Cookies sur ce site web

Ce site web utilise les cookies pour bien fonctionner. Si vous désirez changer les cookies que nous pouvons utiliser, veuillez changer les paramètres des cookies. Vous pouvez consuler notre politique de confidentialité pour plus de détails sur notre utilisation de cookies.

Cookie settings

Cookies strictement nécessaires 24 cookies

Ces cookies sont nécessaires au bon fonctionnement de notre site web et sont donc placés sans votre consentement. Nous les utilisons, par exemple, pour sécuriser notre site web. Ces cookies vous permettent de naviguer entre les différentes parties du site web, de remplir des formulaires. Si vous bloquez ces cookies, certaines parties du site web peuvent ne pas fonctionner de manière optimale. Nous ne collectons pas de données à caractère personnel avec ces cookies et ne transmettons jamais les informations collectées à des tiers. Outre les cookies énumérés ci-dessous, des cookies sont également installés par notre partenaire Vimeo lorsque vous utilisez notre offre Training 24/7.
Name Vendor Description Expiry

Cookies de préférence 2 cookies

Ces cookies facilitent le fonctionnement de nos sites web, en les rendant plus agréables pour les visiteurs et en garantissant une expérience de navigation plus personnalisée. Il s’agit, par exemple, de cookies qui déterminent si vous avez déjà été invité à participer à une enquête afin que nous ne vous présentions pas toujours la même enquête, ou d’un cookie qui vous propose une mise en page personnalisée à la suite d’une visite précédente.
Name Vendor Description Expiry

Cookies analytiques 5 cookies

Nous utilisons des cookies analytiques pour collecter des informations sur l’utilisation que les visiteurs font de notre site web dans le but d’en améliorer le contenu, de l’adapter plus étroitement aux besoins des visiteurs et d’en accroître la facilité d’utilisation.
Name Vendor Description Expiry

Cookies marketing 5 cookies

Ces cookies sont mis en place à des fins de marketing et sont utilisés pour suivre votre comportement de navigation après votre visite sur notre site web et/ou pour vous montrer des publicités personnalisées. Ces cookies peuvent être placés par nos soins ou par des tiers sur notre site web. Vous êtes libre de décider si vous consentez à l’installation de ces cookies marketing.
Name Vendor Description Expiry

Cookies externes 24 cookies

Certains cookies sont installés par des tiers avec le consentement de l’UBA dans le but de porter certains produits et services à votre attention ou de vous permettre d’accéder directement aux médias sociaux. Pour connaître les cookies mis en place par ces parties externes, les informations qu’ils collectent à cette occasion et la finalité pour laquelle ces informations sont utilisées, veuillez consulter les déclarations de confidentialité de ces parties sur leurs propres sites web. Ces déclarations peuvent changer régulièrement et l’UBA n’exerce aucun contrôle à cet égard.
Name Vendor Description Expiry

Glossaire Data Protection & Privacy

Voici une liste des principaux termes qu'il est utile de connaître pour communiquer de manière appropriée avec vos clients, prestataires de services et collègues.

Anonymisation ou pseudonymisation

Qu’est-ce que « l’anonymisation » ou la « pseudonymisation » ?

Les marketeurs parlent souvent de données anonymes ou pseudonymisées, y compris dans les comptes (Google) Analytics. Ils supposent commodément qu’il n’y a alors pas de traitement de données à caractère personnel au sens du GDPR. Il convient toutefois de faire preuve de prudence. 

La « pseudonymisation des données à caractère personnel » signifie que vous traitez ces données de telle sorte qu’elles ne puissent plus être associées à une personne concernée spécifique, à moins que vous n’ajoutiez des données supplémentaires. C’est, par exemple, le cas d’un identifiant analytique qui n’identifie pas la personne par son nom, mais qui contient des informations sur la personne sous-jacente. Et qui, s’il est associé à une adresse IP ou aux empreintes numériques d’un appareil, par exemple, peut permettre d’identifier une personne dans le futur. Les données personnelles pseudonymisées restent donc des données à caractère personnel au sens du GDPR.  

