RGPD : PROTECTION DE LA VIE PRIVÉE ET UTILISATION DES DONNÉES PERSONNELLES

Cette réforme européenne de la protection des données sert 3 objectifs :

• Redonner aux citoyens le contrôle de leurs données personnelles (protection de la vie privée, droit à l’oubli, …) ;
• Inciter les entreprises à devenir responsables et garantes du respect de la vie privée ;
• Harmoniser la règlementation européenne et rendre plus cohérentes l’action des autorités de contrôle.

Le texte du règlement prévoit des sanctions administratives lourdes pour les entreprises qui ne respectent pas le RGPD. Les amendes peuvent atteindre 20 M€ ou 4 % du CA, le montant le plus élevé étant retenu.

Dans les textes, le RGPD est obligatoire pour les entreprises de plus de 250 salariés. Elle concerne en réalité toutes les entreprises amenées à collecter et traiter des données à caractères personnelles.

Par conséquent, tous les e-commerçants et les entreprises qui utilisent un site web pour faire de la prospection et générer des leads sont concernées par le RGPD.

RGPD : LES OBLIGATIONS DES ENTREPRISES

Créer et mettre à jour un registre des activités de traitement des données

Il s’agit d’un outil de pilotage de la protection des données destiné à :

• Mieux connaître, gérer et piloter la stratégie de protection des données ;
• Faciliter la gestion des demandes des utilisateurs (consentement, consultation, modification, suppression de données) ;
• Préciser les mesures de sécurité adoptées en cas de faille ou de piratage des données.

Alerter les autorités de contrôle en cas de violation des données à caractère personnel

En cas de faille du système ou de piratage informatique des données personnelles, les entreprises doivent obligatoirement alerter la CNIL (Commission Nationale de l’Informatique et des libertés) dans un délai de 72 heures.

Concevoir des produits/services en conformité avec le respect de la vie privée  (Privacy by design)

Chaque produit ou service commercialisé par une entreprise doit prendre en compte les contraintes liées au respect de la vie privée, dès sa conception.

Le principe « Privacy by design » nécessite de prendre les mesures appropriées pour la protection des données dans la réalisation des nouveaux projets et s’assurer que les produits/services proposés sont conformes aux dispositions « informatiques et libertés ».

Obtenir le consentement des utilisateurs et conserver la preuve du consentement

Les entreprises doivent obligatoirement demander aux utilisateurs leurs autorisations pour le traitement de leurs données personnelles.

Le RGPD veut apporter plus de transparence dans l’utilisation des ces dernières. Les utilisateurs sont propriétaires de leurs données et ont le droit de savoir la finalité du traitement de celles-ci.

Dès lors que l’entreprise initie un traitement des données personnelles de l’utilisateur, elle doit obtenir le consentement de l’utilisateur de manière loyale et explicite (opt-in).

RGPD : QUELS CHANTIERS PRIORITAIRES POUR VOTRE SITE WEB ?

Demander le consentement

Obtenir le consentement des utilisateurs est obligatoire pour collecter et traiter les données personnelles.

Les données concernées sont :

• Nom/prénom
• Adresse email
• Numéro de téléphone
• Adresse postale
• Adresse IP / données GPS (données de localisation)
• Cookies
• Numéro d’identification ou identifiants
• Les données sensibles : informations relatives à l’identité physique, psychique, génétique ou économique

La demande de consentement doit être valable pour l’ensemble des services de votre site web qui collecte et traite des données comme Google Analytics, Adsense, Adwords, Facebook, Twitter, AddThis, …

Pour la gestion des données sensibles, la CNIL recommande d’avoir recours au cryptage ou l’anonymisation des données (ou pseudonymisation).

Pour les mineurs de moins de 16 ans, le consentement d’un parent (ou tuteur légal) devient obligatoire.

Consulter le site de la CNIL est un bon moyen pour avoir un aperçu de la façon dont il est possible d’intégrer la demande de consentement sur son site.

Modalité de la demande de consentement

La demande de consentement peut se faire de manière globale ou segmentée.

Une page de demande de consentement globale permet de regrouper les cookies et la collecte de données. Cette solution semble la plus simple pour obtenir le consentement en une seule validation.

Cette méthode représente cependant un risque car le cumul des demandes peut nuire à la lisibilité des informations. Cela peut créer de la confusion chez l’utilisateur et entrainer son refus.

Segmenter les demandes de consentement par bloc pour chaque service représente une alternative à la demande de consentement globale.

Dans tous les cas, le consentement doit être obtenu par des formulaires clairs et explicites, dotés de boutons d’action sans ambiguïté (« Accepter » et « Refuser »).

Pour éviter les demandes de consentement inutiles, collectez uniquement les données dont le traitement représente un intérêt stratégique pour votre entreprise.

Preuve et durée du consentement

Le RGPD stipule qu’il est obligatoire de conserver la preuve du consentement mais n’indique pas la forme sous laquelle doit être conservée cette preuve.

Le texte précise que la durée du consentement n’a pas de limite de validité, tant que l’utilisateur n’a pas effectué de demande de modifications des conditions d’utilisation des ses données personnelles.

Une nouvelle demande de consentement doit être effectuée pour chaque nouveau service ajouté sur le site.

Si vous avez opté pour le demande de consentement par bloc, le risque est de voir l’utilisateur annulé le consentement préalablement obtenu pour les autres services.

Les formulaires

Pour chaque formulaire, vous devez indiquer la durée de conservation des données et les finalités du traitement des données.

Ces informations peuvent apparaître au niveau des mentions légales, dans une section dédiée au formulaire, mais doivent être facilement accessible depuis les formulaires.

Faciliter l’accès aux informations sur la collecte et le traitement des données personnelles, démontrera votre volonté de transparence.

Vous devez obligatoirement indiquer la durée de conservation des données collectées grâce aux formulaires.

Une seule section pour tous les formulaires est suffisante sauf si l’un des formulaires implique une autre finalité du traitement des données ou une durée de conservation des données différente.

Pour les adresses mails collectées grâce au champ d’inscription à la newsletter, il n’y a pas de limite de durée de conservation tant que l’utilisateur ne fait pas de demande de suppression ou désabonnement.

Plugins, extensions de CMS et autres services

Les plugins installés sur votre site WordPress qui ne sont pas aux normes RGPD ne pourront plus être utilisés tant qu’ils n’auront pas été mis à jour. Il en est de même pour les services natifs de WordPress comme l’insertion d’une Twitter Card.

La question se pose également pour l’insertion des vidéos Youtube, du player Calameo ou des cartes Google Map car ses services collectent des données grâce au code inséré, sans consentement préalable.

La solution est d’utiliser un gestionnaire de tag pour exploiter ces services. La CNIL recommande le gestionnaire de tag tarteaucitron pour gérer les demandes de consentement et les cookies sur son site.

Le RGPD représente un chantier important pour les entreprises présentent sur le web en 2018. Nous vous conseillons de ne pas attendre et de réfléchir dès maintenant à la meilleure manière d’intégrer cette nouvelle réglementation à votre site web.

Contactez eanet pour la mise aux normes RGPD de votre site web.