Gestion du compte Aide

Quelles sont les implications du RGPD pour mon entreprise ?

Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) est une loi de l'Union européenne (UE) axée sur la protection des données et la confidentialité pour tous les citoyens et résidents de l'UE. Le RGPD régit la manière dont les entreprises - y compris GoDaddy - peuvent traiter les données personnelles des personnes dans l'UE. Le RGPD est entré en vigueur le 25 mai 2018. Pour une description plus détaillée de ce qu'est le RGPD et de la façon dont GoDaddy est conforme au RGPD, veuillez consulter les informations de notre Centre de confidentialité.

GoDaddy n’est pas un cabinet d’avocats

Nous espérons que ce document vous donnera un aperçu de ce qu’est le RGPD et de ce que cela pourrait signifier pour vous, mais GoDaddy n’a pas vocation à fournir des conseils juridiques et ceci n’est pas un guide complet relatif au RGPD. La situation de chaque entreprise est différente et le RGPD en tant que législation est très complexe. Pour des questions spécifiques concernant vos activités commerciales et la façon dont elles pourraient être impactées par le RGPD (et d’autres législations applicables en matière de confidentialité), nous vous recommandons fortement de consulter un avocat.

Nous ne sommes pas des experts de votre entreprise

Bien que nous aimerions pouvoir vous donner des conseils explicites sur la façon dont vous devriez gérer votre conformité avec le RGPD, c’est à toutes fins pratiques impossible. Chaque entreprise est gérée différemment, avec des politiques, des protocoles, des employés, des emplacements différents, etc. Nous souhaitons donc donner un aperçu de la prise en charge du RGPD par GoDaddy, mais il y a plusieurs nuances dans la réglementation, que nous avons mises en évidence dans ce document, où vous devrez procéder à vos propres évaluations en fonction de votre situation particulière.

En quoi le RGPD est-il différent ?

Le RGPD n’est pas si différent des autres législations en matière de confidentialité dans le monde. Ce qui rend le RGPD extrêmement visible, c’est qu’il s’étend au-delà des frontières de l’UE à toute entreprise du monde gérant des données personnelles relatives à des ressortissants de l’UE et qu’il s’accompagne d’amendes importantes (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial) en cas de non-conformité. Ainsi, un plus grand nombre de pays, plus d’amendes, une portée étendue, entraînant ainsi une plus grande couverture médiatique. Cela ne veut pas dire qu’il n’y a pas de différences : le RGPD oblige les entreprises concernées à fournir certains droits à leurs clients (comme un « droit à l’oubli » et un « droit à la portabilité des données ») et à mettre en œuvre certaines mesures de conformité.

Mon entreprise est-elle impactée ?

Votre entreprise pourrait être impactée pour plusieurs raisons. Si votre entreprise est située dans l’Espace économique européen (EEE) ou si vous faites affaire avec des clients situés dans cette zone lorsque vous vendez des biens ou des services, poursuivez votre lecture. Si vous n’exercez pas d’activité dans cette région ou si vous ne ciblez pas d’une autre manière des personnes issue de l’UE, vous êtes probablement prêt (à nouveau, contactez votre conseiller juridique pour vous en assurer).

Mon ou mes produits et services de GoDaddy sont-ils conformes au RGDP ?

Que veut dire « conforme au RGPD » ?

Le RGPD est véritablement axé sur la confidentialité des informations personnelles. Pour résumer, il s’agit de s’assurer que les données personnelles de vos clients sont protégées et utilisées comme il se doit. Avant de voir plus en détail, voici quelques définitions clés de la législation qui nous aideront à définir les responsabilités respectives en ce qui concerne le traitement des données personnelles :

  • Personne concernée : La personne fournissant les informations personnelles. Il peut s’agir d’un client, d’un employé ou d’une personne qui visite votre site Web (ce dernier cas si vous recueillez des informations au sujet du visiteur en utilisant des « cookies et des technologies similaires »).
  • Contrôleur des données : partie qui détermine les buts et les moyens pour le traitement des données personnelles.
  • Processeur de données : La partie qui traite les données personnelles pour le compte du contrôleur de données.
  • Traitement : Toute opération ou ensemble d’opérations effectuées sur des données personnelles, que ce soit par collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, récupération, consultation, utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.
  • Données personnelles : Le RGPD s’applique uniquement aux « données personnelles », c’est-à-dire à toute information relative à une personne identifiable pouvant être identifiée directement ou indirectement notamment via un identifiant. Cette définition recouvre un large éventail d’identifiants personnels pouvant compter des données personnelles, notamment le nom, le numéro d’identification, les données de localisation ou l’identifiant en ligne, reflétant les changements technologiques et la manière dont les organisations recueillent des informations sur les personnes. De manière globale, si des données permettent d’ identifier un utilisateur, un client ou qui que ce soit, c’est qu’il s’agit de données personnelles.

Que signifient ces définitions en ce qui me concerne ?