Pour que des données soient qualifiées « d’anonymes », il doit être définitivement et irréversiblement impossible d’identifier une personne. Les autorités françaises et irlandaises ont, entre autres, déjà souligné à juste titre que de nombreuses données à caractère personnel considérées comme anonymes ne le sont pas en réalité, car elles peuvent être associées à une personne particulière à un moment donné, par exemple en croisant différentes bases de données. Dans un contexte marketing, c’est notamment le cas des données analytiques et des profils d’utilisateurs « anonymes ». Dès qu’une personne crée un compte, celui-ci peut, malgré tout, être rétroactivement lié à cette personne. La prudence est donc de mise et une enquête approfondie s’impose avant de décider de ne traiter que des données anonymes.

Catalogue de données

Qu'est-ce qu'un catalogue de données ?

Un entrepôt destiné au stockage des métadonnées (metadata). Les métadonnées sont des données sur les données. Elles fournissent un contexte et des détails essentiels qui décrivent différents aspects des données, tels que leur contenu, leur structure, leur source, leur classification et leur signification. Les métadonnées aident les utilisateurs à comprendre, gérer et utiliser efficacement les données. Résultat  : les données sont mieux organisées et plus faciles à retrouver et à analyser. Les métadonnées jouent un rôle essentiel dans les processus de gestion et de gouvernance des données.

Classification des données

Qu'entend-on par "Classification des données" ?

Toute forme de répartition des données en catégories. Dans le contexte du GDPR et de la sécurité des données, la classification est principalement utilisée pour indiquer si les données sont effectivement des données à caractère personnel et/ou des données appartenant à l’une des catégories reprises à l’article 9 (données à caractère personnel dites « sensibles »). En matière de sécurité, citons, entre autres, la classification de confidentialité ISO 27001, qui applique 3 à 5 classes pour indiquer dans quelle mesure les documents ou les données peuvent être partagés en dehors de l’organisation (p. ex. données publiques, données internes, données confidentielles).

Contrat de sous-traitance

Qu’est-ce qu’un « contrat de sous-traitance » ?

Le GDPR va encore plus loin pour garantir une sécurité appropriée. Le Règlement exige ainsi que vous soumettiez à un examen préalable tous les sous-traitants tiers (partenaire de marketing par e-mail, partenaire de publipostage, partenaire de marketing en ligne, partenaire d’hébergement, outils de cartographie thermique, outils d’analyse, outils CRM dans le cloud, outils de génération de leads...) qui traitent des données à caractère personnel en votre nom. Une collaboration avec de tels partenaires implique qu’ils fournissent des garanties suffisantes en matière de sécurité des données. En vertu de l’article 28 du GDPR, ces garanties doivent obligatoirement être stipulées dans un contrat de sous-traitance (ou Data Processing Agreement en anglais). Collaborer avec un sous-traitant qui n’offre pas de garanties suffisantes ou qui n’a pas signé de contrat de sous-traitance peut entraîner des amendes très élevées.

Customer Data Platform (CDP)

Qu'est-ce qu'une Customer Data Platform (CDP) ?

C'est une plateforme qui héberge des applications principalement destinées à donner une image unifiée du client (single customer view) en associant des données issues de différentes sources à une personne unique.

Data lake

Qu'est-ce qu'un "Data lake" ?

Un lieu de stockage de données conçu pour accueillir toutes vos données structurées et non structurées. Vous pouvez y enregistrer vos données telles quelles, sans les structurer au préalable. Vous pouvez réaliser différents types d’analyses, des tableaux de bord et visualisations à la science des données, en passant par l’analyse en temps réel et le machine learning, dans le but de prendre de meilleures décisions.

Data lakehouse

Qu'est-ce qu'un "Data lakehouse" ? 

Un lieu de stockage de données qui combine le meilleur du data warehouse et du data lake au sein d’une seule solution de gestion des données. Les données d’un data lakehouse comprennent notamment une couche sémantique qui permet de les interpréter correctement.

