ALF - African Legal Factory services juridiques pour startup en Afrique > Articles > Données Personnelles > RGPD – apprenez à vous mettre en conformité

RGPD – apprenez à vous mettre en conformité

6 septembre 2021
Publié par : ALF
Catégorie : Données Personnelles France

Aucun commentaire

STARTUPS, APPRENEZ A VOUS METTRE EN CONFORMITE AU RGPD !

Mauvaise nouvelle : vous devez non seulement respecter la réglementation nationale applicable aux données personnelles, mais également potentiellement la réglementation européenne…

Bonne nouvelle….c’est pas compliqué lorsqu’on s’y intéresse, et nous sommes là pour tout vous expliquer…

Comment savoir si votre startup est soumise au Règlement européen Général sur la Protection des Données à caractère Personnel (« RGPD ») ? Comment distinguer si votre startup agit en qualité de sous-traitant ou de responsable de traitement au regard du RGPD ? Quelles sont vos obligations au titre du RGPD ?

Cet article a pour objectif de vous aider à identifier si le RGPD vous est applicable et quelles sont les obligations que vous devez respecter.

Étape 1 : REALISER UN TRAITEMENT DE DONNEES PERSONNELLES

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

A ce titre, une donnée personnelle désigne : « toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte ».

Exemples : nom, prénom, date de naissance, adresse e-mail, numéro compte bancaire, adresse IP.
Une personne physique identifiable est « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (Personne concernée).

Exemples : salarié, client, prospect, prestataire.
Un traitement de données à caractère personnel est « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Exemples : gestion du recrutement, gestion des ressources humaines, gestion de la prospection commerciale, gestion des clients.
Ainsi si vous avez à traité certaines de ces données dans le cadre des activités citées, vous réalisez des traitements de données personnelles et vous devez en principe respecter tout d’abord la réglementation nationale qui vous est applicable….
Toutefois, vous devez potentiellement également respecter la réglementation européenne, comment le savoir ?

ETAPE 2 : IDENTIFIER SI VOTRE STARTUP SITUEE EN AFRIQUE EST SOUMISE AU RGPD

Le champ d’application territorial du RGPD n’est pas limité à l’Union européenne (« UE ») puisqu’il fait également peser des obligations aux acteurs non localisés dans l’UE.

Votre startup entre dans le champ du RGPD même lorsqu’elle n’est pas établie dans l’UE, à condition que vos activités soient liées à :

l’offre de biens ou de services destinées à des personnes concernées dans l’UE, que les biens ou services soient payants ou non (ex : site e-commerce accessibles par des personnes physiques dans l’UE) ; ou
au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE (ex : traçage de comportement via des cookies ou profilage via un site Internet).

Des startups situées en Afrique proposant des biens ou des services directement à des personnes physiques dans l’UE (ex : site de vente en ligne), même gratuitement, sont donc soumises au RGPD.

Warning : compte tenu du caractère extraterritorial du RGPD, les autorités de contrôle européennes peuvent ainsi sanctionner les entreprises situées en dehors de l’UE, tout particulièrement lors de contrôles en ligne des sites internet ou bien lors de contrôles sur pièces, mais également lors de contrôles sur place ou sur audition.

Priorité : Mise en conformité du site Internet aux exigences du RGPD.
Maintenant que vous savez si vous devez respecter la réglementation RGPD, l’étape 2 consiste à déterminer quelle est votre qualification au regard de cette réglementation : êtes-vous un responsable du traitement ou un sous-traitant du responsable de traitement ?

ETAPE 3 : IDENTIFIER LA QUALIFICATION DE VOTRE STARTUP AU SENS DU RGPD

En application de l’article 4 du RGPD :

Le responsable de traitement est « celui qui détermine les finalités et les moyens d’un traitement » ;
Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. »

Le sous-traitant est donc celui qui traite les données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.

Warning : Le RGPD impose de nouvelles obligations aux sous-traitants qui doivent assister les responsables de traitement dans leurs obligations.

Exemple : Les entreprises qui traitent les données personnelles de personnes situées dans l’UE, pour le compte de leurs clients, sont également soumises au RGPD (ex : services d’e-mailing, call centers, gestion de la paie, etc.).

