Aperçu des exigences légales

Alors que le monde devient de plus en plus dépendant des produits et services numériques, la confidentialité des données est devenue une priorité absolue pour de nombreux pays et régions. En conséquence, de nombreuses régions ont mis en place des réglementations robustes et applicables en matière de données auxquelles les entreprises sont censées se conformer.

Dans la plupart des cas, le non-respect de ces réglementations peut non seulement avoir des conséquences financières majeures, mais également des dommages importants et durables pour la confiance du public et la réputation de votre organisation. Il est donc important de veiller à ce que notre entreprise respecte ses obligations légales.

Exigences légales générales

Composants majeurs

Dans la grande majorité des législations, si vous traitez des données à caractère personnel, vous êtes généralement obligé de divulguer des informations relatives à vos activités de traitement de données via une politique de confidentialité complète , assurez-vous qu'il existe des mesures de sécurité efficaces pour protéger les données à caractère personnel et appliquez des méthodes. pour recevoir le consentement de l' utilisateur ou faciliter son retrait.

Ces informations de confidentialité doivent être à jour, compréhensibles, non ambiguës et facilement accessibles sur le site Web ou l'application. Certains composants requis peuvent varier en fonction du type d'activité de traitement, de la région, de l'âge de l'utilisateur ou du type d'entreprise. Par conséquent, il convient de noter qu’outre les points généraux exposés ici, vous pouvez avoir des responsabilités supplémentaires en fonction de votre loi de référence. Vous pouvez lire plus d'informations spécifiques à la situation dans les sections ci-dessous.

Les divulgations

En général, les utilisateurs doivent être informés de:

  • Détails du site / de l'application
  • La date d'entrée en vigueur de votre politique de confidentialité
  • Votre processus de notification pour les changements de politique
  • Quelles données sont collectées
  • Accès de tiers à leurs données (qui sont ces tiers et quelles données ils collectent)
  • Leurs droits vis-à-vis de leurs données.

Vous pouvez également être tenu de divulguer des informations supplémentaires aux utilisateurs, aux tiers et à l'autorité de surveillance, en fonction de votre loi de référence.

Consentement

Par consentement, on entend ici l’accord volontaire et éclairé d’une personne de s’engager dans un événement ou un processus particulier.

De manière générale, les utilisateurs doivent pouvoir refuser, retirer ou donner leur consentement (selon la loi régionale). Le consentement peut être obtenu en utilisant n'importe quelle méthode qui obligerait l'utilisateur à prendre une mesure affirmative directe et vérifiable; Ceux-ci peuvent inclure des cases à cocher, des champs de texte, des boutons bascules, l'envoi d'un email de confirmation, etc.

Déterminer votre loi de référence

En règle générale, les lois d'une région particulière s'appliquent si:

  • Vous basez vos opérations là-bas; ou
  • Vous utilisez des services de traitement ou des serveurs basés dans la région; ou
  • Votre service cible les utilisateurs de cette région

Cela signifie effectivement que les réglementations régionales peuvent s’appliquer à vous et / ou à notre entreprise, que vous résidiez dans la région ou non. Pour cette raison, il est toujours recommandé que vous abordiez vos activités de traitement de données en respectant les réglementations les plus strictes applicables. 

Spécifiques de la loi européenne

RGPD

Dans l'UE, le règlement général sur la protection des données ( RGPD ) a été introduit dans le but de centraliser la protection des données des personnes dans l'UE et est devenu pleinement applicable en mai 2018 . Dans sa forme la plus élémentaire, il spécifie comment les données à caractère personnel doivent être traitées légalement (y compris la manière dont elles sont collectées, utilisées, protégées ou avec lesquelles il est en interaction).

Où cela s'applique

Le RGPD peut s'appliquer lorsque:

  • La base d'opérations d'une entité est située dans l'UE (que le traitement ait lieu dans l'UE ou non);
  • Une entité non établie dans l'UE offre des biens ou des services (même si l'offre est gratuite) aux citoyens de l'UE. L'entité peut être une agence gouvernementale, une société privée / publique, une personne physique ou une organisation à but non lucratif.
  • Une entité n'est pas établie dans l'UE, mais elle surveille le comportement des personnes qui se trouvent dans l'UE, à condition qu'un tel comportement ait lieu dans l'UE.