Dans le cadre de notre relation, il y a des moments où nous avons le rôle de contrôleur des données (lorsque nous recueillons des données auprès de vous dans le but de vous vendre nos produits et services, tels que votre nom, votre adresse, votre adresse email, votre numéro de téléphone et vos informations de carte de crédit). Parfois, nous avons le rôle de processeur des données et vous celui de contrôleur des données (par exemple, lorsque vous utilisez nos services hébergés pour vos propres besoins professionnels et que des informations sont transmises à nos serveurs afin que nous puissions fournir, gérer et maintenir les services pour vous (pour plus d’informations, voir ci-dessous)).

Qu’est-ce que la loi exige exactement ?

Eh bien, la version officielle du RGPD fait 261 pages, contient 173 considérants, 99 articles et (comme mentionné) est complexe et souvent vaste, vague et ambiguë (c’est bien notre chance !). Nous verrons juste quelques-uns de ses principes clés :

  • Transparence

    Quelles données collectez-vous et comment seront-elles utilisées ? Expliquer cela à vos clients de façon à ce que les informations soient faciles à lire et à comprendre est un principe important de toute législation sur la confidentialité, y compris le RGPD.

    Nous supposons que vous avez reçu environ un million d’emails du type « Nous avons mis à jour notre politique de confidentialité » récemment, n’est-ce pas ? Ce n’est pas une coïncidence. Le RGPD exige des entreprises qu’elles fournissent plus de transparence et de clarté quant à la façon dont elles collectent et utilisent les informations de leurs clients (en d’autres termes, pour les rendre plus conviviales). Les politiques de confidentialité sont le mécanisme qui vous permet d’offrir une transparence, en expliquant clairement et dans un langage simple à vos clients comment vous collectez et utilisez leurs données personnelles et comment ils peuvent vous contacter ou exercer les droits qui pourraient leur être accordés.

    GoDaddy fournit des outils qui vous permettent d’incorporer des politiques de confidentialité dans vos sites Web et, dans certains cas, vous fournit des modèles à partir desquels vous pouvez travailler. Cependant, comme nous ne savons pas comment vous gérez votre entreprise, il nous est impossible de vous fournir une politique de confidentialité entièrement conforme.

  • Contrôles des clients et gestion du consentement

    La transparence est un bon début, mais si vous utilisez (ou collectez) des informations auprès de vos clients en plus de ce qui est strictement nécessaire pour leur fournir les biens ou les services que vous vendez, vous devez également vous assurer qu’ils ont la possibilité de consentir à d’autres utilisations, et leur fournir des contrôles permettant de révoquer ce consentement ultérieurement.

    L’exemple le plus évident ici est l’utilisation d’adresses email ou de numéros de téléphone collectés pour communiquer avec vos clients (nous pensons généralement en termes d’inscription/désinscription à ces communications/abonnements). Ces informations peuvent être fournies par vos clients lors de la création d’un compte ou de l’achat d’un produit ou service auprès de vous. Cependant, cela comprend également votre collecte d’informations sur les personnes qui visitent vos sites Web via des outils communément appelés « cookies » (et des technologies similaires telles que les pixels, les scripts, etc.). Vous avez certainement déjà vu des « bannières de cookies » lors de la visite de sites Web et, comme dans le cas d’une politique de confidentialité, ces bannières de cookies permettent une plus grande transparence. En affichant une bannière de cookies, les utilisateurs peuvent en apprendre davantage sur les outils utilisés pour collecter des informations à leur sujet, accepter ou refuser une telle utilisation et/ou contrôler de manière précise quels cookies sont acceptables.

    En vertu du RGPD, vos clients doivent avoir le droit de consentir à une telle collecte (et utilisation ultérieure), et le seul moyen de donner un consentement approprié est que vous permettiez d’exercer un tel consentement d’une manière facile à comprendre (pour l’usage particulier) et explicite. Des cases pré-cochées, le silence ou l’inactivité ne peuvent pas être utilisés pour indiquer le consentement de votre client. Par exemple, si votre site Web compte une case à cocher stipulant « Nous partagerons vos données avec des annonceurs tiers », vous ne pouvez pas présélectionner la case à cocher pour autoriser le traitement des données des personnes concernées. La case à cocher doit rester non cochée pour les personnes concernées au sein de l’EEE jusqu’à ce qu’elles acceptent volontairement un tel traitement ou expriment leur consentement à cet égard.

    En définitive, vous devez vous assurer que vos clients peuvent exercer un contrôle sur l’utilisation de leurs données personnelles, les communications et le consentement, et disposent même du droit de révoquer ce consentement.

  • Droit à l’oubli

    Nous avons déjà mentionné que le RGPD est très semblable aux autres législations sur la protection de la vie privée dans le monde, la transparence est un droit vis-à-vis de vos clients qui est propre au RGPD. Le RGPD octroie aux individus le « droit à l’oubli » (le « Droit d’effacement » prévu par la loi). Cela signifie que le client peut demander que ses données personnelles soient supprimées (et qu’elles soient « oubliées »), lorsque les données personnelles collectées ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou traitées.

