Le règlement général pour la protection des données a fait son apparition il y a seulement quelques années, mais il est aujourd’hui indispensable de le respecter à la lettre. Mais comment connaître ses obligations et savoir par où commencer pour être en règle ?
Dans cet article, je vous explique en quoi consiste le RGPD et comment s’y conformer pour éviter les sanctions appliquées par la CNIL.
La définition du RGPD
Comprendre l’utilité du RGPD
Le RGPD est l’acronyme de règlement général pour la protection des données. Cette charte européenne a été mise en application en mai 2018. Sur le web, être conforme au RGPD, c’est assurer la confidentialité des données personnelles de chacun de vos visiteurs. Et par la même occasion, protéger celles-ci en cas d’incidents de sécurité, de plainte ou de contrôle.
Ainsi, toutes les entreprises, quelles que soient leur tailles, leurs pays d’implantation et leurs activités, sont concernées. Publiques ou privées, elles doivent être capables de démontrer que des mesures ont été adoptées pour remédier à ces risques éventuels.
Pour y parvenir, plusieurs actions sont nécessaires. On appelle cela “le principe d’accountability”. Ces procédures techniques et organisationnelles doivent être définies avec précision dans des documents officiels. Ensuite, ils doivent être mis à la disposition de votre audience ainsi que des autorités de contrôle.
Selon la Commission nationale de l’informatique et des libertés de France (CNIL), “le RGPD harmonise les règles en Europe. Il offre un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs”.
En outre, il s’agit d’un outil juridique au service de votre entreprise pour accroître la confiance avec vos partenaires, vos clients et vos collaborateurs.
Les données personnelles des utilisateurs : c’est quoi ?
La notion de « donnée personnelle » concerne toutes les informations qui se rapportent à une personne physique identifiée ou identifiable.
On peut reconnaître une personne de différentes façons :
- Directement, à l’aide de son nom et prénom,
- Indirectement, avec un numéro de client, une photo, un contact téléphonique ou des éléments économiques et socioculturels,
- À partir d’un seul élément tel que le numéro de sécurité sociale,
- En croisant un ensemble de données comme ses goût, sa situation géographique ou encore les groupes auxquels il appartient.
Par exemple : La base de donnée (data base) du programme fidélité de votre e-shop, contient un grand nombre de détails sur vos clients. Leur localisation, leur âge, leurs goûts et leurs comportements d’achats y sont recensés.
Ces caractéristiques sont considérées comme un traitement de données personnelles.
Les étapes de conformités au RGPD
Se mettre en conformité avec le RGPD, n’est pas chose facile. Il est même parfois nécessaire de désigner une personne chargée de piloter l’administration des données personnelles de votre structure. Elle doit être en mesure d’informer, de conseiller et de contrôler en interne la protection des données personnelles. Elle doit également tenir avec précision un registre des activités de traitement. Il s’agit d’ailleurs d’un document obligatoire depuis l’entrée en vigueur du RGPD. Vous pouvez télécharger un modèle pour vous en inspirer.
Sachez que des logiciels de pilotage RGPD ont été développés. Moyennant quelques euros, ils vous offrent la possibilité de gagner du temps et d’être certain d’être en règle auprès des utilisateurs et autorités concernées.
Bien sûr, avec un peu d’huile de coude, vous pourrez effectuer cette mise en conformité par vous-même. Le travail est fastidieux, mais toutes les procédures à réaliser sont détailles sur le site internet de la CNIL.
Découvrons comment effectuer cette mise en conformité.
Recenser les données personnelles traitées par votre organisme et vos partenaires
Le point de départ de votre mise en conformité consiste à établir une cartographie des données collectées. Elle se base sur le fameux registre des activités de traitement. Ainsi, la cartographie vous permet d’obtenir une vue d’ensemble des données personnelles qui sont en circulation au sein de votre entreprise.
Mais attention ! N’oubliez pas que les datas que vous récoltez peuvent aussi être utilisées par vos partenaires, toutes les sociétés d’un groupe, et les sous-traitants. Cette obligation de sécurité des données personnelles les concernant aussi.
Par exemple : Vous êtes une marketplace et vous donnez la possibilité à un vendeur de proposer de vendre ses produits. L’utilisateur qui commande sur votre place de marché partage ses données personnelles avec vous et votre collaborateur qui se charge du traitement de la commande. Il est alors essentiel de vérifier que celui-ci est également conforme au RGPD.
Ensuite, vous pouvez les actualiser rapidement pour les partager avec transparence auprès de vos collaborateurs. En centralisant ces informations, cela vous aide à mettre en place des plans d’action pour assurer cette conformité sur du long terme.
Informer ses clients et ses collaborateurs
Il est important de bien comprendre que toutes les personnes dont les données personnelles sont traitées sont en mesure de demander des informations relatives à ces utilisations. Elles doivent aussi connaître les droits qu’elles peuvent exercer vis-à-vis des entreprises qui les collectent et conservent.
Si dans le cadre du salariat, un employeur est responsable du traitement des données de ses employés (contrat de travail, gestion de la paie, évaluations annuelles, etc.) un site web l’est tout autant pour ses utilisateurs.
