Accueil " 4 des erreurs les plus courantes concernant le RGPD

De nombreuses informations circulent sur ce qu'est le RGPD et sur son fonctionnement. Malheureusement, beaucoup d'entre elles ne sont pas correctes. Les erreurs concernant le RGPD et le bouclier de protection de la vie privée persistent.

Ces erreurs peuvent mettre de nombreuses entreprises américaines dans une situation où elles risquent des amendes allant jusqu'à 4 % du chiffre d'affaires global ou 20 millions d'euros.
EDPO permet aux entreprises américaines de continuer à avoir accès au marché de l'UE en corrigeant ces erreurs.

1 PENSANT QUE LE BOUCLIER DE PROTECTION DE LA VIE PRIVÉE EST SUFFISANT

L'autocertification dans le cadre du bouclier de protection de la vie privée ne répond qu'à une seule exigence du RGPD

Le bouclier de protection de la vie privée UE-États-Unis fournit le mécanisme juridique pour le transfert de données en dehors de l'UE vers les États-Unis, mais ce n'est pas la même chose que d'être conforme au RGPD .

Le bouclier de protection de la vie privée est en fait une réponse très spécifique à une partie de la mise en conformité avec le RGPD et n'aborde pas les autres exigences. En fait, le bouclier de protection de la vie privée ne répond qu'aux articles 44 à 50, négligeant pour l'essentiel les 94 autres articles du RGPD.

Ainsi, même si votre entreprise est certifiée pour recevoir des données de l'UE, le bouclier de protection de la vie privée ne vous permet pas d'offrir des produits et/ou des services à des personnes de l'UE et de surveiller leur comportement.

2 EN SUPPOSANT QUE LES PETITS VOLUMES DE DONNÉES DE L'UE NE TOMBENT PAS SOUS LE COUP DU RGPD

Les entreprises américaines ne se rendent pas compte de la quantité de données qu'elles collectent sur les citoyens de l'UE, en particulier dans le cas des visiteurs de sites web.

Nos clients affirment souvent qu'ils n'ont qu'un site web et qu'aucune donnée personnelle n'est jamais collectée par l'intermédiaire du site web. Mais en y regardant de plus près, tout visiteur qui arrive sur votre site web est déjà suivi si vous utilisez un logiciel d'analyse tel que Google Analytics.

Google Analytics ou des technologies similaires collectent les adresses IP dès qu'un visiteur arrive sur votre page. De plus, une multitude d'informations sont collectées sur le navigateur de ce visiteur, sa localisation et même ses comportements en ligne. Toutes ces informations sont considérées comme des données à caractère personnel au sens du RGPD , car elles permettent d'identifier une personne physique identifiable ou d'établir un lien avec elle.

En raison de cette collecte systématique de données à caractère personnel, une entreprise américaine ne peut pas faire valoir que les volumes de données à caractère personnel collectées sont faibles, ni que la collecte de données à caractère personnel est occasionnelle.

3 CONFONDRE LE DPO AVEC LE DPR (REPRESENTANT)

Les entreprises qui doivent désigner un délégué à la protection des données (DPD) peuvent choisir de nommer une personne au sein de leur entreprise ou d'externaliser la fonction de DPD. Cependant, ce qui n'est pas communément connu, et donc le plus souvent complètement ignoré par les entreprises non européennes, c'est l'obligation de désigner un représentant conformément à l'article 27 du RGPD. Un DPD n'est pas la même chose qu'un représentant. Le Comité européen de la protection des données (CEPD) a clairement indiqué dans ses lignes directrices 3/2018 que le rôle du DPD et celui du représentant sont incompatibles (pour en savoir plus à ce sujet, cliquez ici).

Les entreprises non européennes qui relèvent du champ d'application du RGPD doivent désigner un représentant* dans un État membre de l'UE afin que les autorités de contrôle de l'UE puissent facilement communiquer avec elles. Le représentant basé dans l'UE traite également les demandes des personnes concernées en Europe.

*Sauf exceptions limitées prévues à l'article 27, paragraphe 2.

4 L'OBLIGATION OUBLIÉE DE LA RGPD

Bien que le RGPD ait une portée extraterritoriale, peu d'attention a été accordée à la manière dont le RGPD sera mis en œuvre dans la pratique par les entreprises non européennes.

Si vous n'en avez pas entendu parler, c'est probablement parce que tout ce qui a été écrit ou discuté autour du RGPD était centré sur l'Europe. Les entreprises européennes ne sont pas tenues de désigner un représentant, car l'article 27 du RGPD ne s'applique qu'aux entreprises situées en dehors de l'UE.

Comme tout a été écrit dans une perspective européenne, y compris les orientations publiées par le Bureau du commissaire à l'information, l'obligation de nommer un représentant est tout simplement oubliée. 

Votre entreprise basée aux États-Unis néglige-t-elle également cette obligation ? 

Contactez-nous

Contactez-nous par e-mail :edpo