Ce champ couvre effectivement presque toutes les entreprises et signifie donc que le RPGD peut s'appliquer à vous, que votre organisation soit basée dans l'UE ou non.

Remarque: les protections du RGPD s'étendent également aux utilisateurs situés en dehors de l'UE si le responsable du traitement est basé dans l'UE . Par conséquent, si vous êtes un contrôleur de données basé dans l'UE, vous devez, par défaut, appliquer les normes RGPD à TOUS vos utilisateurs.

Où cela ne s'applique pas

Les conditions d'applicabilité du RPGD sont définies d'un point de vue matériel et territorial. Pour déterminer si une activité de traitement spécifique est exclue de son applicabilité, nous devons prendre en compte les deux aspects.

Point de vue matériel

Le RGPD s’applique au traitement des données à caractère personnel . Par conséquent, cela ne s'applique pas aux données d'entreprise, telles que le nom et l'adresse d'une entreprise. Soyez prudent ici, cependant, car normalement les "personnes physiques" travaillent dans une entreprise. Par conséquent, toute donnée qui les concerne est considérée comme "personnelle", indépendamment du fait qu’elles soient traitées dans une relation client à client (B2C) ou entre entreprises. Contexte (B2B).

En outre, les données à caractère personnel peuvent ne pas entrer dans le champ d'application du RGPD dans plusieurs autres cas, notamment lorsqu'elles sont traitées par une personne physique pour une activité purement personnelle ou domestique. Vous pouvez en savoir plus à ce sujet dans le guide dédié ici .

Point de vue territorial

En plus de ce qui précède, nous avons déjà indiqué dans quelles conditions le RGPD est applicable . Par conséquent, pour qu'une activité de traitement ne soit pas soumise au RGPD d'un point de vue territorial, les éléments suivants doivent s'appliquer de manière cumulative:

  • le contrôleur (ou le processeur) n'est pas basé dans l'UE. Remarque: rappelez-vous toujours que le responsable du traitement (ou le sous-traitant) peut également être une succursale dans l'UE d'une société non européenne: dans ce cas, même si la succursale n'avait pas de personnalité juridique, le RGPD s'appliquerait pleinement;
  • le traitement ne concerne pas l'offre de biens ou de services (même gratuitement) à des personnes concernées par des données dans l'Union ni le suivi de leur comportement dans la mesure où ils se déroulent dans l'Union;
  • le responsable du traitement n'est pas basé dans un lieu extra-UE, où le droit de l'Union est applicable en raison du droit public international.

Exigences RGPD

En général, le RGPD exige :

Avoir une base légale. Le RGPD exige que vous disposiez d'au moins une base légale pour le traitement des données utilisateur. Il y a 6 bases légales décrites dans le RGPD.

Acquérir un consentement vérifiable. Dans le RGPD, le consentement est l’une des bases juridiques / légales pour le traitement des données des utilisateurs et, en tant que tel, il doit être «librement donné, spécifique, éclairé et explicite». Cela signifie que le mécanisme d'obtention du consentement doit être sans ambiguïté et impliquer une action «opt-in» claire (le règlement interdit spécifiquement les cases pré-cochées et les mécanismes similaires «opt-out»).

Le RPGD donne également aux utilisateurs un droit spécifique de retirer leur consentement et, par conséquent, il doit être aussi facile de retirer un consentement que de le donner. Parce que le consentement en vertu du RGPD est une question tellement importante, il est essentiel de documenter et de conserver des enregistrements clairs en rapport avec le consentement.