Data Protection Officer

Qu’est-ce qu’un « délégué à la protection des données » (DPP) ou un « Data Protection Officer » (DPO) ?

Un DPO est une personne (ou, de plus en plus souvent, une équipe) nommée en interne ou en externe et chargée de surveiller le respect de la protection des données au sein de votre organisation. Le DPO est également le point de contact interne et externe pour les plaintes des personnes et les questions de l’Autorité de protection des données. 

Les responsables du traitement et les sous-traitants sont tenus de désigner un DPO dans les cas suivants :

  • le traitement est effectué par une autorité ou un organisme public ;
  • leurs activités de base consistent en des traitements qui, par leur nature, leur portée et/ou leurs finalités, nécessitent un suivi régulier et systématique des personnes à grande échelle ;
  • leurs activités de base consistent à traiter à grande échelle des catégories particulières de données à caractère personnel ou des données à caractère personnel relatives à des condamnations pénales et à des infractions ;
  • ils traitent des données à caractère personnel pour le compte du gouvernement fédéral (cette obligation ne découle pas du GDPR lui-même, mais de la loi-cadre belge qui transpose le GDPR en droit belge).

Dans d’autres situations, la désignation d’un DPO est souvent très utile, mais pas obligatoire. Remplir correctement le rôle de DPO soulève de nombreuses questions et défis, sur lesquels nous reviendrons en détail plus tard. 

Data warehouse

Qu'est-ce qu'un "Data warehouse" ?

Lieu de stockage de données conçu pour permettre et soutenir des activités, plus précisément des analyses, dans le domaine de la business intelligence (BI). Conçus pour exécuter des requêtes et des analyses, les data warehouses contiennent souvent de grandes quantités de données historiques.

Donnée à caractère personnel

Qu’est-ce qu’une « donnée à caractère personnel » et qu’est-ce qu’un « traitement » ?

Les marketeurs et les juristes donnent parfois un sens différent aux « données à caractère personnel » et ont une perception différente des circonstances dans lesquelles elles doivent être traitées. Il s’agit alors principalement de données « indirectes ». On entend souvent dire : « J’ai configuré notre compte analytique pour qu’il fonctionne de manière anonyme et ne traite donc pas de données à caractère personnel ». Du point de vue du marketeur, cela semble justifié. Il ne « sait », en effet, pas qui se cache derrière un identifiant analytique et ne peut pas associer directement les données analytiques à une personne.

Mais que dit le règlement ? Les données à caractère personnel sont toutes les informations qui permettent d’identifier directement ou indirectement une personne, aujourd’hui ou à l’avenir, seule ou avec d’autres. « Identifier » ne signifie pas nécessairement que vous pouvez mettre un nom sur une personne, mais que vous pouvez isoler cette personne du groupe et la reconnaître en tant qu’individu. En d’autres termes, vous devez toujours considérer les informations relatives à une personne qui sont traitées « sans nom » comme des données à caractère personnel. Pour votre marketing, vos ventes ou votre boutique en ligne, cela comprend, par exemple, les informations de profil (identifiants analytiques et toutes les données connexes), le comportement de navigation, le comportement d’achat, les résultats de la cartographie thermique ou des tests A/B s’ils sont liés à un identifiant. Même les adresses IP, les adresses MAC, les empreintes numériques ou les profils clients dans les solutions de suivi côté serveur sont généralement des données à caractère personnel.

Données sensibles

Qu’entend-on par données « sensibles » ou « particulièrement protégées » ?

Le GDPR considère que certaines données à caractère personnel sont « particulièrement protégées » en raison de leur caractère sensible. Ces données sont énumérées de manière exhaustive aux articles 9 et 10 et leur traitement est soumis à des conditions encore plus strictes. On pense ici aux données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi qu’au traitement des données génétiques, des données biométriques aux fins d’identifier une personne de manière unique ou des données relatives à la santé, ou des données relatives au comportement sexuel ou à l’orientation sexuelle d’une personne et des données pénales.  