Ainsi, les moyens que vous devez mettre en place pour vous permettre d’informer vos visiteurs sont les suivants :
1. Rédiger une politique de confidentialité
Ce paragraphe est intégré aux conditions générales d’utilisation d’un site web. Les articles de ce contrat virtuel doivent être rédigés de façon claire. Alors, pour que cette politique de confidentialité soit conforme, elle doit contenir :
• l’identité et les coordonnées de l’organisme ainsi que du pilote du traitement de données (s’il y en a un) ;
• l’objectif de cette collecte en précisant si elle est obligatoire ou non
• les obligations légales prévues par le RGPD
• les catégories de toutes les personnes et organismes qui accéderont aux données collectées (partenaires, sous-traitants, etc)
• la durée de conservation des données ainsi que les conditions de suppression, d’accès, et de modification de celles-ci par les personnes concernées.
• le contact du délégué à la protection des données (DPO RGPD)
• la liste des droits de réclamation qu’il est possible d’effectuer auprès de la CNIL.
Sachez que les conditions générales d’utilisation ne figurent pas parmi les mentions obligatoires d’un site. Mais elles sont fortement recommandées si vous souhaitez être parfaitement conforme au RGPD. Pour vous aider à les rédiger, n’hésitez pas à vous rapprocher d’un avocat ou un juriste.
2. Obtenir le consentement pour vos campagnes d’e-mail marketing
Avant d’envoyer des emails commerciaux à votre base de données, il est impératif d’obtenir l’accord de chacun des destinataires. Vous pouvez l’obtenir en leur permettant de cocher ou décocher une case spécifique lors de la création d’un compte personnel ou d’une commande sur votre blog ou e-commerce.
Aussi, utiliser une pop up newsletter ou un espace spécifique dédié à l’inscription à vos campagnes d’email est un bon moyen de collecter ces acceptations.
3. Créer un bandeau de cookies pour obtenir l’accord de vos visiteurs
En tant que visiteur du web, vous avez désormais l’habitude de donner votre consentement ou refuser la collecte de vos données personnelles par le biais de cookies.Ces traceurs stockent des informations comme votre adresse IP ou les sites que vous visitez. Ils permettent aux sociétés du web d’améliorer votre expérience de navigation et afficher des publicités ciblées. Ils aident aussi les entreprises à mesurer l’audience et les performances des campagnes publicitaires.
Pour réaliser ce type de bandeau, et l’intégrer à votre site, il vous suffit de télécharger une extension, un plug in gratuit adapté.
Définir une finalité et une durée
Le règlement général pour la protection des données vous impose de déterminer avec clarté, la finalité des données personnelles que vous collectez.
Et oui, si vous déclarez utiliser les données de vos utilisateurs à des fins de prospection commerciale, vous n’êtes pas en droit de les contacter pour récolter des avis sur un produit ou un service.
Par contre, il est possible d’indiquer plusieurs finalités dans votre registre de traitement et bien évidemment d’en informer les personnes concernées.
Aussi, il est essentiel de déterminer la durée de conservation des données, au terme d’une collaboration. Cette période est fixée par des textes de loi. Elle ne peut pas être illimitée. Une fois cette date dépassée, vous devez obligatoirement supprimer (ou rendre anonyme) les données personnelles des utilisateurs concernées.
D’après la CNIL (Art. n°2016-264), les données collectées par le biais des cookies sur un site web peuvent être conservées sur une période de 13 mois. Celles des contrats électroniques sont de 10 ans selon le code de la consommation (Art. L213-1)
Enfin, il est important de noter que la répétition des visites d’un utilisateur sur votre site ne vous permet pas de garder ses informations personnelles en mémoire plus longtemps. Il est impératif de lui demander un nouveau consentement si le délai de conservation est dépassé.
Savoir gérer les risques
Être en règle vis-à-vis du RGPD c’est bien, mais comprendre les risques que le gestion des données personnelles peut engendrer, c’est encore mieux ! C’est pourquoi la CNIL impose pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).
Pour cela, un outil d’aide a été développé par la Commission nationale de l’informatique et des libertés. En plus d’un catalogue de bonnes pratiques, ce logiciel nommé PIA est à votre disposition en utilisation libre.
Grâce à cette version Beta, vous serez en mesure de vérifier que les finalités que vous avez fixées sont en adéquation avec les objectifs de vos traitements. Aussi vous réaliserez une évaluation des risques liés aux droits et libertés des personnes concernées. Le but est bien sûr de déterminer les mesures techniques et d’organisation mises en place pour faire face aux risques, et protéger l’ensemble de ces informations privées relatives aux utilisateurs.
Conclusion
PME, grandes entreprises, associations ou encore collectivités territoriales, tous les acteurs du service privé et public sont concernés par le Règlement Général sur la Protection des Données. Mis en place par la CNIL, il sert à protéger les informations personnelles des utilisateurs contre le risque.
Ainsi, se mettre en conformité nécessite de mener des actions concrètes qui doivent être minutieusement menées. Mieux encore, elles peuvent être encadrées par des professionnels du droit.
Une fois en place, il est essentiel de maintenir sa conformité de manière digitale. Car si le RGPD n’est pas correctement appliqué, des sanctions peuvent être apposées. Celles-ci se présentent sous forme d’un simple rappel à l’ordre jusqu’à une amende pouvant atteindre 20 millions d’euros pour le plus sévère.
Alors, votre site web est-il parfaitement en règle ?