RGPD : Comment se mettre en conformité ?

Qu’est-ce que le RGPD ?

Le Règlement Général pour la Protection des Données (RGPD)est une réglementation européenne. Votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.

Le but de cette réglementation, qui remet en question les pratiques des professionnels du web est d’assurer à tout individu le contrôle et la protection de ses données à caractère personnel qu’il fournit à chaque fois qu’il visite des sites sur le web.

Qu’est-ce qu’une donnée à caractère personnel ?

Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu :

On peut identifier un individu grâce à son nom, son prénom, son adresse email, son numéro de téléphone, et tout type de donnée démographique que ces données aient été récolté sur le web ou directement au sein de l’entreprise.

On peut aussi l’identifier sur le web grâce à des informations purement numériques : adresse IP, Navigateur, OS, Visites ou Clics…

Que prévoit la loi ?

3 axes importants se détachent :

• L’amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel.
• La traçabilité et la haute sécurité des données des utilisateurs. Renforcement de la loi en matière de failles de sécurité de la data, et responsabilisation de l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
• Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.

Qui est concerné ?

Le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle.

Si vous collectez, utilisez ou stockez ce type de données vous êtes dans la cible de cette législation et ce, quels que soit le secteur d’activité ou la taille de votre structure.

Autre point très important : même si votre entreprise ou vous-même êtes basés, ou que vous stockez vos données, en-dehors de l’Union Européenne, le RGPD s’applique à votre activité.

La législation se place en effet du point de vue de l’internaute : si vous traitez des données d’un individu résidant dans l’un des 28 membres de l’UE, vous êtes concerné.

Quelles sanctions risque-t-on ?

Le RGPD vient renforcer le système de sanctions déjà mis en place. Les amendes administratives détaillées dans la législation sont beaucoup plus importante. Elles pourront atteindre jusqu’à 4 % du chiffre d’affaire, et jusqu’à 20 millions d’euros pour les infractions les plus graves.

Que devez-vous changer sur votre site ?

1.  Mettre à jour ses conditions générales de vente (CGV), d’utilisation (CGU) et sa politique de confidentialité

1.1 Une politique de confidentialité claire

Votre page de politique de confidentialité, généralement située dans votre pied de page, doit désormais expliquer concrètement ce que vous faites avec ces données. 

Voici les sections qui doivent figurer dans votre politique de confidentialité :

• Quelles informations « MON ENTREPRISE » collecte-t-elle ?
• Comment « MON ENTREPRISE » utilise-t-elle mes informations ?
• Comment « MON ENTREPRISE » partage-t-elle mes informations ?
• Comment « MON ENTREPRISE » répond-elle aux demandes légales concernant mes informations ?
• Comment puis-je gérer mes informations stockées dans « MON ENTREPRISE »?
• Que se passe-t-il si « MON ENTREPRISE » ferme mon compte ?
• Où « MON ENTREPRISE » stocke-t-elle mes informations ?
• Quelle est la société responsable du traitement de mes données ?
• Comment puis-je contacter « MON ENTREPRISE »?
• Utilisation des Cookies : Quels sont les cookies et technologies similaires utilisés par « MON ENTREPRISE »?

1.2 Des CGV et CGU en accord avec le RGPD

La page de Conditions Générales d’Utilisation de votre site va devoir également être changé face au RGPD. Il est recommandé d’y ajouter dès maintenant votre politique de confidentialité, avec toutes les directives RGPD que vous y avez incluses.

Mettre en place ces éléments sur votre site, c’est avant tout installer une atmosphère de confiance.

2. Bandeau d’information et recueil du consentement 

Ce mécanisme permettant le recueil du consentement de l’utilisateur peut prendre à minima la forme d’une bannière, détaillant de manière claire et facilement compréhensible les données personnelles recueillies, les traitements et les durées de rétention associés. Il est important de prévoir la mise en place d’un bouton « accepter » pour recueillir le consentement explicite de l’utilisateur avant d’activer les cookies, ainsi que d’un bouton « choisir les cookies » pour apporter des détails sur chaque type de donnée collectée et ses finalités et donner ainsi la possibilité d’accepter unitairement les différents recueils de données.