Si vous souhaitez traiter ce type de données, il est préférable de demander un avis individuel. En tout état de cause, il n’est pas possible, dans le cadre de ce chapitre, d’entrer dans les détails du traitement de ces données sensibles. Les données particulièrement protégées se trouvent parfois où on les attend le moins. Les données relatives aux habitudes de vie, aux performances sportives ou aux préférences alimentaires peuvent, en effet, également s’avérer sensibles.

Droits de la personne concernée

Quels sont les « droits de la personne concernée » ?

Le GDPR accorde un large éventail de droits à la personne dont les données sont traitées (la « personne concernée »). Ces droits sont pratiquement absolus et ne laissent que peu de place aux exceptions, d’ailleurs très limitées.

Toute personne concernée a ainsi le droit d’accéder à ses données à caractère personnel, d’en recevoir une copie, de demander la rectification d’erreurs ou d’omissions dans ses données, de révoquer ultérieurement un consentement donné ou de s’opposer à un traitement ultérieur pour des motifs autres que le consentement ou même de faire effacer ses données, ainsi que certains autres droits moins courants.

Si une personne concernée vous demande d’exercer ses droits, vous devez, en tant que responsable du traitement, y répondre « dans les meilleurs délais » et, en tout état de cause, dans les 30 jours à compter de la réception de la demande. Si vous avez besoin d’informations supplémentaires pour traiter la demande (par exemple, une preuve d’identité), le délai ne commencera à courir qu’au moment où vous aurez reçu ces informations supplémentaires. Dans des cas très spécifiques et exceptionnels, le délai de réponse peut être prolongé de deux mois supplémentaires.

Fondement juridique

Qu’est-ce qu’un « fondement juridique » et quels sont les fondements juridiques prévus par le GDPR ?

En vertu du GDPR, le traitement des données à caractère personnel est en principe interdit, sauf si vous, le responsable du traitement, pouvez invoquer l’un des six fondements juridiques énumérés de manière exhaustive. Nous reviendrons sur ces fondements juridiques et sur les défis spécifiques que chacun d’entre eux soulève plus loin dans ce guide. Voici les six fondements juridiques possibles.

  • Traitement sur la base du consentement préalable, libre, éclairé et explicite de la personne concernée.
  • Traitement des données à caractère personnel absolument nécessaires à l’exécution (ou à la préparation) d’un contrat avec la personne concernée, par exemple l’adresse de livraison dans le cas d’un achat en ligne.
  • Traitement fondé sur une obligation légale ou une autorisation légale, par exemple dans le cadre d’obligations comptables ou de droit social.
  • Traitement de données à caractère personnel nécessaire à la protection des intérêts vitaux de la personne concernée, par exemple par les services d’urgence d’un hôpital.
  • Traitement (par une autorité publique) nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.
  • Traitement de données à caractère personnel motivé par des « intérêts légitimes » du responsable du traitement ou d’un tiers.

Des conditions plus strictes et des fondements juridiques supplémentaires s’appliquent pour les données particulièrement protégées ou sensibles. En principe, vous ne pouvez traiter ce type de données qu’avec le consentement libre, préalable, éclairé et explicite de la personne concernée.

Limitation des durées de conservation

Qu’est-ce que la « limitation des durées de conservation » ?

L’article 5, I., e du GDPR indique que les données doivent être conservées « sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».   

En d’autres termes, vous ne pouvez pas conserver les données à caractère personnel indéfiniment. La durée de conservation est limitée et dépend du but pour lequel vous les collectez ou les traitez. Une fois cette finalité atteinte, vous devez soit supprimer les données, soit les rendre définitivement anonymes.  

La difficulté réside dans le fait que le GDPR lui-même ne précise pas les périodes de conservation. Le principe fondamental d’obligation de responsabilité vous oblige à examiner et à documenter (dans le registre des données ou le registre des activités de traitement) la durée pendant laquelle un ensemble donné de données à caractère personnel reste pertinent pour chaque opération de traitement. En bref : la période de conservation varie au cas par cas. 