Les enregistrements de consentement doivent au moins contenir les informations suivantes:

  • L'identité de l'utilisateur qui donne son consentement;
  • Quand ils ont consenti;
  • Quelles divulgations ont été faites (ce qu'on leur a dit) au moment où elles ont donné leur consentement;
  • Méthodes utilisées pour obtenir le consentement (par exemple, formulaire de bulletin d'information, au moment du paiement, etc.);
  • Qu'ils aient retiré leur consentement ou non

Le consentement n'est pas la SEULE raison pour laquelle une organisation peut traiter des données utilisateur. il ne s'agit que de l'une des «bases juridiques». Par conséquent, les entreprises peuvent appliquer d'autres bases légales (dans le cadre du RPG) pour leurs activités de traitement de données. Cela dit, il y aura toujours des activités de traitement de données pour lesquelles le consentement est la seule ou la meilleure option.

Droits des personnes concernées :

En vertu du RGPD, les utilisateurs ont des droits statutaires concernant leurs données. En tant que responsable du traitement, vous devez non seulement respecter ces droits, mais vous devez également informer les utilisateurs à ce sujet. Ces droits incluent:

  • Le droit d'être informé Outre les informations généralement requises décrites ci-dessus, le RGPD exige également que vous veilliez à ce que vos avis de confidentialité soient concis, faciles à comprendre et facilement accessibles sur tout votre site Web / votre application.
  • Le droit d'accès Les utilisateurs ont le droit d'accéder à leurs données personnelles et à des informations sur le traitement de leurs données personnelles.
  • Le droit de rectification Les utilisateurs ont le droit de voir leurs données personnelles rectifiées si elles sont inexactes ou incomplètes.
  • Le droit de faire objection En vertu du RPGD, les utilisateurs ont le droit de s’opposer à certaines activités en relation avec leurs données personnelles.
  • Le droit à la portabilité des données Sous certaines conditions, les utilisateurs ont le droit d'obtenir (dans un format lisible par une machine) et d'utiliser leurs données personnelles à leurs propres fins.
  • Le droit d'effacer Lorsque les données ne correspondent plus à leur objectif initial ou lorsque les utilisateurs ont retiré leur consentement, les utilisateurs ont le droit de demander que leurs données soient effacées et que toute diffusion cesse.
  • Le droit de restreindre le traitement Les utilisateurs ont le droit de limiter le traitement de leurs données personnelles dans des cas spécifiques.
  • Droits liés à la prise de décision automatisée et au profilage Les utilisateurs ont le droit de ne pas être soumis à une décision qui est basée sur un traitement automatisé ou un profilage et qui produit un effet important, juridique ou similaire, sur l'utilisateur.

Répondez aux exigences spécifiques si vous transférez des données en dehors de l'EAA. Le RPGD autorise les transferts de données de résidents de l’UE en dehors de l’Espace économique européen (EEE) uniquement lorsque les conditions définies sont remplies.

Implémentez la confidentialité par conception et par défaut. Dans le RPGD, la protection des données devrait être incluse dès le début de la conception et du développement des processus et de l'infrastructure de l'entreprise.

Divulguer les failles de sécurité. En vertu du RGPD, vous êtes tenu d'informer l'autorité de surveillance des violations de la sécurité impliquant des données d'utilisateur dans les 72 heures suivant leur constatation. Dans de nombreux cas, vous devez également informer les utilisateurs concernés.

Désigner un délégué à la protection des données (lorsque certaines conditions sont remplies). Dans certaines conditions, vous pouvez être amené à nommer un délégué à la protection des données, qui sera chargé de superviser toutes les activités de traitement et de contrôler le respect de la législation en vigueur. Les cas de rendez-vous obligatoires incluent les situations dans lesquelles un traitement systématique à grande échelle des données des utilisateurs est utilisé et où des catégories spéciales de données (par exemple des données sensibles) sont en cours de traitement.

