RGPD : et si on essayait d’y voir plus clair ?

 

En préambule, nous tenons à préciser que nous n’avons pas la prétention d’être exhaustives. Notre objectif est avant tout de donner quelques points de repères aux non-initiés, pour qui “ RGPD “ n’évoquerait encore rien d’autre qu’un vague concept sans application claire.

 

Il faut bien reconnaître qu’on a tendance à se voiler la face au début… suis-je vraiment concerné ? Est-ce vraiment … vraiment incontournable ?

 

Passons en revue quelques points essentiels. Et si vous souhaitez aller plus loin, nous vous guiderons.

 

RGPD : fiche d’identité

 

Nom : Règlement Général pour la Protection des données

Diminutif : RGPD

Date d’entrée en vigueur : 25 mai 2018

Organisme en charge de son application : la CNIL ( Commissions Nationale de l’Informatique et des Libertés )

Objectifs :

  • harmoniser le panorama juridique européen en matière de protection des données personnelles
  • renforcer la possibilité pour chaque individu de contrôler et protéger ses données à caractère personnel

Cadre d’application :

  • tout professionnel dont le siège est basé en Europe, ou qui traite des données personnelles appartenant à des résidents européens, est soumis à ce même cadre règlementaire
  • quel que soit le secteur d’activité ou la taille de la structure
  • applicables aux sous-traitants des structures en question (agences web, notamment)
  • applicable aux données internes à l’entreprise (fichiers du personnel, par exemple)

 

Maintenant que les bases sont posées, quelques explications s’imposent.

 

Qu’appelle-t-on “donnée personnelle” ?

 

Une donnée personnelle se réfère à toute information rattachée à une personne identifiée ou identifiable, directement ou indirectement:

 

– directement  = l’information permet d’accéder en une fois à l’identification de la personne : nom, numéro de téléphone ou de sécurité sociale

– indirectement = en recoupant plusieurs informations, on peut remonter jusqu’à une identité singulière : critères géographiques, sociaux, voix ou image, adresse IP.  Les données dites “comportementales”, soit les usages de navigation sur un site web, sont également concernées… De même que la mise en ligne volontaire d’un like ou d’une photo !

 

Dès lors qu’une base de données dispose de ce type d’informations, on se trouve bien dans le champ du traitement de données personnelles.

 

Sachant que… le terme de “traitement” recouvre aussi une large acception : collecte mais aussi triage, conservation, consultation, diffusion… toutes ces actions relèvent du RGPD !

 

Concrètement : quelles sont les obligations relatives au RGPD pour un site internet ?

 

La politique de confidentialité

 

Elle doit apparaître dans une page de mentions légales sur le site, ou à part, et inclure :

 

  • vos coordonnées, ainsi que celle de l’éditeur du site et de l’hébergeur
  • le type de données récoltées : nom, email …
  • l’objectif : statistique, envoi de newsletter etc …
  • le temps de stockage des données récoltées
  • les mesures mises en place pour la protection des données personnelles, ainsi que la manière dont les internautes peuvent exercer leur droit de modification ou de suppression de ces données

 

Dès lors que l’utilisateur du site est amené à partager des données personnelles, un lien vers cette page doit également apparaître. C’est le cas notamment dans les formulaires de contact, où une case à cocher permet de valider que l’internaute a bien connaissance de cette politique de confidentialité. Voir pour exemple, notre page Contact.

 

La conformité des formulaires : inscription à une newsletter, formulaire de contact

 

  • préciser clairement pourquoi les données sont récoltées : par exemple, pour envoyer une newsletter ;
  • intégrer une case à cocher pour recueillir le consentement explicite de l’utilisateur à votre politique de confidentialité ;
  • informer de la possibilité et de la manière de se désinscrire.

 

La gestion des commentaires et avis

 

Si les internautes ont la possibilité de laisser des commentaires à la suite des articles que vous publiez, il convient d’ajouter dans l’espace de commentaires un message-type tel que : “J’ai lu et accepte la politique de confidentialité de ce site”, avec, encore et toujours, la fameuse petite case à cocher !

 

Le récolte des avis clients suit la même règle. Mais, ceux-ci étant surtout l’apanage des sites e-commerce, la solution la plus simple dans ce cas est de n’autoriser la publication d’un avis, qu’aux clients ayant acheté sur votre site. Ceux-ci ayant préalablement renseigné leurs données personnelles pour commander et payer, vous aurez déjà récolté leur consentement lors d’une étape préalable.

 

La conservation et l’effacement des données

 

Il s’agit de garantir aux utilisateurs que leurs données sont bien protégées, qu’elles ne sont pas conservées indéfiniment, ET qu’ils disposent d’un droit d’accès, de modification et de suppression facile de ces données.

 

Pour cela, il est – entre autre – nécessaire de tenir à jour un registre interne de traitement des données, c’est-à-dire un document répertoriant les types de données récoltées, dans quel objectif, mais aussi les personnes y ayant accès, ainsi que les flux de circulation de ces données.

 

Pour ce qui est de l’effacement des données récoltées, sachez par exemple qu’on ne peut conserver des données marketing plus de 3 ans après les avoir répertoriées.

 

Et ce n’est pas tout …. pour certaines structures, il existe également une obligation de nommer un DPO (Délégué à la Protection des Données). Mais, pas de panique ! Nous n’irons pas plus loin sur le sujet, au risque de vous noyer (et nous avec :-), car cela concerne essentiellement les entreprises publiques et celles manipulant massivement des données sensibles.

 

 

C’est un peu lourd tout ça, nous direz-vous… en effet ! C’est pour cette raison que nous consacrerons un autre article aux obligations spécifiques aux sites e-commerce.

Pour être en conformité avec le RGPD, une veille permanente est nécessaire, mais également un choix d’outils de travail et de partenaires judicieux ; de nombreuses applications, comme Google Analytics ou Mailchimp, avec lesquels Pixelles Atelier Digital travaille régulièrement, ont modifié leurs politiques internes pour se mettre en conformité avec le RGPD.

 

Nous vous avions prévenu en introduction … le sujet est vaste ! Nous espérons avoir éclairé quelque peu votre lanterne. Et si vous avez besoin de plus de précisions, nous vous conseillons de consulter ce site, mis en place par un cabinet d’avocats : https://www.yoonozelo.com/thematiques-juridiques/donnees-personnelles/