Bien que la DPD soit en passe d'être remplacée par le RGPD, elle établit les huit principes de protection des données sur lesquels ce dernier est fondé. Ces règles qui régissent la manière dont les entreprises doivent traiter les données personnelles sont définies ci-dessous :

1. Obtenir et traiter les données personnelles de manière loyale
2. Les conserver uniquement à des fins précises et licites
3. Les traiter uniquement de manière compatible avec les fins auxquelles elles vous ont été fournies au départ
4. Assurer leur sécurité
5. Veiller à ce qu'elles soient exactes et à jour
6. Veiller à ce qu'elles soient adéquates, pertinentes et non excessives
7. Ne pas les conserver plus longtemps que nécessaire
8. Fournir une copie de ses données personnelles à quiconque en fait la demande

La DPD est une directive, c'est-à-dire un acte législatif qui définit des objectifs que tous les pays de l'UE doivent atteindre. Toutefois, il incombe à chaque pays de concevoir ses propres lois quant à la façon d'atteindre ces objectifs. En Irlande par exemple, les objectifs de la DPD ont été traduits dans le Irish Data Protection Act de 1998.

En revanche, un règlement tel que le RGPD est un acte législatif contraignant qui s'applique dans son intégralité dans l'ensemble de l'UE.

Pour ceux qui ne connaissent pas ce terme, le processus de double d'inscription est un mécanisme en deux étapes par lequel une personne doit confirmer son adresse email après son inscription initiale. Le RGPD ne précise pas si cette forme de consentement est obligatoire. Nous avons déjà donné la définition du terme « consentement » plus haut. Le considérant 32 du RGPD définit plus clairement ce que signifie le terme consentement selon le règlement et de nouveau, le processus de double inscription n'est pas expressément imposé pour le consentement. Le considérant 32 dispose que :

Au moment où nous écrivons ces lignes, le groupe de travail européen pour l'article 29 n'a fourni aucune instruction officielle qui suggérerait que ce mécanisme soit obligatoire en vertu du RGPD. HubSpot surveillera les évolutions et les conseils donnés dans ce domaine et mettra à jour cette page au cas où les institutions de l'UE fourniraient une instruction officielle sur le sujet.

Il convient d'observer que les abonnés au service HubSpot ont déjà la possibilité d'activer la fonctionnalité de double inscription dans leur portail, ce qui leur permet de disposer d'un moyen supplémentaire de prouver qu'ils ont obtenu le consentement requis.

En juin 2016, la majorité des électeurs britanniques ont voté en faveur de la sortie de l'UE lors du référendum appelé « Brexit ». En mars 2017, Theresa May a notifié l'UE de la sortie du Royaume-Uni en vertu de l'article 50, ce qui a déclenché le lancement des négociations sur le Brexit. Le Royaume-Uni devra quitter l'UE au plus tôt selon les modalités de sortie convenues et dans un délai maximal de deux ans après la notification de sortie, donc d'ici la fin du mois du mars 2019. Par conséquent, il est très probable que le Royaume-Uni fera encore partie de l'UE au mois de mai 2018, date d'échéance du RGPD. Cela signifie que si votre entreprise a son siège au Royaume-Uni, vous devrez vous efforcer de respecter le RGPD, comme si le Brexit n'avait jamais eu lieu.

Une fois que le Royaume-Uni quittera l'UE, le RGPD disparaîtra automatiquement, sauf si le pays adopte une législation nationale pour conserver tout ou partie du RGPD. Le gouvernement britannique se prononce actuellement en faveur d'une telle conservation, mais il faudra attendre de voir si cela se confirme dans les faits.

Si le siège de votre entreprise se trouve en dehors du Royaume-Uni mais que vous avez des fournisseurs ou des filiales au Royaume-Uni avec lesquels vous partagez des données personnelles, vous devrez surveiller les évolutions dans ce domaine. Lorsque le Royaume-Uni quittera l'UE, il deviendra un « pays tiers» aux fins des transferts de données à l'étranger, et par conséquent des mesures de protection supplémentaires pourront être nécessaires pour protéger les données que vous transférez vers le Royaume-Uni. Si l'UE détermine que le Royaume-Uni a adopté des normes suffisantes pour protéger correctement les données personnelles des citoyens de l'UE, ce dernier pourra être ajouté à la « liste blanche » des pays approuvés, auquel cas il ne sera pas nécessaire d'ajouter des mesures de protection, telles que les clauses types de l'UE, pour protéger ces transferts.

La Directive de l'UE sur la protection des données personnelles de 1995 accorde déjà de nombreux droits aux personnes concernées, mais le RGPD renforce considérablement ces droits. Désormais les personnes concernées peuvent :

• obtenir des détails sur la manière dont leurs données sont traitées par une entreprise ou un organisme ;
• obtenir une copie des données personnelles qu'une entreprise détient à leur sujet ;
• faire corriger les données incorrectes ou incomplètes ;
• obtenir la suppression de leurs données par une entreprise, lorsque celle-ci n'a pas de motif légitime de les conserver, par exemple ;
• récupérer leurs données auprès d'une entreprise et les faire transmettre à une autre entreprise (portabilité des données) ;
• refuser le traitement de leurs données par une entreprise dans certaines circonstances ;
• ne pas faire l'objet (avec certaines exceptions) d'un processus automatisé de prise de décision, notamment le profilage.

Non. Le RGPD n'impose pas de stocker les données dans un pays de l'UE et les règles concernant le transfert des données personnelles en dehors de l'UE ne changeront pas. Cela signifie que, tant que les données personnelles sont « correctement protégées », elles peuvent être transférées à l'étranger. Par exemple, l'UE a préparé une liste des pays qui selon elle offrent des normes de protection adéquates (appelée « liste blanche »), vers lesquels les transferts de données sont autorisés. Lorsqu'un pays ne figure pas sur cette liste de l'UE (les États-Unis par exemple), le responsable du traitement doit s'appuyer sur les dispositions contractuelles approuvées (telles que les les clauses types ou les règles d'entreprise contraignantes) ou sur l'une des autres mesures prévues par la loi, telles que la certification de conformité au bouclier de protection.

Nous avons élaboré une liste de sites supplémentaires donnant des informations sur le nouveau règlement. N'hésitez pas à consulter ces sites.

• Le site web de l'Irish Data Protection Commissioner dédié au RGPD

• Les conseils du commissaire fédéral allemand à la protection des données concernant le RGPD à cette adresse

• La page des ressources sur la confidentialité des données de HubSpot

• Le site du Contrôleur européen de la protection des données à cette adresse

• La page relative au programme de sécurité de HubSpot

• Trouvez votre autorité de contrôle sur cette page

• Le texte complet du RGPD à cette adresse

• Le texte complet du RGPD en allemand sur cette page

• Le site web de l'UE dédié au RGPD