Explication de la loi britannique sur la protection des données de 2018 : portée, principes et conformité commerciale
La loi britannique sur la protection des données 2018 (DPA 2018) est l'épine dorsale de la législation moderne sur la confidentialité des données au Royaume-Uni. Il fonctionne en tandem avec le règlement général sur la protection des données du Royaume-Uni (RGPD britannique) pour régir la manière dont les organisations collectent, traitent, stockent et partagent les informations personnelles. En termes clairs, le DPA 2018 s'appuie sur le cadre du RGPD (Règlement général sur la protection des données 2018) de l'UE et l'adapte au contexte britannique. Il comprend des règles standard de protection des données et ajoute également des dispositions spécifiques au Royaume-Uni pour des secteurs tels que l'application de la loi et la sécurité nationale. En résumé, le DPA 2018 répond à trois objectifs principaux : (1) intégrer le RGPD de l'UE dans la législation britannique, (2) permettre au Royaume-Uni de modifier ou d'exempter certaines dispositions du RGPD, et (3) étendre la protection des données à des domaines qui n'étaient pas initialement couverts par le RGPD de l'UE. Dans ce guide, nous allons approfondir la loi britannique sur la protection des données de 2018, sa relation avec le RGPD britannique, la manière dont vous pouvez vous y conformer et les précautions à prendre
Le Data Protection Act 2018 est la loi nationale du Royaume-Uni sur la confidentialité des données qui est entrée en vigueur le 25 mai 2018. Elle remplace l'ancienne loi de 1998 et met en œuvre le RGPD dans la législation britannique. Dans la pratique, le DPA 2018 signifie que toute organisation traitant des données personnelles au Royaume-Uni doit suivre des règles strictes en matière de confidentialité et de sécurité. Ces règles indiquent quand et comment les données peuvent être collectées, combien de temps elles peuvent être conservées et quels sont les droits des personnes sur leurs données. Il est important de noter que la loi a été conçue pour être lue parallèlement au RGPD britannique. Avant le Brexit, il était associé au RGPD de l'UE, mais aujourd'hui, la loi sur la protection des données de 2018 et le RGPD britannique forment ensemble le régime de protection des données du Royaume-Uni. Le DPA 2018 a également introduit des règles pour de nouveaux domaines tels que le traitement des forces de l'ordre et les services de renseignement. Par exemple, il crée un cadre juridique régissant la manière dont la police et les services de sécurité traitent les données personnelles.
La loi de 2018 sur la protection des données (qui met en œuvre le RGPD du Royaume-Uni) établit sept principes fondamentaux pour le traitement des données personnelles. Ces principes de la Loi sur la protection des données de 2018 sont au cœur de la législation britannique sur la protection des données et garantissent que les organisations collectent, utilisent et protègent les données personnelles de manière responsable. Chaque principe est expliqué ci-dessous, avec un exemple commercial pratique.
Les organisations doivent ne traiter les données personnelles que pour une raison légale valable (une « base légale ») et la gérer de manière équitable et ouverte. Les entreprises ne doivent rien faire d'illégal avec les données, doivent les utiliser de la manière dont les gens peuvent raisonnablement s'y attendre et doivent être franches quant à la manière dont elles utilisent les données personnelles. Par exemple, une équipe marketing envoie une newsletter uniquement après avoir obtenu un consentement explicite (ou une autre base légale) et fournit des informations de confidentialité claires expliquant comment les adresses e-mail seront utilisées.
Les données personnelles doivent être collectées à des fins spécifiques, explicites et légitimes et non utilisés d'une manière incompatible avec ces objectifs initiaux. En d'autres termes, une entreprise doit prendre une décision à l'avance pourquoi il a besoin de données, enregistrez cet objectif et respectez-le. Si une entreprise souhaite ultérieurement utiliser les données à de nouvelles fins, elle a généralement besoin d'une nouvelle base juridique ou d'un nouveau consentement.
Par exemple, une boutique en ligne collecte l'adresse d'un client pour expédier une commande. Elle ne peut pas vendre ultérieurement cette adresse à des tiers à des fins de marketing indépendantes à moins que le client n'en soit informé et n'accepte, car cela ne correspondrait pas à l'objectif initial des données.