Tenir des registres des activités de traitement . Comme stipulé à l'article 30, le RGPD exige que vous conserviez et conserviez des enregistrements «complets et exhaustifs» à jour des activités de traitement de données particulières. Des enregistrements complets et complets du traitement sont expressément requis dans les cas où vos activités de traitement de données ne sont pas occasionnelles , où elles pourraient entraîner un risque pour les droits et libertés d'autrui, lorsqu'elles impliquent le traitement de "catégories particulières de données" ou dans lesquelles votre L'organisation compte plus de 250 employés, ce qui couvre pratiquement tous les contrôleurs et processeurs de données . Toutefois, même si vos activités de traitement ne relèvent pas de ces situations, vos obligations d'information vis-à-vis des utilisateurs vous obligent à conserver des enregistrements de base concernant les données que vous collectez, leur objectif, toutes les parties impliquées dans son traitement et le délai de conservation des données. c'est obligatoire pour tout le monde. 

Effectuer une DPIA (si certaines conditions sont remplies). Dans les cas où l'activité de traitement des données est susceptible de présenter un risque élevé pour les utilisateurs, le RGPD exige qu'une évaluation de l'impact sur la protection des données (DPIA) soit réalisée.

Commerce électronique

Outre les informations et les exigences décrites ci-dessus (et sous réserve de votre loi de référence), si vous exploitez un site Web ou une application de commerce électronique, vous êtes soumis aux lois commerciales et aux règles de l'industrie applicables.

Concernant le commerce B2B

En règle générale, les personnes impliquées dans des transactions commerciales B2B seront soumises aux contrats, aux directives sectorielles et nationales applicables. Cependant, pour participer au commerce interentreprises, il est souvent nécessaire de traiter des données à caractère personnel (qu’il s’agisse de ceux des employés ou autre). Dans de tels cas, et lorsque le traitement entre dans son champ d’application , le RPGD s’applique et prime.

Concernant le commerce B2C

En vertu des lois sur la consommation de la plupart des pays, lors de la vente aux consommateurs , en plus des informations à fournir par défaut sur la confidentialité , vous devez informer les clients des éléments suivants:

  • Retours / détails de remboursement ;
  • Informations sur la garantie / garantie (le cas échéant);
  • Informations de sécurité , y compris les instructions pour une utilisation correcte (le cas échéant);
  • Conditions de livraison du produit / service;
  • Informations d'identification telles qu'une adresse légale et un nom commercial;
  • Droits des consommateurs (tels que les droits de rétractation ), le cas échéant;
  • Coordonnées du vendeur (adresse e-mail, par exemple).

Droit européen

Le droit de la consommation de l'Union européenne s'applique aux contrats ou autres relations juridiques entre les consommateurs (d'un côté) et les professionnels, les entreprises, les entreprises (B2C). Il ne s'applique pas aux relations B2B (par exemple, un supermarché passe une commande auprès de son fournisseur de fruits) ni aux relations C2C (par exemple, je vends mon ancien vélo sur eBay).

En vertu du droit européen de la consommation, le consommateur dispose d'un droit inconditionnel de retrait ("délai de réflexion") de 14 jours . Cela signifie que les consommateurs peuvent annuler ou résilier leur contrat à distance (ventes en ligne, par téléphone, par correspondance) pour quelque motif que ce soit pendant 14 jours après la réception du produit (dans les cas impliquant des biens).
Il est à noter que 14 jours est le minimum légal ; dans certains pays, les règles nationales peuvent prolonger cette période ou les fournisseurs individuels peuvent prolonger leur contrat.

Ce droit de rétractation ne s'applique pas à toutes les situations.

Certaines exemptions courantes sont:

  • Billets d’événement et de voyage et réservations de location de voiture, mais plus généralement tout contrat relatif à des activités de loisirs, s’il prévoit une date ou une période d’exécution spécifique;
  • Des supports scellés tels que des CD qui ont été descellés par le destinataire;
  • Contenu numérique dès qu'il est téléchargé par le consommateur;
  • Articles sur mesure ou personnalisés (p. Ex. Une robe sur mesure);
  • Sous certaines conditions supplémentaires, tout contrat relatif à la fourniture d'un service, etc.

