Puis-je eviter le RGPD en etablissant mon entreprise en dehors de l'UE ?

Non. Le RGPD s'applique a toute organisation qui traite des donnees personnelles de personnes dans l'UE, quel que soit le lieu d'etablissement de l'entreprise. Une entreprise americaine offrant des services a des clients europeens y est tout aussi soumise.

Une case de consentement generique suffit-elle ?

Non. Le consentement doit etre specifique, eclaire et librement donne. Une case pre-cochee ou un choix tout-ou-rien ne satisfait pas aux exigences du RGPD.

Puis-je conserver des donnees personnelles si je les anonymise ?

Les donnees veritablement anonymisees ne relevent pas du RGPD. Mais une vraie anonymisation est plus difficile que la plupart des gens le pensent. La pseudonymisation (chiffrement avec une cle conservee) n'est pas de l'anonymisation et reste soumise a la loi.

N'essayez pas de Contourner le RGPD | Erreurs Frequentes

Les montages creatifs pour eviter le RGPD ne fonctionnent pas et peuvent couter plus cher que la mise en conformite. Cet article explique quels raccourcis eviter.

Les raccourcis qui ne fonctionnent pas

Nous le constatons regulierement : des entrepreneurs qui pensent qu’un montage astucieux leur permettra d’echapper au RGPD. C’est comprehensible - la loi semble etre un fardeau. Mais la realite est que l’evitement creatif coute plus cher que la conformite honnete.

Voici les astuces les plus courantes et pourquoi elles ne fonctionnent pas.

”Je mets juste une banniere cookies”

Une banniere cookies n’est pas une solution miracle. Si la banniere n’est pas correctement configuree, si des cookies non essentiels se chargent deja avant le consentement, ou si le choix n’est pas reellement libre (par exemple, pas de bouton de refus clair), elle n’est pas conforme. Les autorites de controle ne regardent pas la banniere elle-meme, mais ce qui se passe techniquement.

”Je fais signer un consentement general a tout le monde”

Un consentement large et generique (“j’accepte le traitement de mes donnees”) ne suffit pas. Le consentement doit etre specifique par finalite, eclaire et librement donne. Vous ne pouvez pas tout regrouper dans une seule case.

”Je stocke les donnees sur un serveur hors de l’UE”

Le RGPD suit les donnees, pas le serveur. Si vous traitez des donnees de personnes dans l’UE, peu importe ou vous les stockez. La loi s’applique.

”Je ne les appelle pas donnees personnelles”

Peu importe comment vous les appelez. Si les donnees peuvent etre directement ou indirectement reliees a une personne, ce sont des donnees personnelles. Un numero de client associable a un nom est une donnee personnelle. Une adresse IP est une donnee personnelle.

”Je fais faire par un sous-traitant, donc je ne suis pas responsable”

La sous-traitance est possible, mais pas le transfert de responsabilite. En tant que responsable du traitement, vous restez responsable de ce qui arrive aux donnees, meme si vous externalisez le traitement. Vous devez conclure un contrat de sous-traitance et exercer un controle.

”J’ai une politique de confidentialite, donc je suis conforme”

Une politique de confidentialite est un debut, mais ce n’est qu’une obligation parmi d’autres. Sans registre des traitements, sans mesures de securite, sans contrats de sous-traitance et sans processus pour les violations de donnees et les demandes d’acces, vous n’etes pas conforme.

Ce qui fonctionne

Suivez l’intention de la loi :

Soyez transparent sur ce que vous faites avec les donnees
Ne collectez pas plus que necessaire
Securisez ce que vous avez
Respectez les droits des personnes concernees
Documentez vos choix

C’est moins de travail que la plupart des montages d’evitement, et ca fonctionne vraiment.

auto_awesome Faites-le simplement bien

GDPRWise vous aide a remplir toutes vos obligations etape par etape. Pas de trucs, pas de detours.

Lancez votre scan gratuit