Les entreprises devraient ne collecter que les données personnelles adéquates, pertinentes et nécessaires dans le but déclaré. Cela implique d'identifier le minimum d'informations nécessaires et de ne pas conserver de données supplémentaires ou inutilisées. La conservation d'un excès de données au-delà de ce qui est nécessaire est un gaspillage et est illégal. Par exemple, un formulaire de demande d'emploi ne demande que les coordonnées et les qualifications pertinentes, et non des informations personnelles sans rapport, telles que l'état civil ou les loisirs. De cette façon, l'entreprise ne rassemble que ce qui est nécessaire à l'embauche.
Les organisations doivent maintenir l'exactitude et la mise à jour des données personnelles. Ils devraient prendre des mesures raisonnables pour corriger ou effacer les informations incorrectes dès que possible. Supposons qu'un client déménage à une nouvelle adresse, une société de services financiers doit rapidement mettre à jour le dossier du client.
Les données personnelles doivent ne pas être conservé plus longtemps que nécessaire aux fins pour lesquelles elle a été collectée. Les entreprises ont besoin de politiques de conservation qui justifient la durée pendant laquelle elles conservent différents types de données, et elles doivent régulièrement supprimer ou anonymiser les données lorsqu'elles ne sont plus nécessaires. Cela soutient également d'autres principes de la Loi sur la protection des données de 2018 en réduisant le risque d'utilisation d'informations obsolètes ou excessives.
Supposons qu'un club de membres supprime ou anonymise les informations des anciens membres un an après la fin de l'adhésion (sauf s'il existe une raison légale de les conserver). Ce faisant, le club évite de conserver d'anciennes données personnelles plus longtemps que nécessaire.
Les entreprises doivent protéger les données personnelles à l'aide de mesures de sécurité appropriées. Ce principe de sécurité (souvent appelé « intégrité et confidentialité » des données) nécessite des garanties techniques et organisationnelles contre l'accès non autorisé, la perte, le vol ou les dommages. Les mesures peuvent inclure le chiffrement, les contrôles d'accès, la formation du personnel et des examens de sécurité réguliers.
En vertu du principe de responsabilité, les organisations doivent assumer la responsabilité de la conformité et être en mesure de le démontrer. Cela implique la mise en place de politiques claires, d'une formation du personnel, de dossiers et d'une gouvernance. Les entreprises devraient documenter la manière dont chaque principe est respecté (par exemple, tenir des registres des activités de traitement ou effectuer des analyses d'impact sur la protection des données) afin de pouvoir montrer aux régulateurs ou aux clients qu'elles respectent la loi.
Le DPA 2018 codifie également les droits des personnes (« personnes concernées ») sur leurs données. Ces droits visent à donner aux personnes le contrôle et la visibilité. En vertu de cette loi, les personnes concernées ont des droits tels que le droit d'être informées de la manière dont leurs données sont utilisées, le droit d'accéder à leurs données personnelles et le droit de les corriger ou de les supprimer. Plus précisément, les personnes ont généralement le droit de :
Ces droits reflètent les droits du RGPD et s'appliquent à moins qu'une exemption spécifique ne couvre la situation. Par exemple, il existe des exemptions légales (par exemple, pour des raisons d'intérêt public ou des actions en justice) où certains droits (tels que l'effacement ou l'accès) peuvent être limités. Il est important que les organisations disposent de processus pour gérer les droits des personnes concernées, par exemple, un moyen de traiter les demandes d'accès aux sujets en temps opportun.
Le « traitement des données » désigne simplement toute action effectuée sur des données personnelles (collecte, stockage, partage, suppression, etc.). Concrètement, cela signifie que l'application des principes de l'article 5 au traitement des données implique une planification et une documentation minutieuses. En vertu de la DPA 2018, tout traitement de données personnelles doit satisfaire à au moins une base légale (souvent appelée condition de traitement). Les principales bases légales sont les suivantes :
Tout traitement doit également respecter les sept principes ci-dessus (licéité, finalité, etc.).