Limitation des finalités

Qu’est-ce que la « limitation des finalités » ?

La limitation des finalités est le principe de base qui mérite le plus d’attention. L’article 5, I., b du GDPR stipule que les données ne peuvent être collectées que « pour des finalités déterminées, explicites et légitimes, et qu’elles ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités ».

Qu’en est-il ? Vous devez définir au préalable une finalité claire pour tout traitement (« pourquoi traitons-nous ces données ? »). Vous ne pouvez, dès lors, procéder à la collecte et au traitement de ces données qu’à cette fin.[1]  En tant qu’entreprise, vous devez, en outre, clairement indiquer ces finalités aux personnes dont vous collectez les données à caractère personnel, ce qui est inhérent à votre obligation de transparence. Nous reviendrons plus tard sur les exceptions, mais vous ne pouvez pas « réutiliser » les données concernées à d’autres fins.  

Clarifions ce principe de limitation des finalités. Un exemple classique est l’organisation d’un concours en ligne sur une page de campagne ou via les médias sociaux. Les participants doivent répondre à des questions et laisser leurs coordonnées pour avoir une chance de gagner un prix. La raison pour laquelle les participants laissent leur nom et leur adresse électronique est qu’ils puissent être contactés s’ils ont gagné. C’est la raison initiale pour laquelle ils laissent leurs données et, en soi, également la seule raison (ou la seule finalité) pour laquelle leurs données peuvent être utilisées. 

En tant que marketeur, vous n’organisez toutefois pas un tel concours en ligne uniquement pour faire plaisir à vos clients. La raison sous-jacente est généralement l’enrichissement de votre base de données : vous voulez pouvoir y ajouter de nouveaux contacts ou optimiser les contacts existants avec des informations supplémentaires. Vous ne pouvez néanmoins pas vous contenter d’ajouter les données des participants à votre base de données marketing. Ce n’est, en effet, pas dans ce but que les participants ont partagé leurs données avec vous. Ajouter les données des participants à votre base de données marketing est une deuxième finalité, indépendante de la première. Nous verrons plus loin que vous avez besoin d’un fondement juridique distinct pour le faire. Dans ce cas, il s’agira généralement d’un consentement ou d’un opt-in.  


[1] A. Focquet et E. Declerck, Data protection in practice, Anvers, Intersentia, 2019, 17 et WP 29, Avis sur la limitation des finalités, 2 avril 2013, n° 03/2013.

Minimisation des données

Qu’est-ce que la « minimisation des données » ?

L’article 5, I., c du GDPR stipule que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».  

En termes clairs, vous ne pouvez collecter des données à caractère personnel que si elles sont réellement nécessaires pour atteindre l’objectif fixé. Le GDPR part du principe que « moins, c’est plus ». Ce principe diffère souvent de l’approche du big data et du profilage détaillé, fondée sur l’IA ou autre. Selon cette approche, chaque information peut être pertinente un jour.

Le principe de minimisation des données exige donc beaucoup de discipline. Lors de chaque collecte de données, vous devez vous demander si certaines informations sont effectivement pertinentes et nécessaires. Dans le cas contraire, vous ne pouvez tout simplement pas les conserver, même si la personne concernée consent à les partager. Cela va clairement à l’encontre de la tendance à collecter de plus en plus de données et qui suppose que tout ce qui n’est pas utile aujourd’hui peut l’être demain.

Obligation de responsabilité

Que signifie « obligation de responsabilité » ou « accountability » ?

Le GDPR contient étonnamment peu d’interdictions absolues. Le règlement laisse une grande part à la décision du responsable du traitement des données. Ce faisant, il part d’une « obligation de responsabilité ». Quiconque souhaite collecter ou traiter des données à caractère personnel doit pouvoir prouver à tout moment qu’il le fait de manière proportionnée et responsable. Il incombe donc à la personne qui souhaite travailler avec des données à caractère personnel de vérifier si elle peut le faire conformément aux règles du GDPR. Vous devez également pouvoir prouver que vous avez effectivement vérifié au préalable si vous respectez ces règles. Ne pas respecter cette obligation vous expose à des amendes significatives.

