RGPD, il est temps de se mettre en conformité

Dans moins de 15 jours le Règlement Général de la Protection des Données, ou RGPD (EU GDRP), va officiellement être appliqué. Ce texte entrera en vigueur le 25 mai 2018 et sera appliqué dans l’ensemble de l’Union Européenne. Le RGPD a bien l’intention de modifier en profondeur l’utilisation des données personnelles par les entreprises.

RGPD : quels objectifs ?

  • Transparence, les utilisateurs doivent avoir une connaissance très claire sur l’utilisation de leurs données personnelles. Fini de cacher ces informations dans les CGV ou les mentions légales.
  • Confiance, le consentement d’un utilisateur à ce que ses données soient récoltées et utilisés doit être univoque et prouvé.
  • Contrôle des données, l’entreprise doit organiser et enregistrer l’entièreté des données personnelles possédées et des mouvements de celles-ci dans un registre de traitement.
  • Liberté d’action, l’utilisateur peut se désabonner, demander la modification ou la suppression de ses données personnelles aussi facilement qu’il s’est inscrit ou qu’elles ont été récoltées.

Qui concerne-t-elle ?

Vous manipulez des données personnelles concernant des Européens ? De la multinationale, aux TPE en passant par les associations, vous êtes concernés ! La réforme est Européenne, mais concerne également les organisations hors Europe à partir du moment où elles collectent ou utilisent des données personnelles européennes.

Que faut-il faire pour se mettre aux normes ?

Désigner un DPO : Délégué à la Protection des Données

La désignation d’un délégué à la Protection des Données est dorénavant obligatoire pour tout organisme public ou entreprise qui réalise un suivi régulier et systématique des personnes à grande échelle ou qui traite des données dîtes « sensibles » à grande échelle. Le terme « à grande échelle » n’est cependant pas défini  précisément, nous vous conseillons donc de prendre les devants si vous traitez les données de vos clients.

Le DPO est l’intermédiaire prioritaire entre l’entreprise et les organismes de contrôle. Il est le chef d’orchestre de la conformité en matière de protection des données au sein de chaque entreprise.  Il doit s’informer sur les nouvelles obligations, conseiller l’organisme sur les modifications à effectuer et contrôler en continu la conformité au règlement.  C’est également à lui de faire l’inventaire des données traitées.

Le DPO n’est pas nécessairement un expert du traitement de données. Il lui faut cependant une expertise juridique et technique en matière de protection des données personnelles  ainsi qu’une bonne connaissance de l’organisation interne et des opérations de traitement de données. Il faut également éviter une situation de conflit en cas de cumul d’une autre fonction en plus de DPO.

Consentement

Le consentement fait partie des grands chantiers du RGPD. A  partir du 25 mai 2018, vous devrez nécessairement avoir une permission claire et univoque des utilisateurs de votre site internet pour pouvoir collecter leurs données et les utiliser.

L’obtention du consentement, la demande et les modalités sont détaillées dans notre précédent article « RGPD : quelles conséquences pour votre site web ? »

1. Les formulaires

Avec le RGPD, tous les choix des formulaires doivent exprimer sans aucune interprétation la volonté des utilisateurs. Vous trouverez toutes les informations à ce sujet, dans un autre article que nous avons écrit : les formulaires et l’emailing à l’heure du RGPD. Il présente comment adapter ses formulaires et les modifications pour les campagnes emailing pour respecter le nouveau texte.

2. Les cookies

Avec le RGPD, un détail, pourtant significatif, change concernant les cookies. Ils sont maintenant considérés comme des données personnelles puisqu’ils permettent une identification indirecte. Ce changement signifie qu’avec le RGPD, les cookies ne doivent être activés qu’en ayant obtenu le consentement catégorique de l’utilisateur.

Avec le projet « ePrivacy », la réglementation autour des cookies risque de changer à nouveau. A l’heure actuelle, vous devez être capable de proposer une navigation avec les cookies et une sans cookies en cas de refus. L’utilisateur doit être capable de revenir sur son choix facilement.