Dans tous les secteurs, les entreprises doivent intégrer les principes de l'article 5 dans leurs activités. Par exemple, lors de la conception d'une nouvelle base de données clients, une entreprise doit appliquer la confidentialité dès la conception : limiter les champs au strict nécessaire (minimisation des données), définir des calendriers de conservation clairs (limitation du stockage) et chiffrer les données au repos (sécurité). Lorsqu'elle communique avec les clients, elle doit expliquer (de manière transparente) pourquoi elle a besoin de leurs données. Les audits et les analyses d'impact peuvent aider à vérifier que le traitement est conforme aux exigences de l'article 5 de la loi sur la protection des données de 2018.
Le traitement des données du personnel ou des employés est légal en vertu de la DPA 2018 s'il répond à une condition appropriée. Les bases communes incluent l'exécution des contrats de travail (par exemple, les données de paie traitées pour le salaire) ou le respect des obligations légales (telles que les exigences fiscales ou de santé et de sécurité). Par exemple, la conservation d'images de vidéosurveillance pour la sécurité des locaux peut reposer sur des intérêts légitimes, à condition qu'elles soient clairement communiquées et mises en balance avec le droit à la vie privée. Les employeurs devraient documenter la base qu'ils utilisent et veiller à ce que les notifications soient transparentes à l'intention du personnel.
Selon les données personnelles que vous gérez, vous pourriez avoir besoin de conditions différentes ou de garanties supplémentaires. Pour les données personnelles ordinaires, l'une des six bases ci-dessus est requise (consentement, contrat, etc.). Mais certaines données nécessitent une attention particulière :
Les données de « catégorie spéciale » font référence à des informations sensibles (race, religion, santé, génétique, orientation sexuelle, etc.). La DPA 2018 nécessite une base légale supplémentaire pour traiter ces données. Vous avez souvent besoin d'un consentement explicite ou d'une raison légale claire. Par exemple, les données de santé des employés ne peuvent être traitées que si l'employeur en a besoin pour payer les indemnités de maladie (une obligation légale) ou si l'employé y consent. Le traitement des données relatives aux condamnations pénales est également spécialement réglementé. La DPA 2018 rend explicitement le traitement légal possible pour les autorités autorisées en vertu de la partie 3 (par exemple, si nécessaire pour une procédure judiciaire).
La partie 3 de la DPA 2018 couvre spécifiquement les données personnelles utilisées par la police, les tribunaux et autres agences chargées de l'application de la loi. Il est similaire aux principes mais les adapte à l'application de la loi. Par exemple, les données collectées pour prévenir ou poursuivre la criminalité doivent être traitées légalement et utilisées uniquement à des fins légitimes d'application de la loi. Seules les « autorités compétentes » (comme les forces de police) peuvent s'appuyer sur ces règles. Les autres organisations doivent généralement suivre les règles habituelles du RGPD britannique lorsqu'elles partagent des données avec la police (sauf si une obligation légale s'applique).
Le Loi sur la protection des données 2018 et RGPD britannique Ensemble, ils constituent la principale loi britannique sur la protection des données. Vous pouvez considérer le RGPD britannique comme le cadre général (calqué sur le RGPD de l'UE) et le DPA 2018 comme la couche de détail qui complète les éléments spécifiques au Royaume-Uni.
Dans le cadre du Brexit, le RGPD de l'UE a cessé de s'appliquer au Royaume-Uni après le 31 décembre 2020. Pour éviter un vide juridique, les législateurs britanniques ont « intégré » le RGPD de l'UE dans le droit britannique (le RGPD britannique) et ont modifié le DPA 2018 en conséquence. Aujourd'hui, lorsque nous faisons référence à la législation britannique sur la protection des données, le « RGPD britannique » couvre à peu près les mêmes sujets que le RGPD de l'UE, et le DPA 2018 le complète. Par exemple, si une entreprise suivait déjà le RGPD de l'UE en 2018, le maintien de la conformité implique de mettre à jour la terminologie (RGPD → RGPD britannique) et de vérifier la DPA pour toute règle britannique spéciale.
À la base, le RGPD et la DPA 2018 du Royaume-Uni reflètent les exigences de l'ancien RGPD de l'UE. Ils partagent les mêmes principes, les mêmes droits des personnes concernées et les mêmes bases juridiques pour le traitement. Cependant, le DPA 2018 ajoute du contenu adapté au Royaume-Uni. Par exemple :
Pour les entreprises, les obligations pratiques restent les mêmes en vertu des deux lois (gestion des droits, sécurité des données, notifications, etc.). Vous pouvez consulter notre article détaillé sur RGPD britannique contre RGPD européen pour une comparaison détaillée de ces régimes.