L’obligation de responsabilité vous impose donc :

  • d’examiner au préalable si vous respectez le GDPR ;
  • de pouvoir toujours prouver que vous avez vérifié l’impact et les conditions de chaque opération de traitement.

Pour le marketing et les boutiques en ligne, cette obligation induit que vous devez réfléchir au préalable à l’impact de chaque nouvelle action, carte client, site web ou boutique en ligne, nouveaux outils ou applications, achat ou location de données, etc., et qu’il est préférable de bien documenter cette réflexion préliminaire dans des rapports de réunion, des mémos internes ou même des « évaluations d’impact » formelles. S’il s’avère ensuite que le nouvel outil de cartographie thermique que vous utilisez est peu fiable et qu’il transmet en permanence des données à des entreprises tierces, vous vous exposez à de lourdes conséquences juridiques si vous ne pouvez pas prouver que vous vous êtes efforcé d’évaluer correctement tous les risques et de garantir un traitement sûr et correct au préalable.

Prise de décision automatisée et profilage

En quoi consistent la « prise de décision automatisée » et le « profilage » ?

Le GDPR contient des dispositions spécifiques pour limiter la « prise de décision individuelle automatisée » (prise de décision basée uniquement sur des moyens automatiques, sans intervention humaine) et le « profilage » (traitement automatisé de données à caractère personnel dans le but d’évaluer certains aspects d’une personne). Pour les campagnes de marketing, il s’agit d’actions basées sur des publics cibles, des segments, des audiences ou des profils spécifiques. 

La prise de décision automatisée et le profilage requièrent une transparence absolue, (presque toujours) un consentement explicite et le droit de s’opposer à la décision prise automatiquement ou au profilage.   

Privacy by design

Qu’est-ce que le « privacy by design » et le « privacy by default » ?

Les principes « privacy by design » et « privacy by default » obligent les responsables du traitement à respecter au maximum la confidentialité des données à caractère personnel dans leurs nouveaux logiciels, nouvelles apps, nouveaux outils, nouveaux sites web, etc. En clair, la boutique en ligne/le site web doit garantir la sécurité technique (SSL, transmission cryptée, etc.) afin de protéger la confidentialité des données à caractère personnel, mais aussi que la collecte de données à caractère personnel via le site web est conforme au GDPR (proportionnalité, limitation des finalités, minimisation des données, etc.). Cette obligation concerne au premier plan la création obligatoire de comptes ou l’utilisation de cookies et de champs de données dans les formulaires à remplir. Une évaluation préalable de l’impact sur la protection des données (DPIA) est nécessaire pour vous assurer de la conformité du processus.

Registre de données

Qu’est-ce qu’un « registre de données » ou un registre des « activités de traitement » ?

Le registre des données est une vue d’ensemble que le responsable du traitement des données et le sous-traitant doivent établir. Il reprend un aperçu complet et détaillé de toutes les activités de traitement au sein de l’entreprise. Pour chacune de ces activités de traitement, vous devez dresser la liste des informations requises par le GDPR. Par exemple, le détail des données traitées, le fondement juridique, l’origine des données, le lieu de conservation des données, les personnes avec lesquelles les données sont partagées, la durée de conservation des données, etc. 

Le registre est donc une sorte de « comptabilité » obligatoire de la manière dont vous traitez les données à caractère personnel. Vous devez le tenir à jour : l’Autorité de protection des données peut en demander l’accès à tout moment. Il existe quelques exceptions à l’obligation de tenir un registre, mais elles ne s’appliquent pratiquement jamais.

Responsable du traitement des données

Qu’est-ce qu’un « responsable du traitement des données » et qu’est-ce qu’un « sous-traitant » ?