3. Revoir tous les formulaires de son site

Les parties qui vont sans doute être le plus impacté par le RGPD sur votre site web sont sans doute les formulaires. Il s’agit en effet d’un point de contact-clé entre vous et vos visiteurs, et c’est dans ce contexte précis qu’ils partagent avec vous leurs données.

Il est courant d’avoir recours à des formulaires, notamment pour proposer l’inscription à une newsletter. Or, à ce point de contact, vos utilisateurs vous partagent des données personnelles : en général email, prénom et nom

• Rajouter une case à cocher indiquant que l’utilisateur consent à partager ses données (“J’autorise l’entreprise X à enregistrer mes données”)
• Spécifier la raison de la récolte des données ( exemple : Saisissez votre adresse email pour recevoir notre newsletter”)
• Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment

Voici un bien / pas bien de la future apparence de vos formulaires (si vous avez une newsletter qui peut proposer des offres commerciales) :

Notez également que vous ne pouvez plus demander à un client de vous laisser des données qui n’ont aucun rapport avec ce pour quoi ils s’inscrivent. Si vous leur demandez par exemple de s’inscrire à une newsletter, inutile de leur demander leur sexe ou encore leur âge. La fête est finie 🙂

4. Mettre en place un processus de sécurité des données

Il est maintenant de la responsabilité de celui qui détient des données de les protéger.

4.1 Créer un processus d’effacement ou de modification des données

Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez plus le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser.

Il va donc vous falloir mettre en place une procédure simple qui permette à vos utilisateurs de :

• Retirer leur consentement
• Accéder à leurs données
• Les modifier
• Demander à les effacer
• Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)

Il faudra faire de même sur vos newsletters, mais aussi dans vos bandeaux de signalement de cookies, ou encore à vos bannières publicitaires si vous en avez…

Créer une boîte email spécifique, type :

privacy@votresite.com

qui vous permettra de recevoir toutes les demandes d’exercice du droit des personnes.

Puis, à réception de chaque demande :

• De retrait de consentement, il vous faudra supprimer ou modifier les données personnelles de l’internaute au plus vite et sur l’ensemble de vos lieux de stockage (y compris dans les fichiers de sauvegarde de votre site WordPress).
• De portabilité des données, vous devrez exporter toutes les données que vous possédez dans un format lisible par une machine, afin que la personne puisse transmettre ses données à une autre entité sans avoir à les ressaisir.

La fête est finie 🙂

4.2 Se préparer à une éventuelle faille de sécurité

Il vous faudra également vous assurer que vous garantissez efficacement la sécurité des données à caractère personnel de vos internautes.

Voici quelques éléments qu’il vous faudra donc prendre en compte :

• Il est nécessaire de mettre en place des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la data, pseudonymisation, cryptage… Vos process internes doivent être clairs à ce sujet.
• Il vous faudra informer la CNIL dans les 72 heures en cas de faille de sécurité. Dans certains cas, il vous faudra même informer l’utilisateur concerné, notamment si la faille est susceptible d’engendrer un risque élevé pour ses droits et libertés.

5. Instaurer un registre interne de traitement des données

Avant le RGPD, toute entreprise traitant des données utilisateurs à caractère personnel devait le signaler par le biais d’un système de déclaration ou d’autorisation. Depuis le 25 mai, cette procédure n’est plus nécessaire, et est remplacée par une autre obligation : celle de tenir un registre de traitement des données.

Votre registre devra répondre à trois questions-phares au sujet de votre traitement des données :

• QUI ? Quelles sont les personnes en interne sont amenées à traiter des données et le cas échéant, vos sous-traitants.
• QUOI ? Cartographier les traitements de données personnelles réalisées par votre structure (type de données collectées, finalités des traitements, preuve des consentements recueillis, informations portées à la connaissance des personnes concernées, etc.) ;
• COMMENT ? Comment ces données sont traitées (transfert à l’étranger ou non, hébergement ou non, archivage ou suppression de données, etc.)

Ce registre doit être perpétuellement tenu à jour.

Ce registre devra être tenu par le DPO. Véritable chef d’orchestre des données personnelles, le DPO aura vocation à remplacer l’actuel Correspondant Informatique et Libertés (CIL), et aura pour mission, notamment de contrôler le respect du RGPD par l’entité et de coopérer avec la CNIL. Il peut s’agir d’une personne en interne ou en externe (avocats, consultants…).

Aller plus loin :