Le RGPD « Règlement Général sur la protection des données » est effectif depuis le 25 mai 2018. Il s’agit d’une loi à l’échelle européenne dont votre organisme doit s’accommoder. Il apparaît que l'application de cette loi dans le domaine du web est encore assez floue pour certains de nos collaborateurs. Nous avons donc décidé de vous détailler en quoi consiste cette loi et quelles sont vos obligations.

Pourquoi un RGPD ?

Cette loi a pour but une expansion des droits individuels :

  1. Droit à une transmission complète sur le traitement des données personnelles, incluant toute information liée à une personne identifiée ou identifiable
  2. Droit à la portabilité des données autorisant chaque individu à exiger d'un prestataire détenant ses données personnelles qu'il les transfère à un autre prestataire
  3. Droit d’être informé en cas de violation de ses données personnelles
  4. Droit à l’effacement pour acquérir l’effacement de ses données n’ayant plus de justifications à être traitées
  5. Dispositions propres aux personnes mineures (récupération interdite)

Elle permet d'uniformiser les lois sur la protection des données au sein de l’UE et de responsabiliser davantage les organismes (entreprise, association.) Puis, de donner un droit d’accès et de suppression à chacun sur toutes les données personnelles les concernant.

Le RGPD oblige les organismes à une prescription de transparence vis à vis de leur clients et salariés qui doivent en principe donner leur accord pour l’utilisation de leurs données personnelles à des fins marketings ou toutes autres utilisations. Effectivement, les données sauvegardées au sein des entreprises (document type contrat de travail ou bulletin de paie, etc.) ou les données personnelles réceptionnées (nom, prénom, photo, adresses, etc.) par les sites internet doivent faire l’objet d’un suivi en interne, d’un droit d’accès et de contrôle ou d’effacement.

Pour qui ?

Tout organisme (entreprise, association…), privé ou public, est tenu d’appliquer le RGPD dès lors qu’il collecte ou traite des données personnelles sur les résidents de l’UE pour son compte ou pour celui d’un tiers. Aucun autre critère, comme l’effectif ou encore le chiffre d’affaires, n’entre ici en ligne de compte. Toutes les entreprises sont donc concernées, ou potentiellement concernées, y compris les plus petites.

Actuellement, vous êtes : une entreprise, propriétaire d’un site web, d’une gestion commerciale centralisée, vous envoyez des e-mailings à vos clients, vous détenez des fichiers du personnel sur vos serveurs, alors cette loi vous concerne !

 

Quelles données sont concernées ?

Le RGPD réglemente l’utilisation liée aux données personnelles pouvant servir à identifier une personne. C’est à dire identifier une personne soit directement (nom, prénom), soit indirectement (téléphone, courriel, adresse, photo, voix, caractéristiques sociales ou physiques, empreintes, ADN…). Dès lors qu’il regroupe ce type d’informations, un fichier (papier ou numérique) est considéré comme un traitement de données personnelles et doit ainsi être constitué et géré conformément au RGPD.

Mise en place

Le RGPD obligent les organismes à identifier les bonnes sources de données pour sécuriser votre activité et ainsi diminuer les risques.

Pour vous standardiser à la loi RGPD, vous devez à court terme suivre les conditions suivantes :

  1. Obtenir un accord pour les données collectées et le sauvegarder afin d’en justifier si besoin (par mail par exemple).
  2. A chaque collecte de données, avertir auparavant sur l’utilisation et la durée de conservation.
    • Utilisation des données pour des traitements de profilage. Celle-ci doit être indiquée au moment de l’obtention d’accord.
    • Vous devez aussi minimiser la récolte des données, en la limitant scrupuleusement aux données indispensables aux actions dont elles doivent faire l’objet.
  3. Indiquer précisément le moyen de récolte et/ou traitement aux personnes souhaitant reprendre leur consentement ou faire valoir leurs droits concernant leurs données personnelles.
  4. Attester via la tenue d’un registre, l’ensemble des types de récoltes et de traitements réalisés. L’entreprise doit justifier les types de récoltes, de données, utilisations, conservations, sous-traitance …
  5. En cas de « fuite » ou de piratage de données personnelles, le responsable de traitement doit informer la CNIL dans le temps en vigueur.

Dans le domaine du web, votre site internet sera légalement tenu d’assurer un renfort de protection des données personnelles de vos clients. Pour se faire, voici les moyens techniques que nous mettons en place pour respecter les règles imposées par le RGDP :

  • Mise en place obligatoire d'un consentement préalable de l’utilisateur demandant l’acception des cookies, afin de recueillir le consentement préalable de vos visiteurs avant d’installer sur leur navigateur des cookies publicitaires.
  • Mise en place d’un certificat SSL pour sécuriser votre site internet. C’est une norme qui s’étend déjà sur tous les sites marchands, fortement recommandée par Google pour un meilleur référencement de votre site internet. C’est le fameux HTTPS avec le cadenas dans votre barre d’URL. Déjà obligatoire sur les pages de paiement en ligne, le RGPD va étendre la mesure à toutes les pages comprenant les formulaires « personnels ».
  • Modification des formulaires (contact, renseignement, abonnement newsletter, compte d’utilisateur …) en ajoutant un bouton d’opt-in volontaire (pas de case pré-cochée), une mention sur l’utilisation et la durée de conservation des données, ainsi qu’un lien pour faire valoir ses droits et notamment reprendre son consentement. Puis, conserver la preuve de chaque consentement reçu (confirmation mail ou dans les correspondances du CMS).
  • Proposez une page « Politique de confidentialité ». Cette page a pour objectif de démontrer votre respect de la gestion des données qui vous sont confiées, autant pour l’utilisateur que pour la CNIL. Vous y présenterez les types de traitements que vous réservez aux données personnelles qui vous sont confiées, si vous les partagez, cédez ou non à des tiers. Vous décrirez la politique de sécurité menée pour les protéger. De même, vous apporterez une indication aux individus pour faire valoir leurs droits sur leurs données.
  • Modifiez votre page « Mentions légales ». Les mentions légales de votre site devront proposer un paragraphe d'information sur votre démarche RGPD, en remplacement de celui de la CNIL qui n’a plus lieu d’être. Dans ce paragraphe nous vous conseillons de proposer un lien vers la page « Exercez vos droits » et d’indiquer les coordonnées du responsable de traitement. Vous procéderez de la même manière dans vos CGV si vous pratiquez le e-commerce.

Les sanctions encourues en cas de non-respect du RGPD

Le législateur l'a annoncé : « des contrôles seront menés et des sanctions encadrées, graduées et renforcées sont prévues ».

La CNIL peut aussi :

  • Prononcer un avertissement
  • Mettre en demeure l’entreprise
  • Limiter temporairement ou définitivement un traitement
  • Suspendre les flux de données
  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes
  • Ordonner la rectification, la limitation ou l'effacement des données

Pour les amendes administratives elles se caractérisent selon la catégorie de l’infraction :

  • De 10 à 20 millions d’euros (pour les très grandes sociétés)
  • De 2% à 4% du CA annuel (pour les plus petits organismes)

Ainsi, sécuriser la collecte de vos données doit être votre priorité pour votre organisme.

 

« Faites appel à notre agence web pour le respect de la réglementation RGPD sur votre site internet. »