Les consommateurs situés dans l'UE sont également protégés par une garantie légale de 2 ans sur les produits achetés sans frais supplémentaires. Ici encore: 2 ans est le minimum légal ; dans certains pays, les règles nationales peuvent prolonger cette période, qui peut également être prolongée contractuellement. Ces règles s’appliquent généralement à toute entreprise qui vend aux résidents de l’UE, mais peuvent varier d’un vendeur à l’autre au cas par cas. Il convient toutefois de noter que dans des affaires récentes, les tribunaux américains ont choisi de faire respecter le droit de l'UE applicable.

Alors, quelle est la différence entre le retour d'un produit sur la base d'un retrait et le retour sur une garantie?

Droit de rétractation Garantie légale s'applique pendant 14 jours après la réception du produit ou la signature du contratS'applique pendant 24 mois après la réception du produitVous n'avez besoin d'aucune raison pour exercer ce droit - vous pouvez simplement changer d'avisVous pouvez retourner un produit uniquement pour des raisons de garantie, car il est défectueux ou ne convient pas aux fins pour lesquelles il a été vendu et acheté.Vous devrez peut-être supporter les frais de retour du produit (mais cela doit être spécifié)Vous pourriez ne pas avoir à supporter aucun coût (c'est "la faute du vendeur" si le produit est défectueux)S'applique avec quelques exceptions (dont certaines sont mentionnées ci-dessus)S'applique toujours aux produits, jamais aux services

Le droit de l'Union exige également que les vendeurs informent les consommateurs de la plate-forme européenne de résolution des litiges en ligne (ODR) via un lien direct . Le règlement en ligne des litiges est un processus qui permet aux consommateurs établis dans l’UE de déposer facilement des plaintes (en ce qui concerne les ventes en ligne) contre des entreprises également établies dans l’UE. Cela signifie que les exigences en matière de règlement des litiges en ligne peuvent également s'appliquer aux entreprises américaines ayant une présence physique quelconque dans l'UE.

En règle générale, les sites Web privés (ou profils de réseaux sociaux privés, blogs, etc.) qui ont simplement un but privé et personnel ne sont pas soumis à une réglementation supplémentaire. Toutefois, diverses lois européennes et nationales exigent que les opérateurs commerciaux en ligne divulguent certaines informations.

Pour être considéré comme «commercial», il n’est pas nécessaire de «vendre» quoi que ce soit. Un site Web personnel peut facilement être considéré comme commercial si, par exemple, il génère un trafic considérable et crée de ce fait des revenus publicitaires pertinents (par exemple, des influenceurs), cependant. , si vous “vendez” des produits ou des services, les droits d’information augmentent.

Si vous vendez directement aux consommateurs (B2C), vous devrez faire face à des obligations supplémentaires en matière d’information, notamment celles énumérées ci-dessus , ainsi qu’à un lien vers la plate-forme de résolution en ligne de l’UE pour les consommateurs, indiquant les heures de livraison précises, communiquant les prix et les conditions applicables. taxes conformément à la directive 83/2011/UE.

Courriels et lettres d'information

Une adresse e-mail est considérée comme une donnée personnelle. Par conséquent, chaque fois qu’il s’agit d’adresses électroniques, une loi sur la protection de la vie privée est déclenchée. Comme nous l'avons déjà mentionné, dans la plupart des législations, vous devez informer de manière détaillée sur les activités de traitement, leurs objectifs et les droits des utilisateurs.

En règle générale, de telles législations s’appliquent à tout service destiné aux résidents de la région, ce qui signifie effectivement qu’ils peuvent s’appliquer à notre entreprise, qu’elle soit située dans la région ou non. Cela est d'autant plus pertinent si vous utilisez une liste de courrier électronique achetée, car dans ce cas, vous ne connaissez peut-être pas le pays de résidence du destinataire. Pour cette raison, il est toujours recommandé que vous abordiez vos activités de traitement de données en respectant les réglementations les plus strictes applicables .