ETAPE 4 : RESPECTER VOS OBLIGATIONS AU TITRE DU RGPD

Lorsque votre startup est située en dehors de l’UE et qu’elle est soumise au RGPD, elle doit respecter notamment les obligations du RGPD suivantes :

Désigner un représentant dans l’UE : votre startup doit désigner par écrit un représentant dans l’UE (article 27 du RGPD). Il doit être situé de préférence dans un des pays de l’UE dans lequel se trouvent les personnes physiques dont vous traitez les données personnelles. Le représentant a pour mission principale d’être le point de contact pour les autorités de protection des données personnelles européennes ainsi que pour les personnes concernées.
Prendre en compte les principes de protection des données personnelles en mettant en place notamment des registres de traitement, une politique de protection des données personnelles ;
Contractualiser les relations entre responsable de traitement et sous-traitant ainsi qu’avec les différents prestataires et partenaires de votre startup ;
Assurer la sécurité des données traitées, en mettant en place des procédures pour garantir un niveau de sécurité élevé et être en mesure de réagir en cas de violation de données personnelles ;
Encadrer les transferts de données personnelles en dehors de l’UE.

Warning : Afin de mettre en place ces éléments de conformité, il convient préalablement de désigner au sein de votre startup un pilote de la conformité (ainsi qu’un délégué à la protection des données personnelles, Data Protection Officer, le cas échéant) en charge de réaliser des procédures et de mettre en œuvre ces obligations.

POURQUOI DEVEZ-VOUS ABSOLUMENT RESPECTER LE RGPD ?

Afin d’éviter des sanctions financières prévues par le RGPD ainsi que des condamnations pénales !

La conformité au Règlement RGPD répond à un double enjeu :

financier et réputationnel puisque les sanctions peuvent atteindre un montant de 20 millions d’euros ou représenter 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu, et être rendues publiques.
commercial car il s’agit d’un atout business et un moyen de se différencier de la concurrence.

Exemple : en France, le Code pénal prévoit des sanctions pénales allant jusqu’à 5 ans d’emprisonnement et 1,5 million € d’amende pour les personnes morales.

Plus d'articles →

N’hésitez pas à nous contacter pour tout renseignement.

Références :

Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Lignes directrices, recommandations et bonnes pratiques publiées par le Comité Européen de la Protection des Données (CEPD) ;

Lignes directrices du Groupe de travail de l’article 29 (G29) approuvées par le CEPD ;

Lignes directrices des autorités européennes de protection des données (ex : en France la Commission Nationale de l’Informatique et des libertés (CNIL), au Royaume-Uni l’Information Commissioner’s Office (ICO), en Espagne l’Agencia de protection de Datos (APD)).

Formulaire : je souhaite me faire accompagner dans le cadre de ma mise en conformité relative à la protection des données personnelles

En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations. Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès. Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité. [Politique de confidentialité]

Cookie	Durée	Description
__stripe_mid	1 an	Stripe installe ce cookie pour traiter les paiements.
__stripe_sid	30 minutes	Stripe installe ce cookie pour traiter les paiements.
_abck	1 an	Ce cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
ak_bmsc	2 heures	Ce cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
bm_sz	4 heures	Ce cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Analytique " .
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-indispensable	1 an	Le cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Nécessaire " .
cookielawinfo-checkbox-others	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autres ".
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.
redux_blast	3 jours	Ce cookie est nécessaire pour le fonctionnement de certains éléments de thèmes WordPress qui font que le site web apparaît de la manière la plus optimale pour l'appareil du visiteur.

Cookie	Durée	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_5BN1MYEN2Y	2 ans	Ce cookie est installé par Google Analytics.
_gat_gtag_UA_157972103_1	1 minute	Défini par Google pour distinguer les utilisateurs.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
CONSENT	2 ans	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
last_pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
last_pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_first_visit	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_session_limit	1 heure	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_start_session	session	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.

Cookie	Durée	Description
_mcid	1 an	Il s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
bm_sv	session	Ce cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
cookies.js	session	Aucune description disponible.
m	2 ans	Ce cookie est installé par stripe.
mailchimp_landing_site	1 mois	Ce cookie est placé par MailChimp pour enregistrer la page que l'utilisateur a visitée pour la première fois.
pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
stm_lms_courses_watched	2 ans 5 mois 17 jours	Pas de description
wmc_current_currency	1 jour	enregistrer les paramètres de la devise.
wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c	2 jours	Contient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.