Le Brexit a principalement modifié les références juridiques et les règles de transfert. À la fin de la période de transition, le Royaume-Uni a promulgué le RGPD britannique (reflétant le texte du RGPD de l'UE) et a modifié le DPA 2018 pour y faire référence. Un changement majeur : le Royaume-Uni est désormais un « pays tiers » au regard de la législation de l'UE, de sorte que les transferts de données de l'UE vers le Royaume-Uni reposent sur l'adéquation ou d'autres garanties. Au niveau national, les choses sont restées les mêmes : l'ICO applique toujours la loi, et la plupart des directives et pratiques se sont poursuivies sans interruption. En fait, l'UE a accordé au Royaume-Uni une décision d'adéquation en 2021, ce qui signifie que les données peuvent circuler de l'UE vers le Royaume-Uni sans garanties supplémentaires. Le DPA 2018 lui-même a été mis à jour afin que des termes tels que « RGPD de l'UE » aient été remplacés par « RGPD britannique », et les références aux organes de l'UE (comme le Comité européen de protection des données) aient été supprimées. Sinon, les entreprises qui étaient conformes au RGPD en 2018 le restent généralement.
Pour se conformer à la loi sur la protection des données de 2018 et au RGPD britannique, les organisations doivent adopter une approche structurée. Voici les étapes clés :
Commencez par auditer vos pratiques actuelles en matière de protection des données. Une analyse des lacunes du RGPD compare ce que vous faites aujourd'hui aux exigences du RGPD et de la DPA 2018 au Royaume-Uni. Par exemple, identifiez les domaines dans lesquels vous ne disposez pas de politiques documentées, ceux où vous n'avez pas mis à jour les notifications ou ceux où vous stockez des données inutilement. Cette évaluation met en évidence les faiblesses afin que vous sachiez exactement ce qu'il faut corriger. Nos services de conformité au RGPD au Royaume-Uni inclure des analyses approfondies des lacunes et des audits.
Votre politique de confidentialité et vos notifications doivent refléter les exigences de la DPA 2018. Ils doivent clairement indiquer : quelles données personnelles vous collectez, pourquoi (base légale), comment vous les utilisez et quels sont les droits des personnes concernées (et comment les exercer). Mettez également à jour les notifications relatives aux cookies pour couvrir les utilisateurs britanniques. Vous devez vous assurer que vos modèles incluent toutes les informations obligatoires : catégories de données, périodes de conservation, éventuels transferts (voir transfrontalier) et coordonnées pour les requêtes.
Formez votre équipe aux nouvelles règles. Les employés (en particulier les ressources humaines, l'informatique et le marketing) doivent comprendre les principes de base de la DPA. Utilisez des sessions simples ou des formations en ligne pour expliquer des choses telles que la reconnaissance des données personnelles, la gestion des demandes et l'importance de la sécurité. Une sensibilisation régulière permet de garantir « la protection de la vie privée par la culture », et pas seulement par les politiques.
Mettre en place un processus de traitement des demandes des personnes concernées (accès, rectification, effacement, etc.). En vertu de la DPA 2018, la plupart des demandes doivent recevoir une réponse dans un délai d'un mois, certaines prolongations étant autorisées. Gardez une trace claire des demandes et des réponses. Par exemple, utilisez un formulaire DSAR normalisé et un système de suivi pour que rien ne passe entre les mailles du filet. Cela montre que vous respectez les droits des personnes et permet d'éviter les violations de procédure.
La loi oblige de nombreuses organisations à tenir un registre des activités de traitement (ROPA) en vertu de l'article 30. Cela inclut des informations telles que les données que vous détenez, dans quel but, les périodes de conservation et les personnes avec lesquelles elles sont partagées. La mise à jour des ROPA n'est pas seulement bureaucratique ; cela prouve la responsabilité et la préparation aux inspections des ICO. Même les petites entreprises devraient documenter les processus clés.