Tous les cookies ne sont pas sur la sellette, les cookies nécessaires au fonctionnement du site seront toujours autorisés. Pour tous les autres, aussi bien ceux permettant de mesurer vos performances que les cookies permettant d’envoyer de la publicité ciblée, il faudra pouvoir les désactiver facilement. Comme ci-dessous, vous pouvez réunir les cookies dans des catégories pour simplifier le parcours utilisateur.

rgpd-cookies

Dans cet objectif de confiance, il faut que la présentation des cookies soit la plus transparente et fluide possible.

Vous pouvez en apprendre plus sur le système de gestion des cookies dans notre article « RGPD : éditeur CMS, hébergeur et agences à chacun son rôle ».

3. Registre de consentement

Le consentement ne s’arrête cependant pas là. Il faut que vous soyez capable de le prouver. Vous devez tenir un recueil des consentements où il est indiqué qui a consenti, à quoi et quand. Nous l’expliquons plus en détail dans notre article sur l’emailing, et les formulaires.

Traitement des données

Utiliser des données personnelles signifie maintenant les maitriser parfaitement et respecter les nouvelles normes.

  • Vous devez maintenant supprimer les données une fois que l’objectif initial de celles-ci a été atteint. Elles ont donc une durée de conservation définies et justifiées par leur finalité. 
  • Vous ne devez de ce fait collecter que des données ayant une finalité spécifique.
  • Vous devez sécuriser ces données confidentielles à l’aide d’un chiffrage ou d’une anonymisation.

1. Tenir un registre de traitement

Vous devez posséder un « registre de traitement », un document qui cartographie les données collectées. Il a pour objectif de connaitre les différentes données traitées, leurs objectifs, les acteurs qui interviennent et les flux de ces données en indiquant l’origine et la destination des données.

rgpd-traitement-de-donnees
quelles questions se poser pour le traitement des données personnelles ? (Source : cnil.fr)

2. Données sensibles

Si vous traitez des données dites sensibles ou des données qui génèrent un risque élevé pour les droits et libertés des personnes concernées, vous devrez probablement faire une analyse d’impact sur la protection des données (PIA). Elle a pour but de gérer les risques, de mettre en œuvre les actions s’il y a des risques et de démontrer la conformité de son traitement au RGPD.

rgpd-donnees-sensibles
définition de la CNIL

Vous en apprendrez plus à ce sujet sur la CNIL.

3. Liberté des utilisateurs

Les libertés des utilisateurs concernant leurs données ont augmenté et les réglementations en vigueur se sont durcies.

Les utilisateurs ont un :

  • Droit d’accès, la possibilité de connaître toutes les données personnelles que l’entreprise possède et leurs traitements.
  • Droit de rectification, la liberté de modifier leurs données personnelles.
  • Droit à l’oubli, le droit à la suppression de leurs données personnelles dans les plus brefs délais.
  • Droit à la limitation du traitement, une suspension du traitement de leurs données de manière provisoire.
  • Droit à la portabilité, le droit d’exporter et de transférer leurs données vers une autre entreprise dans un format technique lisible.
  • Droit à l’opposition, la possibilité de demander l’arrêt complet du traitement de leurs données.

Ces actions doivent être les plus simples possibles aussi bien pour l’utilisateur que pour l’entreprise et réalisées dans les plus brefs délais.

RGPD en Contrôle continu

Pour prouver votre conformité au RGPD, il vous faut être capable de documenter vos actions à chaque étape.

Ce dossier sera constitué des éléments suivants :

La documentation sur vos traitements de données personnelles

  • Le registre des traitements
  • Les analyses d’impact sur la protection des données (PIA) s’il y en a eu

L’information des personnes

  • Les mentions d’information de votre site
  • Les modèles de recueil du consentement
  • Les actions mise en place pour faciliter le contrôle des utilisateurs sur leurs données personnelles.

Les contrats qui définissent les rôles et les responsabilités des acteurs

  • Les contrats avec les sous-traitants
  • Les instructions en cas de violation de données
  • Les preuves de consentement

En cas d’infraction ?

En cas de non-conformité au texte, le RGPD prévoit des sanctions très importantes : Jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuels pour manquement aux droits des personnes (partie « liberté d’action » de l’article). Le montant le plus élevé est celui pris en compte.

Pour éviter cela, n’hésitez pas à contacter les autorités de contrôle en cas de problème ou de doute et prenez les devants si vous remarquez une faille de votre système.

agence Eanet