RGPD : ce que dit la loi pour être en conformité sur votre site

Le Règlement Général sur la Protection de données (RGPD) est entré en vigueur le 25 mai 2018. Son objectif ?

1. Renforcer le droit des résidents européens sur la gestion de leurs données personnelles
2. Responsabiliser l’ensemble des entités publiques ou privées qui traitent des données personnelles dès lors que ces entités sont situées dans l’Union Européenne ou que leurs activités ciblent des résidents européens
3. Poser un cadre de régulation unifié pour l’Europe

L’ensemble des sites Internet doivent donc être mis à jour, sous peine de sanctions, pour respecter ce règlement.

• Qu’entend-t-on par traitement de données personnelles ?
• Ce que prévoit le RGPD ou GPRD pour les professionnels ?
• Que faut-il faire concrètement ?
• Quelles sont les sanctions encourues en cas de non conformité ?
• Mettre à jour son site pour être en conformité

Qu’entend-t-on par traitement de données personnelles ?

La CNIL définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Cela va donc au-delà du simple nom ou prénom. Il peut s’agir de la voix, d’un signe physique distinctif, d’un numéro d’identifiant etc. Toute information qui, traitée de façon individuelle ou combinée à d’autres informations, permettrait de reconnaître un individu.

Des milliards de données personnelles sont traitées, sur papier ou de façon informatique, par des entités publiques ou privées, c’est—à-dire que ces données sont collectées, enregistrées, modifiées, stockées ou encore transférées, sans qu’on en connaisse vraiment l’usage qui en est fait. Le RGPD pose un cadre sur le traitement de ces données visant à mieux protéger les personnes dont il est question.

Ce que prévoit le RGPD ou GPRD pour les professionnels ?

Les données collectées doivent être assignées à un objectif précis et sous réserve que les personnes concernées aient donné leur consentement, en connaissance de cause, avec une possibilité de rétractation si besoin. En tant qu’entité responsable du traitement de la donnée, vous devez prendre les mesures nécessaires pour respecter ce nouveau règlement et donc la vie privée des personnes sur lesquelles vous détenez des informations.

Quelques règles sont à respecter :

• Toutes les données collectées doivent répondre à un objectif précis. Exemple : Vous pouvez collecter le mail d’une personne qui aura fait un achat sur votre site pour lui envoyer une confirmation de commande. Ce mail, en revanche, ne pourra être utilisé à d’autres fins, à moins de l’avoir exprimé clairement au consommateur et qu’il ait donné son accord.

• Toutes ces informations personnelles doivent être stockées de façon transparente, c’est-à-dire que les personnes concernées doivent être informées de l’usage qui est fait de leurs données personnelles.

• Ces personnes bénéficient d’un droit de regard sur l’utilisation de leurs données ainsi que d’un droit de modification ou de suppression de façon très simple (droit d’accès, droit à l’oubli). Elles bénéficient également d’un droit à la portabilité c’est-à-dire que toutes les données les concernant qui ont été stockées doivent pouvoir être transférées sans obstacle à un tiers, si besoin.

• Des dispositions particulières ont été prises au regard des mineurs de moins de 16 ans. Le recueil des données les concernant doit être suffisamment explicite pour qu’ils comprennent ce qui leur est demandé et le consentement doit également être obtenu auprès de l’autorité parentale.

• Toutes les données personnelles collectées doivent être clairement encadrées de façon à garantir leur sécurité.

• Les données dites sensibles doivent être identifiées et protégées au moyen de mesures particulières en cas de problème.

Le RGPD prévoit également la mise en place d’un guichet unique dans chaque pays européen. C’est-à-dire qu’en cas de problème, chaque résident européen peut s’adresser à l’autorité de protection des données de son pays, quel que soit le lieu d’implantation de l’entreprise qui traite ses données. Il en est de même pour les entreprises : elles bénéficient d’un interlocuteur unique, géographiquement rattaché à la localisation de leur siège social ou de leur établissement en charge du traitement des données. Pour la France, ce rôle de guichet unique en matière d’informations et de régulation a été confié à la CNIL.

Ce nouveau règlement prévoit également la mise en place obligatoire d’un DPO (Data Protection Officer ou Délégué à la Protection des Données) pour les entités suivantes :

• Les autorités ou les organismes publics,
• Les organismes qui traitent des données personnelles à grande échelle,
• Les entités amenées à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Ce DPO a pour rôle de veiller à la conformité au RGPD. Il coordonne l’ensemble des actions à mener en matière de protection des données personnelles. Il peut s’agir d’un salarié interne à l’entité, qui dispose de toutes les compétences nécessaires pour mener à bien cette mission ou d’un organisme extérieur.

Ce qu’il faut retenir :

Les notions clés du RGPD

Que faut-il faire concrètement ?

