Comment mettre un site web en conformité au RGPD

Pour aller plus loin : la formation "Assurer la conformité RGPD d'un site web (vous/vos clients)" (1 jour) vous aidera à implémenter ces obligations

Définition et missions du DPO, le Data Privacy Officer (RGPD)

Le DPO - Data Privacy Officer - ou le “Délégué à la Protection des Données” (DPD) en Français, est la personne en charge d’assurer la protection des données personnelles au regard du RGPD. Sa mission est définie précisément par les articles 37 et suivants du RGPD (II) et celui-ci doit être nommé obligatoirement dans un certain nombre de cas (I). Le DPO peut être interne à l’organisation ou externe, mais dans tous les cas il doit disposer des compétences et des moyens pour poivoir mener à bien ses missions.

Les sanctions en cas de non respect du RGPD (avec exemples)

Les sanctions ont été un point essentiel dans la réforme du RGPD : en cas de non respect, les entreprises risquent aujourd’hui des sanctions qui vont de 20 millions d’euros pour les PME et jusqu’à 4% du chiffre d’affaires global du groupe pour les grandes entreprises (plusieurs milliards d’euros en pratique).

Conditions générales de vente : un modèle libre et gratuit (2021)

Vous trouverez ci-après un modèle de conditions générales de vente libre et gratuit que vous pouvez réutiliser à condition simplement de faire un lien vers ce post (ce qui permettra aux personnes qui les lisent de retrouver le modèle originel et ses évolutions).

14 sanctions RGPD que vous devez impérativement connaître

La grande nouveauté du RGPD a été la mise en place de sanctions réellement dissuasives (4% du chiffre d’affaires global pour les grandes entreprises ou 20 millions pour les TPE/PME). De la sorte, le législateur a donné les moyens aux CNILs européennes de faire plier les organisations qui ne respecteraient pas le RGPD. On peut dire que l’objectif est atteint, car il y a aujourd’hui environ une sanction par jour pour violation du RGPD en Europe. Des sanctions dissuasives sont régulièrement prononcées (35 millions d’euros, 203 millions, 110 millions, 100 millions pour Google très récemment…). Quelques chiffres au passage, sur les trois derniers mois : 99 sanctions, 110 millions d’euros d’amende, 40% d’amendes en plus par rapport à l’année dernière.

Comment recueillir un consentement RGPD valable

La question de savoir comment recueillir valablement un consentement au titre du RGPD suscite beaucoup de discussions, alors pourtant qu’elle est souvent simple à traiter. Nous allons donc voir dans ce guide pratique comment recueillir un consentement qui soit valable au titre du RGPD et comment respecter toutes les conditions imposées par la loi.

Comment gérer le Privacy By Design imposé par le RGPD ?

Le RGPD a introduit de nouveaux concepts intéressants afin d’assurer la protection des données personnelles, dont un qui est la notion de “privacy by design”. En fait pour être totalement exact, il faut distinguer deux choses derrière cette notion : l’idée de “privacy by design” et l’idée de “privacy by default”. Ces concepts nous viennent de la Commissaire de l’agence canadienne de protection des données personnelles (Dr. Anne Cavoukian) qui a développé une série de principes en 2010 tendant à prendre en compte la vie privée dès la conception des systèmes de traitement. Le RGPD a repris cette idée, mais sous un angle assez spécifique. On verra donc ces notions en détail (I) avant de voir la place que leur réserve le RGPD et les obligations légales qui sont en vigueur (II).

Qu'est-ce que le droit d'opposition imposé par le RGPD ?

Le droit d’opposition imposé par le RGPD est souvent mal compris. Déterminé par l’article 21, il confère aux personnes dont les données sont traitées la possibilité de s’opposer à leur traitement, mais dans certaines situations spécifiques uniquement. En cela, le droit d’opposition se cumule avec d’autres droits existants qui permettent à une personne de faire arrêter le traitement de ses données (I), comme le droit de retirer son consentement. Une personne peut ainsi “s’opposer” au traitement, sans faire valoir le droit conféré par l’article 21, ce que l’on verra en détail. Pour comprendre le droit d’opposition, il faut également comprendre ses limites, car il existe un certain nombre de cas dans lesquels le droit d’opposition n’est pas valable. Dans ces cas, la personne concernée ne pourra rien faire pour arrêter le traitement de ses données personnelles (II). Ces considérations imposent en réalité d’observer autre disposition centrale du RGPD : l’article 6 et les mécanismes qui permettent à une personne de faire cesser le traitement de ses données (III). Une fois ces éléments analysés, on verra comment suivre et gérer une demande d’opposition en pratique (IV)

Thiébaut Devergranne
Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
formation RGPD
Legiscope
VOS CGV (gratuites)