En cas de violation de données personnelles (par exemple, perte d'un ordinateur portable ou cyberattaque), l'organisation doit évaluer le risque. Selon les règles britanniques GDPR/DPA 2018, certaines violations doivent être signalées au Bureau du commissaire à l'information (ICO) dans les 72 heures, et parfois aux personnes concernées en cas de risque élevé de préjudice. L'ICO applique la loi et peut imposer des sanctions. Pour les infractions les plus graves (telles que la violation de principes fondamentaux ou de droits individuels), les amendes peuvent atteindre 17,5 millions de livres sterling, soit 4 % du chiffre d'affaires mondial. Les infractions mineures (telles que les défaillances administratives) sont passibles d'amendes pouvant aller jusqu'à 8,7 millions de livres sterling, soit 2 % du chiffre d'affaires. Au-delà des amendes, les entreprises peuvent faire face à des mises en demeure et les particuliers peuvent intenter une action en indemnisation. Les sanctions élevées soulignent l'importance de mesures de conformité rigoureuses.
Certains secteurs ont des règles supplémentaires dans le cadre du DPA 2018 :
Les données relatives à la santé et à la protection sociale appartiennent souvent à des catégories spéciales. Les prestataires s'appuient généralement sur un consentement explicite ou sur des bases légales (comme la fourniture de soins médicaux) pour le traiter. Le DPA 2018 autorise également des recherches spéciales et des utilisations statistiques des données de santé sous certaines conditions. Les autorités publiques (comme les écoles, les conseils et les hôpitaux) doivent désigner un délégué à la protection des données (DPO) et suivre les codes spécifiques au secteur public. Des exceptions à la liberté d'information peuvent également s'appliquer, mais les droits en matière de protection des données sont toujours valables (par exemple, les dossiers des patients).
Les organisations de services financiers doivent gérer les données personnelles et financières en toute sécurité conformément à la DPA 2018 et aux réglementations sectorielles (telles que les lois PSD2 ou AML). Ils utilisent souvent des intérêts légitimes ou des nécessités contractuelles comme base de traitement. Des précautions supplémentaires sont nécessaires en cas de profilage ou de décisions automatisées (par exemple, la notation de crédit). La Financial Conduct Authority (FCA) peut également publier des directives sur l'utilisation des données.
Les écoles et les universités traitent les données des enfants, qui sont soumises à des garanties spéciales. Le consentement des parents peut être nécessaire pour les moins de 13 ans. Les données relatives à l'éducation recoupent souvent les obligations de sauvegarde. Les prestataires de formation doivent également respecter tous les codes de protection des données spécifiques à l'enseignement (par exemple, dans les jurys d'examen ou les services sociaux). Les données relatives aux enfants peuvent souvent être utilisées avec l'autorisation des parents à des fins d'éducation ou de garde.
Toutes les organisations, quelle que soit leur taille, doivent généralement se conformer à la DPA 2018 et au RGPD britannique. Cela dit, les petites entreprises peuvent parfois s'appuyer sur différentes bases légales et peuvent ne pas avoir besoin d'un DPO à moins que le traitement ne soit une activité essentielle. Cependant, ils doivent toujours respecter les principes, protéger les données de manière appropriée et traiter les demandes relatives aux droits fondamentaux. La loi n'exempte pas purement et simplement les PME, mais les exigences sont adaptées au contexte. Par exemple, un petit détaillant vendant quelques produits en ligne peut n'avoir besoin que de notifications de consentement de base et de sécurité des données, alors qu'un grand détaillant a besoin de processus plus formels.
L'ICO et le gouvernement britannique publient codes de pratique pour des contextes spécifiques (par exemple, le marketing numérique ou le partage de données dans le domaine de la santé). Ces guides pratiques expliquent comment appliquer la loi dans des situations réelles. Par exemple, les codes de l'ICO sur l'utilisation de la vidéosurveillance ou le recouvrement de créances aident les entreprises à rester en conformité. À l'avenir, le Royaume-Uni devrait encore mettre à jour ses lois sur la protection des données. Le gouvernement a indiqué la possibilité de regrouper le RGPD et le DPA 2018 du Royaume-Uni en une seule loi pour des raisons de simplicité. À l'horizon, de nouvelles réglementations telles que la loi européenne sur l'IA (et toute future réglementation britannique sur l'IA) auront un impact sur la manière dont les données personnelles sont utilisées dans les systèmes d'intelligence artificielle. Par exemple, les systèmes d'IA à haut risque nécessiteront des analyses de transparence et d'impact, conformément aux normes de protection des données.