Droit européen

En vertu du droit de l'Union européenne (à savoir le RGPD ), il est impératif d'obtenir le consentement éclairé de l'utilisateur avant de le souscrire au service. En vertu de la réglementation de l’UE, l’ obtention du consentement peut être considérée comme un processus en deux étapes, qui comprend l’ information de l’utilisateur et l’ obtention d’un consentement vérifiable par le biais d’une action positive.

Les enfants

En vertu de la réglementation RGPD de l' UE , le consentement est l'une des bases légales du traitement des données relatives aux enfants . Si vous utilisez cette base pour traiter les données d'enfants de moins de 13 ans, vous devez obtenir le consentement vérifiable d'un parent ou d'un tuteur sauf si le service que vous proposez est un service de prévention ou de conseil.

Autres considérations juridiques

Les CGU sont essentiellement un accord juridiquement contraignant. En règle générale, les conditions contractuelles standard s'appliquent et, dans la plupart des lois, les contrats utilisés par les opérateurs doivent être équitables. Cela signifie que le document doit être à jour avec toutes les réglementations en vigueur, précis, visible et facilement compréhensible pour que les utilisateurs puissent à la fois le voir facilement et l'accepter . L'«action d'accord» doit être effectuée de manière non ambiguë (par exemple, en cliquant sur une case à cocher avec un lien visible vers le document avant de pouvoir créer un compte ou d'utiliser le service).

Bien que le contenu complet puisse varier en fonction des particularités de notre entreprise, les conditions générales doivent au moins comprendre les éléments suivants:

  • Identification de l'entreprise
  • Description du service fourni par votre site / application
  • Informations sur la répartition des risques, la responsabilité et les avertissements
  • Informations sur la garantie / garantie (le cas échéant)
  • L'existence d'un droit de rétractation (le cas échéant)
  • Informations de sécurité , y compris les instructions pour une utilisation correcte (le cas échéant)
  • Conditions de livraison du produit / service
  • Droits d'utilisation (le cas échéant)
  • Conditions d'utilisation / d'achat (p. Ex. Conditions d'âge, restrictions d'emplacement)
  • Politique de remboursement / échange / résiliation du service et informations connexes
  • Informations relatives aux modes de paiement
  • Toute autre condition applicable

Exigences de tiers

Les applications et services tiers doivent également respecter la loi. En tant qu'organisations elles-mêmes, elles peuvent également être exposées à des dommages importants à leur réputation, à des amendes et à des sanctions si leurs obligations légales ne sont pas remplies. Pour cette raison, il est souvent obligatoire que tous les partenaires et clients qui utilisent leurs services respectent les normes réglementaires. En règle générale, ils exigent que les organisations qui utilisent leurs services disposent d'une politique de confidentialité conforme (et d'une politique de cookie si des cookies sont utilisés), qui divulgue des détails pertinents sur la relation et les services rendus.

Les applications et services tiers doivent également respecter la loi. Pour cette raison, il est souvent obligatoire que tous les partenaires et clients qui utilisent leurs services respectent les normes réglementaires.

Un exemple est Google . Pour accéder à certains services et outils (par exemple, AdSense, Google Analytics, Google Play Store), Google exige que vous avez une politique de confidentialité complète et à jour, en place. Voici un extrait des conditions d'utilisation de Google Analytics :

"Vous devez publier une politique de confidentialité et cette politique de confidentialité doit indiquer votre utilisation des cookies utilisés pour collecter des données de trafic", et "Vous ne devez pas contourner les fonctions de confidentialité (par exemple, une option de retrait) faisant partie du Un service."

Un autre exemple est celui d'Amazon. Voici un extrait de ce qu'ils avaient à dire:

Nous avons étendu l'obligation de divulguer notre relation d'affiliation à tout moyen permettant d'exploiter le contenu des associés.

De temps en temps, les exigences des tiers peuvent changer en fonction des réglementations internes ou régionales. Il est donc nécessaire de veiller à ce que vos politiques répondent aux dernières exigences afin d'éviter d'éventuelles pénalités ou des interruptions de service.

Toutes ces informations sont soumis à la propriété intellectuelle, toute reproduction est strictement interdit.

Avez-vous trouvé votre réponse?