    Lorsque ce droit existe, vous devez supprimer les données personnelles de la personne concernée de vos systèmes (à moins que des raisons commerciales ou légales légitimes ne justifient la conservation de ces données, par exemple à des fins de reporting financier ou de conservation légale).

    Par exemple, si un client décide de ne plus faire affaire avec vous, il se peut qu’il ne veuille plus que vous conserviez des informations le concernant qui ont été collectées et stockées précédemment par vous. Bien qu’il y ait des limitations à ce droit (avec des exceptions et des nuances compliquées), le cas échéant, vous devez considérer la façon de procéder et votre capacité à honorer cette demande une fois celle-ci formulée.

    GoDaddy, pour sa part, comme nous l’avons décrit et conformément à notre Addenda sur le traitement des données, honorera les demandes envoyées par vos soins (le Contrôleur des données) pour supprimer de nos systèmes les informations relatives à vos clients si la demande en est faite.

  • Droit de portabilité des données

    Le droit à la portabilité des données est un autre droit unique du RGPD qui permet aux individus d’obtenir et de réutiliser leurs données personnelles pour leurs propres besoins à travers différents services. Il leur permet de déplacer, copier ou transférer facilement des données personnelles d’un environnement informatique vers un autre de manière sûre et sécurisée, sans affecter leur capacité à être utilisées.

    Supposons que vous êtes un planificateur d’événements. Votre client a fourni l’ensemble de ses coordonnées et de ses préférences personnelles pertinentes, mais il a ensuite déménagé et décidé d’embaucher un nouveau planificateur d’événements. Au sein de l’EEE, il devrait être en mesure d’obtenir une copie électronique de ses données personnelles pour repartir sur de bonnes bases avec un nouveau planificateur d’événements. GoDaddy est là pour vous aider pour de telles demandes dans la mesure où les données personnelles de votre client existent et peuvent être exportées vers vous à partir des produits ou services que nous fournissons.

  • Confidentialité dès la conception

    La confidentialité dès la conception (ou par défaut) signifie essentiellement que lorsque vous obtenez, traitez, stockez ou utilisez des données personnelles, les protections nécessaires sont envisagées et incluses. Aucune considération particulière et aucune étape supplémentaire ne sont nécessaires, seules les données minimales nécessaires sont collectées, reçues de façon sécurisée (chiffrées, par exemple), stockées dans un endroit sûr, et seules les personnes ayant un besoin valide et ayant reçu une formation appropriée y ont accès. Cela implique de s’assurer que les tiers disposent également de protections en place avant de leur envoyer les données personnelles de votre client.

    C’est essentiellement la même chose que lorsqu’une personne se rend chez son médecin. En tant que patient, vous vous attendez à ce que votre dossier médical, les notes prises et les conseils reçus soient conservés en toute sécurité et en toute confidentialité. Appliquez ce même type de vigilance aux personnes concernées et vous n’aurez aucun souci à vous faire.

    Tout examen des opérations de votre entreprise doit inclure la manière dont les produits et services de GoDaddy peuvent être utilisés dans le respect de la confidentialité. Même si nous espérons que nos produits et services peuvent être configurés pour répondre à vos besoins spécifiques, il vous appartient de déterminer de manière indépendante si l’utilisation de nos services est conforme à la législation applicable en matière de confidentialité et de protection des données.

  • Notifications sur la violation de données

    Dans le cas malheureux d’une violation de données personnelles, les entreprises ont le devoir d’informer leur autorité de surveillance dans les 72 heures suivant la prise de connaissance de la violation ou sans retard injustifié. Pour plus de détails sur la façon de divulguer et les mesures à prendre, veuillez consulter votre avocat.

Où tout cela nous mène-t-il ?

Comme mentionné précédemment, dans la majeure partie des cas, GoDaddy est votre processeur de données. Nous traiterons les données strictement comme indiqué pour fournir les services que vous avez achetés chez nous en votre nom, sauf instruction contraire. Vous utilisez nos services de telle façon que des données sont recueillies pour que vous puissiez vendre vos marchandises, ou pour recueillir des renseignements de rendez-vous ou liées aux prospects ? Aucun problème ! Nous nous assurerons que les données sont traitées de manière sûre et sécurisée en votre nom.

En tant que contrôleur des données, vous contrôlez la façon dont les données sont utilisées et stockées, et nous ne les traiterons que conformément aux conditions de notre addenda de traitement des données addenda de traitement de de traitement de données pour fournir et maintenir les services en votre nom. Cela signifie que vous devez porter une attention particulière à vos politiques internes et à l'accès des employés aux enregistrements, y compris la façon dont vous partagez des données avec des tiers et la facilité avec laquelle une personne peut accéder aux informations de la personne concernée.

Comme vous pouvez le voir dans les points clés ci-dessus, le RGPD (et d’autres lois sur la confidentialité) vise à garantir que les données que nous collectons et utilisons pour assurer la réussite de nos activités sont correctement sécurisées et protégées.