Legalcity – Le spécialiste du recouvrement de créance à destination des TPE/PME, des indépendants et des créateurs d’entreprises

RGPD : Comment se mettre en conformité ?

RGPD

Qu’est-ce que le RGPD ?

Le Règlement Général pour la Protection des Données (RGPD)est une réglementation européenne. Votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.

Le but de cette réglementation, qui remet en question les pratiques des professionnels du web est d’assurer à tout individu le contrôle et la protection de ses données à caractère personnel qu’il fournit à chaque fois qu’il visite des sites sur le web.

Qu’est-ce qu’une donnée à caractère personnel ?

Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu :

On peut identifier un individu grâce à son nom, son prénom, son adresse email, son numéro de téléphone, et tout type de donnée démographique que ces données aient été récolté sur le web ou directement au sein de l’entreprise.

On peut aussi l’identifier sur le web grâce à des informations purement numériques : adresse IP, Navigateur, OS, Visites ou Clics…

Que prévoit la loi ?

3 axes importants se détachent :

Qui est concerné ?

Le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle.

Si vous collectez, utilisez ou stockez ce type de données vous êtes dans la cible de cette législation et ce, quels que soit le secteur d’activité ou la taille de votre structure.

Autre point très important : même si votre entreprise ou vous-même êtes basés, ou que vous stockez vos données, en-dehors de l’Union Européenne, le RGPD s’applique à votre activité.

La législation se place en effet du point de vue de l’internaute : si vous traitez des données d’un individu résidant dans l’un des 28 membres de l’UE, vous êtes concerné.

Quelles sanctions risque-t-on ?

Le RGPD vient renforcer le système de sanctions déjà mis en place. Les amendes administratives détaillées dans la législation sont beaucoup plus importante. Elles pourront atteindre jusqu’à 4 % du chiffre d’affaire, et jusqu’à 20 millions d’euros pour les infractions les plus graves.

Que devez-vous changer sur votre site ?

1.  Mettre à jour ses conditions générales de vente (CGV), d’utilisation (CGU) et sa politique de confidentialité

1.1 Une politique de confidentialité claire

Votre page de politique de confidentialité, généralement située dans votre pied de page, doit désormais expliquer concrètement ce que vous faites avec ces données. 

Voici les sections qui doivent figurer dans votre politique de confidentialité :

1.2 Des CGV et CGU en accord avec le RGPD

La page de Conditions Générales d’Utilisation de votre site va devoir également être changé face au RGPD. Il est recommandé d’y ajouter dès maintenant votre politique de confidentialité, avec toutes les directives RGPD que vous y avez incluses.

Mettre en place ces éléments sur votre site, c’est avant tout installer une atmosphère de confiance.

2. Bandeau d’information et recueil du consentement 

Ce mécanisme permettant le recueil du consentement de l’utilisateur peut prendre à minima la forme d’une bannière, détaillant de manière claire et facilement compréhensible les données personnelles recueillies, les traitements et les durées de rétention associés. Il est important de prévoir la mise en place d’un bouton « accepter » pour recueillir le consentement explicite de l’utilisateur avant d’activer les cookies, ainsi que d’un bouton « choisir les cookies » pour apporter des détails sur chaque type de donnée collectée et ses finalités et donner ainsi la possibilité d’accepter unitairement les différents recueils de données.

3. Revoir tous les formulaires de son site

Les parties qui vont sans doute être le plus impacté par le RGPD sur votre site web sont sans doute les formulaires. Il s’agit en effet d’un point de contact-clé entre vous et vos visiteurs, et c’est dans ce contexte précis qu’ils partagent avec vous leurs données.

Il est courant d’avoir recours à des formulaires, notamment pour proposer l’inscription à une newsletter. Or, à ce point de contact, vos utilisateurs vous partagent des données personnelles : en général email, prénom et nom

Voici un bien / pas bien de la future apparence de vos formulaires (si vous avez une newsletter qui peut proposer des offres commerciales) :

Notez également que vous ne pouvez plus demander à un client de vous laisser des données qui n’ont aucun rapport avec ce pour quoi ils s’inscrivent. Si vous leur demandez par exemple de s’inscrire à une newsletter, inutile de leur demander leur sexe ou encore leur âge. La fête est finie 🙂

4. Mettre en place un processus de sécurité des données

Il est maintenant de la responsabilité de celui qui détient des données de les protéger.

4.1 Créer un processus d’effacement ou de modification des données

Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez plus le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser.

Il va donc vous falloir mettre en place une procédure simple qui permette à vos utilisateurs de :

Il faudra faire de même sur vos newsletters, mais aussi dans vos bandeaux de signalement de cookies, ou encore à vos bannières publicitaires si vous en avez…

Créer une boîte email spécifique, type :

privacy@votresite.com

qui vous permettra de recevoir toutes les demandes d’exercice du droit des personnes.

Puis, à réception de chaque demande :

La fête est finie 🙂

 

4.2 Se préparer à une éventuelle faille de sécurité

Il vous faudra également vous assurer que vous garantissez efficacement la sécurité des données à caractère personnel de vos internautes.

Voici quelques éléments qu’il vous faudra donc prendre en compte :

5. Instaurer un registre interne de traitement des données

Avant le RGPD, toute entreprise traitant des données utilisateurs à caractère personnel devait le signaler par le biais d’un système de déclaration ou d’autorisation. Depuis le 25 mai, cette procédure n’est plus nécessaire, et est remplacée par une autre obligation : celle de tenir un registre de traitement des données.

Votre registre devra répondre à trois questions-phares au sujet de votre traitement des données :

Ce registre doit être perpétuellement tenu à jour.

Ce registre devra être tenu par le DPO. Véritable chef d’orchestre des données personnelles, le DPO aura vocation à remplacer l’actuel Correspondant Informatique et Libertés (CIL), et aura pour mission, notamment de contrôler le respect du RGPD par l’entité et de coopérer avec la CNIL. Il peut s’agir d’une personne en interne ou en externe (avocats, consultants…).

Aller plus loin : 

 

Quitter la version mobile