Le responsable du traitement décide de la nature et de la manière dont les données à caractère personnel sont traitées. Si votre entreprise ou organisation prend elle-même cette décision, elle est responsable du traitement. L’optimisation de l’expérience de navigation sur un site web ou l’offre de publicités personnalisées en sont des exemples. Les moyens du traitement concernent deux aspects : les modalités techniques, telles que l’utilisation de cookies, et la manière dont les données sont traitées. Par exemple, quelles données sont traitées, qui a accès aux données ou quand les données sont supprimées. 

Comme son nom l’indique, le sous-traitant traite les données à caractère personnel pour le compte du responsable du traitement. Le sous-traitant est généralement un partenaire externe, un prestataire de services ou un sous-traitant externe à l’entreprise. Parmi les exemples de sous-traitants, épinglons les services d’archivage pour le dépôt électronique, les fournisseurs de services dans le cloud pour le stockage des données ou les prestataires de services informatiques externes. Important : les solutions dans le cloud et les outils en ligne pour l’analyse, le SEA, le marketing par e-mail et les newsletters traitent généralement des données à caractère personnel et constituent donc un « sous-traitant de données à caractère personnel » au sens du GDPR.

Sécurité des données

Qu’est-ce que la « sécurité des données » ?

La presse relate tous les jours le cas d’entreprises victimes de cyberattaques. Les attaques de type Cryptolocker attirent certes l’essentiel de l’attention. Mais, dans l’ombre, les entreprises sont tout aussi souvent victimes de piratage informatique et de vol de données. La cybercriminalité de ce type est, en effet, largement payante : les profits tirés de ces délits sont énormes et les risques d’être pris sont minimes. De plus en plus de collaborateurs internes des entreprises sont, en outre, rompus au numérique. Dans les situations de conflit, ils savent bien comment exploiter les vulnérabilités numériques de leur employeur. En d’autres termes, les cyberrisques sont permanents et proviennent souvent de sources inattendues.

La sécurité des données est néanmoins l’une des pierres angulaires du GDPR. L’article 5, I., f, l’article 24 et l’article 28, 3, e du GDPR exigent que le responsable du traitement et tout sous-traitant prennent toutes les « mesures techniques et organisationnelles appropriées » pour assurer une « sécurité appropriée », y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, en utilisant les technologies appropriées. La cybersécurité et le GDPR sont donc inextricablement liés.

Il s’agit sans nul doute de l’une des dispositions les plus vagues du GDPR. Qu’entend-on par « mesures techniques et organisationnelles appropriées » et en quoi consiste exactement une « sécurité appropriée » ? Ces concepts ne peuvent être appréhendés qu’à la lumière de l’obligation de responsabilité que nous avons décrite plus haut. Chaque entreprise ou département doit procéder à une analyse des risques pour ses opérations internes. Sur la base d’une « approche fondée sur les risques », il convient ensuite d’éliminer en premier lieu les risques les plus importants en tenant compte du risque, mais aussi des possibilités techniques, financières et organisationnelles. L’important est de bien documenter le tout. Cette documentation doit démontrer que vous avez choisi la solution la plus « appropriée » pour chaque risque identifié, au mieux de vos capacités et en fonction du contexte.

En quoi consistent ces risques et les mesures techniques et organisationnelles appropriées au sein d’un service de marketing ou d’une boutique en ligne ? À titre d’exemple, voici quelques grands « classiques ». Cette liste n’est pas exhaustive et dépend de votre situation spécifique.  