Lors du transfert de données personnelles en dehors du Royaume-Uni, les entreprises doivent garantir un mécanisme légal. Grâce à la décision d'adéquation de 2021 de l'UE, les données peuvent toujours circuler librement depuis l'Union européenne et l'EEE vers le Royaume-Uni comme si elles étaient nationales. De même, les transferts du Royaume-Uni vers l'UE ne nécessitent aucun nouveau dispositif tant que la décision d'adéquation est en vigueur. Pour les transferts vers d'autres pays, les organisations doivent s'appuyer sur des décisions d'adéquation (le cas échéant), des clauses contractuelles types ou d'autres garanties approuvées par le Royaume-Uni.
Remarque : l'adéquation de l'UE couvre les transferts à partir de de l'UE vers le Royaume-Uni, mais exclut les données utilisées pour le contrôle de l'immigration au Royaume-Uni. Dans tous les cas, mettez à jour vos déclarations de confidentialité pour mentionner les transferts internationaux et les garanties mises en place.
Naviguer dans la Loi sur la protection des données de 2018 peut être complexe, mais vous n'êtes pas obligé de vous y retrouver seul. Notre Services de conformité au RGPD au Royaume-Uni offrent des conseils d'experts sur la DPA 2018 et le RGPD britannique. Que vous ayez besoin d'une analyse des écarts, de mises à jour des politiques, d'une formation ou de conseils continus, nous pouvons vous aider à faire de la conformité un atout concurrentiel. Nos consultants ont aidé de nombreux clients de différents secteurs à mettre en œuvre des cadres de protection des données efficaces.
Pour découvrir comment nous pouvons aider votre entreprise à respecter les obligations britanniques (et internationales) en matière de confidentialité des données, demandez un plan sur mesure.
Le RGPD britannique et le DPA 2018 travaillent ensemble. Le RGPD britannique (essentiellement le RGPD de l'UE converti en droit britannique) définit les exigences générales en matière de protection des données. Le DPA 2018 le complète par des règles spécifiques au Royaume-Uni, par exemple des sections sur l'application de la loi, des données de catégories spéciales et certaines exemptions. En effet, le RGPD britannique fournit le cadre général, et le DPA 2018 fournit les détails et les exceptions.
Oui La loi sur la protection des données de 2018 est toujours en vigueur. Ce qui a changé, c'est que les références au RGPD de l'UE ont été remplacées par le RGPD du Royaume-Uni. Après le Brexit, le Royaume-Uni a utilisé la loi de retrait de l'UE pour intégrer le RGPD dans son droit national et a mis à jour le DPA 2018 en conséquence. Les organisations britanniques continuent donc de suivre le cadre combiné du RGPD britannique et de la DPA 2018. Les entreprises de l'UE qui traitent des données britanniques doivent suivre les règles britanniques (avec un représentant britannique si nécessaire), et les entreprises britanniques traitant des données de l'UE doivent respecter à la fois le RGPD britannique et européen.
En général, oui. Toute organisation britannique qui traite les données personnelles de résidents britanniques doit se conformer à la loi sur la protection des données de 2018 et au RGPD britannique. Il n'existe aucune exemption générale pour les PME. Les attentes réglementaires sont toutefois proportionnelles. Une petite entreprise doit toujours traiter les données légalement (par exemple via un consentement ou un contrat), les protéger et respecter les droits des individus. Souvent, les petites entreprises peuvent répondre à de nombreuses exigences plus simplement (par exemple, une brève politique de confidentialité au lieu de dizaines de pages). L'ICO se concentre davantage sur les processeurs à haut risque, mais la conformité est obligatoire pour tous.
Le Bureau du commissaire à l'information (ICO) peut infliger de lourdes amendes en cas de violation du RGPD par la DPA/UK. En cas de violation grave des principes ou des droits en matière de protection des données, les amendes peuvent atteindre 17,5 millions de livres sterling ou 4 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu). Pour des infractions mineures (par exemple, le fait de ne pas désigner un DPO lorsque cela est nécessaire), les amendes peuvent aller jusqu'à 8,7 millions de livres sterling, soit 2 % du chiffre d'affaires. Il existe également des sanctions non pécuniaires : l'ICO peut émettre des réprimandes, des ordonnances d'exécution et, dans certains cas, les procureurs peuvent demander des sanctions pénales pour des infractions telles que la destruction de données pour éviter leur divulgation.