La première chose à faire est de constituer un registre permettant de recenser tous vos fichiers et toutes vos activités qui nécessitent de collecter des données. Une fois ces fichiers identifiés, le tri des données en sera facilité. Vous pourrez ainsi vérifier si toutes les informations collectées sont vraiment utiles, identifier les données dites « sensibles » et ne conserver que les données importantes.

Ensuite, il vous faudra mettre en place un système permettant d’informer les personnes à chaque fois que vous collecterez leurs données personnelles. Qu’il s’agisse d’un formulaire papier ou numérique, il devra comporter les mentions suivantes :

• Pourquoi est-ce que vous collectez ces informations ?
• Ce qui vous autorise à les collecter (Consentement de la personne concernée ou obligation légale par exemple)
• Qui a accès à ces données, à la fois en interne et à l’extérieur de l’entité (ex : sous-traitant) ?
• La durée de conservation de ces informations
• Les modalités d’exercice du droit de modification : droit d’accès, de rectification, d’opposition, d’effacement ou de portabilité (ex : envoi d’un mail, nom d’un contact…)
• Est-ce que ces données sont susceptibles d’être transférées à des tiers hors de l’Union Européenne, en précisant dans quel pays ainsi que les modalités de maintien de la protection des données

La dernière étape consistera à sécuriser ces données. En effet, vous êtes tenu légalement de protéger toutes les informations que vous détenez, en mettant en place des solutions minimisant le risque de pertes ou de piratage de ces informations. Les données dites « sensibles » doivent quant à elles faire l’objet de mesures de protection particulières.

Les sanctions encourus en cas de non-respect du Règlement Général sur la Protection des Données ?

En cas de non-conformité, les organismes publics ou privés responsables du traitement de données personnelles, peuvent :

• recevoir un avertissement,
• être mis en demeure,
• voir leurs flux de données temporairement ou définitivement suspendus,
• être assignés à satisfaire aux demandes d’exercice des droits des personnes,
• être contraints de rectifier ou d’effacer les données collectées,
• faire l’objet de lourdes sanctions.

Les amendes administratives peuvent s’élever, selon l’infraction, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Comment mettre à jour son site Internet pour être en conformité ?

Lors de la première connexion sur votre site Internet, vous devez donner à l’utilisateur la possibilité de choisir comment ils souhaitent que ses données personnelles soient utilisées en fonction des objectifs ciblés (ex : analyse d’audience, utilisation à des fins publicitaires etc.). Chaque objectif doit être clairement identifié, et pour chacun, les données personnelles collectées ainsi que l’usage qu’il en est fait en interne ou par des tiers doit être précisé. Les réglages doivent pouvoir être configurés de manière indépendante pour chacun, si l’internaute veut autoriser certains paramètres mais pas tous. On pense ici notamment au débat qu’il peut y a voir concernant Google analytics qui permet d’obtenir des données de trafic via un script (Cookies). Dans un registre légèrement différent, allez voir notre article sur la gestion de l’historique d’un compte Google.

Si votre site est sur WordPress, plusieurs plugins sont disponibles. Attention néanmoins, lors de l’installation de l’un d’entre eux de vous assurer que cela ne génère pas un lien externe que vous ne souhaiteriez pas voir sur votre site, néfaste pour votre référencement. Certains encapsulent les liens dans du Javascript mais cela reste toujours une occasion de quitter votre site Internet.

Deux plugins peuvent également être intéressants à installer : Social Share Privacy et Shariff. Ces outil permettent d’intégrer les boutons des principaux réseaux sociaux sans envoyer de cookies avant d’obtenir un consentement préalable de l’utilisateur.

La page « politique de confidentialité » de votre site doit également être mise à jour pour expliquer clairement ce que vous faites des données collectées conformément au paragraphe « que faut-il faire concrètement ? ».  Cette page doit également être accessible et donc facilement consultable dès lors que vous demanderez à un internaute de transmettre des informations le concernant.

Sur vos formulaires, une case à cocher (appelée Opt-in) devra être présente et devra s’accompagner d’un lien vers la page « politique de confidentialité ». Elle vous permettra d’obtenir le consentement de l’utilisateur sur la collecte de ses données en ayant pris connaissance de la « politique de confidentialité du site » (ex de mention : “J’ai lu et accepte la politique de confidentialité de ce site” en incluant un lien URL vers votre page dédiée).

Vous devrez, par ailleurs, donner la possibilité à vos internautes de se désinscrire de tout type de publication (ex : newsletters, e-mailing publicitaire etc.) de façon simple par un bouton appelé « opt-out »  Si ce n’est déjà fait, il vous faudra donc revoir tous vos formulaires sur votre site.

Source : CNIL