Salesforce reste déterminée à aider ses clients à respecter le RGPD via ses mesures strictes de confidentialité et de sécurité. Le Règlement général sur la protection des données (RGPD) est entré en application le 25 mai 2018. Cette loi sur la confidentialité étend les droits à la vie privée des citoyens européens et impose de nouvelles obligations à toutes les organisations qui commercialisent, suivent ou traitent des données personnelles dans l’Union européenne.
Qu'est-ce que le RGPD ?
Le RGPD est une législation détaillée en matière de protection des données à caractère personnel dans l’Union européenne qui met à jour les lois existantes pour renforcer la protection des données personnelles vu l'évolution extrêmement rapide de la technologie, les progrès de la mondialisation et les flux internationaux plus complexes de données à caractère personnel. Il remplace le patchwork de lois nationales sur la protection des données actuellement en place par un ensemble unique de règles, directement applicables dans chaque état membre de l’Union européenne.
Le RGPD régit le traitement (qui comprend la collecte, le stockage et le transfert ou l’utilisation) des données personnelles concernant les citoyens européens. Toute organisation qui traite les données personnelles de citoyens européens, et qui suit ses activités en ligne, relève de la loi, que l’organisation ait une présence physique dans l’Union européenne ou non. Il est important de noter que dans le cadre du RGPD, le concept de « données personnelles » est large et couvre toutes les informations se rapportant à une personne physique identifiée ou identifiable (également appelée « personne concernée »).
Exigences de rapports et de mesures de sécurité
Les organisations doivent utiliser des mesures de sécurité organisationnelles et techniques appropriées pour protéger les données personnelles contre le traitement non autorisé et la divulgation, l’accès, la perte, la destruction ou l’altération accidentel. Selon le cas d’utilisation spécifique et les données personnelles traitées, l’utilisation de la ségrégation, du cryptage, de la pseudonymisation et de l’anonymisation des données est recommandée, et dans certains cas requise, pour renforcer la protection des données personnelles.
Il est important de noter que conformément au RGPD, les responsables du traitement doivent signaler toute violation des données à leur autorité de protection des données dans les plus brefs délais, et au plus tard 72 heures après avoir pris connaissance de la violation, à moins que la violation cause de façon peu probable un préjudice pour la personne concernée. S’il existe un risque élevé de préjudice, les responsables du traitement doivent signaler les violations des données aux personnes concernées dans les plus brefs délais. Les sous-traitants doivent également avertir les responsables du traitement en cas de violations des données dans les plus brefs délais.
Quelles mesures de sécurité dois-je mettre en place pour respecter le RGPD ?
Cryptage
Même si cela n’est pas obligatoire, la loi encourage le cryptage car il représente un moyen efficace de garantir la sécurité et la confidentialité des données personnelles.
Pseudonymisation
Le RGPD encourage l’utilisation de la pseudonymisation comme mesure basée sur le risque pour protéger la sécurité des données et les droits des personnes.
Anonymisation
Située à un niveau au-dessus de la pseudonymisation, l’anonymisation des données est le moyen le plus sécurisé de protéger les données personnelles. Pour que les données soient considérées comme parfaitement anonymes, aucune personne ne doit pouvoir être identifiée à partir des données par un traitement ou en combinant les données avec d’autres informations.
Responsabilité
Dans le cadre du RGPD, un responsable du traitement est chargé de mettre en place les mesures permettant de garantir que les données personnelles qu’il traite le sont dans le respect des principes du RGPD. Il doit aussi désigner un délégué à la protection des données, imposer des obligations contractuelles aux sous-traitants et utiliser les principes de « respect de la vie privée dès la conception » et de « respect de la vie privée par défaut ». En outre, un responsable du traitement doit pouvoir démontrer la conformité, en conservant notamment un enregistrement du traitement des activités et de l’exécution d’une évaluation de l’impact sur la vie privée.
Trailhead pour l’Europe : Découvrez le RGPD et comment le respecter
Suivez le module Aspects fondamentaux de la loi sur la confidentialité en Europe pour découvrir les principes clés du RGPD et savoir comment mettre en œuvre un programme de conformité au RGPD.
Trailhead pour les États-Unis : Découvrez les lois sur la confidentialité aux États-Unis et comment les respecter
Suivez le module Aspects fondamentaux de la loi sur la confidentialité aux États-Unis et découvrez la protection de la confidentialité américaine dans les services de santé, les finances et le texte de loi.
California Consumer Privacy Act
Le California Consumer Privacy Act (« CCPA ») est une loi exhaustive sur la protection de la vie privée qui est entrée en vigueur le 1 janvier 2020. Si nous croyons qu’une loi fédérale sur la protection de la vie privée est nécessaire pour que les données confidentielles d’une personne ne dépendent pas de son lieu de résidence, le CCPA représente une nouvelle étape dans le façonnement des exigences liées à la protection des données aux États-Unis et une occasion pour Salesforce de continuer à consolider son engagement en matière de protection de la vie privée et des données.