Absolument. Nos services couvrent la conformité au RGPD britannique et à la Loi sur la protection des données de 2018, et nous donnons également des conseils sur les régimes internationaux tels que le RGPD de l'UE, la PIPEDA (Canada) et d'autres. Pour une assistance axée sur le Royaume-Uni, notre Services de conformité au RGPD au Royaume-Uni peut vous guider à travers les exigences de la DPA 2018. Nous pouvons également agir en tant que votre représentant au Royaume-Uni ou dans l'UE si vous en avez besoin. En bref, nous aidons les entreprises à mettre en place des politiques, des procédures et des outils conformes aux lois de plusieurs juridictions, afin que vous soyez protégé dans le monde entier.
En vertu de la DPA 2018 (conjointement avec le RGPD britannique), les transferts transfrontaliers nécessitent un mécanisme légal. Avec une décision d'adéquation de l'UE en place, les données de l'EEE peuvent circuler librement vers le Royaume-Uni. Les transferts du Royaume-Uni vers l'UE se poursuivent également comme avant, tant que cette décision est maintenue (prolongée jusqu'en décembre 2025). Pour les autres pays, les organisations britanniques doivent utiliser des mesures de protection approuvées (par exemple, des clauses contractuelles types britanniques, des règles d'entreprise contraignantes, etc.) ou s'assurer de l'existence d'une constatation d'adéquation.
Investir dans les efforts de conformité au RGPD peut peser lourdement sur les grandes entreprises ainsi que sur les petites et moyennes entreprises (PME). Le recours à une ressource ou à une assistance externe peut alléger la charge d'un audit interne pour l'ensemble des entreprises et alléger la pression sur les finances, les capacités technologiques et l'expertise de l'entreprise.
Les auditeurs externes et les partenaires experts tels que DPO Consulting sont bien placés pour aider les organisations à gérer efficacement la nature complexe des audits du RGPD. Ces professionnels formés agissent comme une extension de votre équipe, aidant à rationaliser les processus d'audit, à identifier les domaines à améliorer, à mettre en œuvre les changements nécessaires et à garantir la conformité au RGPD.
Confier le bon partenaire offre l'avantage de l'impartialité et du respect des normes du secteur et permet de débloquer une multitude de ressources telles que des informations spécifiques au secteur, ce qui se traduit par des évaluations impartiales et une conformité réussie. Travailler avec DPO Consulting se traduit par un gain de temps précieux et allège la charge de travail du personnel interne, tout en réduisant considérablement les coûts de l'entreprise.
RGPD et conformité
DPO et représentation externalisés
Formation et assistance
To give you 100% control over the design, together with Webflow project, you also get the Figma file. After the purchase, simply send us an email to and we will e happy to forward you the Figma file.
Yes, we know... it's easy to say it, but that's the fact. We did put a lot of thought into the template. Trend Trail was designed by an award-winning designer. Layouts you will find in our template are custom made to fit the industry after carefully made research.
We used our best practices to make sure your new website loads fast. All of the images are compressed to have as little size as possible. Whenever possible we used vector formats - the format made for the web.
Grained is optimized to offer a frictionless experience on every screen. No matter how you combine our sections, they will look good on desktop, tablet, and phone.
Both complex and simple animations are an inseparable element of modern website. We created our animations in a way that can be easily reused, even by Webflow beginners.
Our template is modular, meaning you can combine different sections as well as single elements, like buttons, images, etc. with each other without losing on consistency of the design. Long story short, different elements will always look good together.
On top of being modular, Grained was created using the best Webflow techniques, like: global Color Swatches, reusable classes, symbols and more.
Grained includes a blog, carrers and projects collections that are made on the powerful Webflow CMS. This will let you add new content extremely easily.
Grained Template comes with eCommerce set up, so you can start selling your services straight away.
To give you 100% control over the design, together with Webflow project, you also get the Figma file.
.svg)
