le RGPD sera applicable à compter du 25 mai 2018.


Qui est concerné par le RGPD ?

Le RGPD s’applique à toute entreprise, qu’elle soit ou non basée dans l’Union européenne, qui traite les données personnelles des citoyens de l’Union européenne. Le RGPD s’applique à ces entreprises, même si les biens ou services qu’elles proposent sont gratuits.


Pourquoi les législateurs ont-ils voulu mettre en place un RGPD ?

Les consommateurs commencent à comprendre qu’ils doivent partager certaines de leurs données personnelles avec les entreprises s’ils veulent bénéficier de leurs services, par exemple des contenus gratuits sur Internet. L’un des principaux objectifs de la Commission européenne était de rendre aux citoyens de l’Union européenne le contrôle sur leurs données personnelles.

De plus, la Commission souhaitait simplifier le cadre réglementaire des entreprises internationales par l’uniformisation des réglementations au sein de l’UE. En harmonisant les réglementations relatives à la protection des données, le RGPD vise à simplifier la mise en conformité des entreprises avec celles-ci.


Que change le RGPD en termes de définition des données personnelles ?

La définition des données personnelles dans le RGPD est large et volontairement globale. En particulier, les données pseudonymes sont définies comme une sous-catégorie des données personnelles mais impliquent toujours l’application du RGPD. Ces données pseudonymes incluent les cookies, les autres identifiants d’appareils et identifiants en ligne (certaines adresses IP, IDFA, AAID, etc.) pouvant être utilisés pour désigner un individu, même si vous ne connaissez pas l’identité spécifique de cet individu (par exemple, même si vous ne connaissez ni son nom ni son adresse). Les identifiants en ligne sont explicitement cités comme exemples de données personnelles dans le RGPD.

En raison de cette définition étendue des données personnelles, les données traitées dans l’écosystème publicitaire en ligne entrent très probablement dans cette définition et soient donc réglementées par le RGPD. Quantcast a travaillé en collaboration avec l’IAB Europe et d’autres experts du secteur sur le document, élaboré par l’IAB Europe, dédié à la définition des données personnelles. Nous vous conseillons vivement de consulter ce document pour mieux appréhender la définition des données personnelles.


Quelles obligations le RGPD formule-t-il en termes de droit de l’individu d’accéder aux données le concernant et de supprimer celles-ci ?

Selon le RGPD, les individus peuvent demander d’y accéder à « intervalles raisonnables » et les personnes en charge du contrôle des données doivent généralement répondre dans un délai d’un mois. Le RGPD oblige les personnes en charge du contrôle et du traitement des données à faire preuve de transparence dans la façon dont ils collectent les données, ce qu’ils en font et comment ils les traitent, mais aussi à expliquer au public de façon claire (dans un langage simple) ces différentes actions.

Les individus ont le droit d’accéder à toute information les concernant et détenue par une entreprise, ainsi que le droit de savoir dans quel but ces données sont traitées, combien de temps elles sont conservées et qui peut les consulter.

Par ailleurs, selon le RGPD, les individus bénéficient d’un « droit à l’oubli ». Ils peuvent demander la suppression « dans les meilleurs délais » de leurs données personnelles.


Le RGPD et le règlement « vie privée et communications électroniques » vont-ils mettre fin à l’utilisation des cookies ?

Non, la proposition de règlement « vie privée et communications électroniques » n’interdit pas les cookies. Pour l’ensemble du secteur, ce nouveau règlement devrait permettre aux individus d’autoriser le placement de cookies sur leur ordinateur, même si les paramètres de ce consentement devraient être différents de ceux de la directive actuelle « vie privée et communications électroniques ». Quantcast s’engage avec le secteur et prévoit d’être totalement conforme avec le règlement « vie privée et communications électroniques » au moment de sa finalisation et de son entrée en vigueur.


Comment les entreprises peuvent-elles obtenir le consentement à des fins publicitaires ?

Le RGPD présente une nouvelle norme en matière de consentement. Lorsqu’une entreprise demande le consentement des consommateurs pour le traitement de leurs données personnelles, le processus d’obtention de ce consentement doit respecter les standards les plus élevés du RGPD.

Le projet actuel de directive de l’ICO Royaume-Uni décrit les obligations du RGPD relatives au consentement, notamment :

  • Le consentement doit être donné librement ; ceci implique de laisser aux consommateurs un choix et un contrôle réels et continus sur la façon dont vous utilisez leurs données.
  • Le consentement doit spécifiquement couvrir le nom de la personne responsable du traitement des données, les objectifs et les types d’actions réalisées dans le cadre de ce traitement.
  • Les demandes de consentement doivent être claires, séparées des autres termes et conditions, concises, faciles à comprendre et intuitives.
  • Le consentement doit être évident et doit nécessiter une action positive pour l’acceptation du consommateur.
  • Le consentement ne présente pas de limite dans le temps. Sa durée dépendra du contexte. Vous devez réexaminer et actualiser le consentement en fonction des besoins.
  • Les preuves d’obtention du consentement devront être enregistrées et les entreprises qui n’ont pas de relation directe avec l’individu devront confier à leurs partenaires l’obtention du consentement en leur nom. Chez Quantcast, nous devons donc confier à nos partenaires en mesure et annonceurs, qui ont une interface directe avec l’individu sur leur site Web, l’obtention de ce consentement au nom de Quantcast.
  • Bien entendu, Quantcast travaillera avec ses clients (annonceurs et publicitaires) afin de faire de ce processus d’obtention des consentements une expérience simple et fluide pour les clients.

Quelles actions doivent être entreprises en cas de violation des données ?

Si vous subissez une violation de données mettant en péril les droits et libertés des individus, vous devez en informer une autorité de protection des données (en l’occurrence, le bureau du préposé à la protection des informations au Royaume-Uni) dans un délai de 72 heures suivant la découverte de la violation par votre entreprise.

Vous n’êtes naturellement pas censé connaître dans le détail tous les aspects de la violation au moment de sa découverte. Toutefois, vous devez spécifier à l’autorité de protection des données la nature des données ayant fait l’objet de la violation, ainsi que le nombre de personnes affectées. Vous devez également préciser les conséquences potentielles pour ces personnes, ainsi que les mesures que vous avez prises ou que vous envisagez de prendre.


Ressources recommandées