  • Partager le mot de passe du compte Mailchimp ou Google Analytics avec tous les membres de l’équipe.
  • Consigner ces mots de passe dans un fichier sur le réseau de l’entreprise ou sur un post-it dans les bureaux.
  • Utiliser ses propres appareils ou réseaux domestiques lors de l’utilisation de comptes en ligne tels que Mailchimp, Hubspot, les systèmes CMS ou plus généralement lors du traitement de données à caractère personnel appartenant à l’entreprise sans assurer une sécurité appropriée (antivirus, firewall, VPN double authentification...).
  • Utiliser des outils Adtech sans examen préalable de leur conformité au GDPR et les garanties de sécurité que ces outils peuvent fournir. Les points d’attention typiques comprennent l’offre d’un contrat de sous-traitance, la localisation des données à l’intérieur ou à l’extérieur de l’EEE, la protection des données dès la conception et par défaut...
  • L’utilisation par les collaborateurs de leurs propres outils, choisis par leurs soins, ou de « l’informatique fantôme », à l’insu de la direction et/ou des services informatiques et sans analyse préalable des risques.

Recourir à des partenaires externes (partenaire de marketing par e-mail, partenaire de publipostage, partenaire de marketing en ligne, etc.) sans garanties préalables de conformité au GDPR sous la forme d’un contrat de sous-traitance.

Traitement

Qu’est-ce que le « traitement des données à caractère personnel » ?

Dans ce contexte, le terme « traitement » désigne toute utilisation de données à caractère personnel. Le GDPR parle de « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction de données ». Ce traitement est effectué soit par le responsable du traitement des données à caractère personnel lui-même, soit pour son compte par un sous-traitant désigné par lui.

Transparence

Qu’est-ce que la « transparence » ?

La transparence est la condition préalable à la confiance. La transparence sur l’identité de l’organisation, sur ses valeurs et sur la manière dont elle traite la vie privée de ses clients et de ses suiveurs est la base de toute relation à long terme. La transparence est payante, mais c’est aussi l’une des obligations fondamentales de la réglementation en matière de protection des données. Quiconque souhaite traiter des données à caractère personnel doit faire preuve de la plus grande transparence à l’égard de la personne concernée.

La manière dont vous mettez en œuvre la transparence est expliquée plus loin dans ce guide. L’élément central en est une « politique de confidentialité » détaillée, dans laquelle : 

  • vous détaillez précisément qui vous êtes ;
  • vous indiquez les données que vous collectez ;
  • vous mentionnez à quelles fins vous utilisez ces données ;
  • vous indiquez avec qui exactement vous partagez ces données ;
  • vous mentionnez le fait que certains des destinataires des données se situent hors de l’UE (étendue à l’Islande, au Liechtenstein et à la Norvège) ; 
  • vous stipulez la période pendant laquelle vous conservez et utilisez les données ; 
  • vous indiquez les droits que le Règlement confère à la personne concernée en ce qui concerne ses propres données à caractère personnel.  

Violation de données

Qu’est-ce qu’une violation de données ?

On entend par violation de données toute atteinte à la sécurité des données à caractère personnel, peu importe qu’elle soit accidentelle ou délibérée, qu’elle ait une cause interne ou externe, qu’elle ait une cause malveillante ou qu’elle présente des conséquences ou des risques majeurs, mineurs ou nuls.

Le concept de « violation de données » est donc très large et englobe non seulement les piratages et les violations de données, mais aussi les e-mails contenant des données confidentielles envoyés au mauvais destinataire, les ex-collaborateurs qui détiennent encore des données personnelles, les failles de mots de passe, les cryptolockers, les violations d’habilitations internes, la perte d’un ordinateur portable contenant des données personnelles dans un train, etc.

Le GDPR prévoit l’obligation pour le responsable du traitement des données (et non le sous-traitant !) de signaler dans les 72 heures la découverte d’une violation de données via le site web de l’Autorité de protection des données. Si les risques pour les personnes sont improbables, vous n’êtes pas tenu de la signaler. Vous êtes parfois également tenu d’informer la ou les personnes concernées, notamment si l’incident est susceptible d’entraîner un risque élevé dans leur chef.

Qualité des données

Qu'est-ce que la "Qualité des données" ? 

Norme qui détermine la mesure dans laquelle les données sont adaptées à leur objectif spécifique. La qualité des données est par exemple caractérisée par l’exactitude, l’exhaustivité, la cohérence, la validité et l’unicité.