Mise en conformité au RGPD
Au 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) rentrera en vigueur et implique des modifications plus ou moins importantes de votre site internet. Son objectif ? Protéger les données personnelles de vos internautes (prospects, clients, abonnés, etc.) en les informant de façon transparente sur le traitement que vous faites de leurs données et pour lesquelles un consentement actif et éclairé leur sera demandé.
Qui est concerné par le RGPD ?
Toute entreprise qui traite des données personnelles sur le territoire de l’UE ou sur des résidents de l’UE est concernée par le RGPD.
Cela concerne aussi bien les entreprises qui exploitent les données que leurs sous-traitants (SSII, hébergeurs, développeurs, etc.) qui agissent à partir d’instructions pour le compte d’autres entreprises.
Qu’est ce qu’une donnée personnelle ?
Pour la CNIL, « Les données sont considérées «à caractère personnel» dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement. ». C’est le cas des fichiers comportant une identification telle qu’un nom, un numéro de téléphone, des coordonnées, une adresse IP, une profession, le sexe, l’âge, une date de naissance, etc.
Si votre site propose un formulaire de contact, une inscription à une lettre d’information, un compte client, un jeu concours, des statistiques de fréquentation : vous traitez des données personnelles. La collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission diffusion ou toute autre forme de mise à disposition, le rapprochement sont des traitements de données personnelles.
Le RGPD rentre en vigueur le 25 mai : c’est le moment de paniquer ?
Si votre site était jusqu’alors conforme à la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 (relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), les modifications à apporter pour être conforme au RGPD seront, dans la plupart des cas, relativement légères.
D’autre part, le 25 mai n’est pas une date couperet selon Isabelle Falque-Pierrotin, présidente de la CNIL. Toutes les entreprises ne seront pas conformes le 25 mai au matin : « L’important est que l’ensemble des acteurs actent le changement d’état d’esprit et lancent un plan pour décliner les nouvelles obligations dans leurs différents processus« .
Un tour d’horizon de votre site existant…
La première chose à faire est un point sur votre site existant en identifiant les formulaires, cookies et enregistrement de données que vous effectuez (parfois sans même le savoir ?!) puis vérifier que vous avez réellement besoin de toutes ces données et que leur traitement est justifié et justifiable.
Connaitre les données personnelles que vous traitez
Poser sur papier l’ensemble de vos traitement de données en les classant selon l’objectif du traitement :
- Quelles informations récoltez-vous ? (par exemple le nom, prénom, adresse, loisirs, age, ville, métier, sexe, nombre d’enfant, etc.)
- Pourquoi avez-vous besoin de récolter cette information ? Dans quel but ? Qu’allez vous faire avec ces données ?
- Quels traitements sont effectués ?
- Qui a accès à ses informations ? Ou sont-elles stockées ?
- Pendant combien de temps conservez-vous ces données ?
Quelques points de vigilance :
- Si vous récoltez des données qui ne vous sont pas utiles dans le cadre des finalités que vous avez déclarées : supprimez-les !
- Les données dites « sensibles » font l’objet d’une vigilance particulière (informations sur la santé, les orientations sexuelles, les infractions, l’origine, les opinions politiques, philosophiques, religieuses, l’appartenance syndicale, génétiques, biométriques, personnes mineures, etc.). Dans certains cas vous devrez conduire une analyse d’impact sur la protection des données afin d’identifier les risques.
- Attention à la durée de conservation des données. Il est conseillé de les conserver pour une durée maximale de 13 mois.
Maintenant que vous êtes au clair avec les informations que vous récoltez et leurs finalités, il est temps de vérifier que vos internautes le sont aussi…
Informez-vous suffisamment vos internautes ?
Vous devez expliquer à vos internautes quelles données sont conservées et dans quel but (en indiquant toutes les exploitations possibles), pour quoi faire, par qui, où, et pour combien de temps. En outre, vos internautes doivent pouvoir à tout moment s’opposer au traitement de leurs données :
- Vos internautes acceptent ce traitement de vos données en toute connaissance de cause.
- Leur consentement est actif : par exemple en cochant une case obligatoire (et non cochée par défaut)
- La preuve de leur consentement est enregistrée et conservée : vous enregistrez la date et l’heure du consentement associées aux modalités qu’il a accepté (finalité, durée, etc.) et vous pouvez ainsi justifier de leur consentement à tout moment.
- Vos internautes ont un droit d’accès à leurs données (sur demande écrite par exemple), de rectification, ou de suppression. Vous avez un mois maximum pour répondre à une demande de ce type.
Les données récoltées sont-elles sécurisées ?
Vous êtes responsable de la sécurité des données personnelles que vous traitez. Vous devez donc veiller à minimiser les risques de piratage de votre site ou de vols et détériorations de données :
- Votre site et ses plugins sont ils à jour ?
- Votre site est il en HTTPS ? (voir Comment passer son site en HTTPS)
- Sauvegardez vous les données ?
- Comment minimisez-vous les risques de piratage ?
- Comment allez-vous maintenir la sécurité dans le temps ?
Un exemple de plan d’action :
Si vous remplissez toutes les conditions suivantes, vous êtes (à priori) en conformité avec le RGPD :
Sur chacun des formulaires de votre site :
- Toutes les informations demandées dans vos formulaires sont nécessaires à votre traitement de données (les informations superflues ont été supprimées, notamment celles qui présentaient des données sensibles).
- Les finalités du traitement des données de ce formulaire sont inscrites lisiblement sur la page (ou sur une page de mentions vers laquelle vos internautes sont redirigés, mais pas noyées dans un contenu illisible !).
- L’internaute doit cocher une case pour consentir à l’utilisation de ces données (pas de case pré-cochée, de mentions en tout petit caractères, etc).
- Vous enregistrer la preuve du consentement et le cadre dans lequel il s’applique.
- Le consentement d’un parent est exigé pour autoriser le traitement de données de mineurs de moins de 16 ans.
- L’internaute sait comment exercer ses droits (par exemple en proposant un lien vers un formulaire leur permettant de faire valoir leurs droits)
Sur les cookies déposés sur votre site :
- Un gestionnaire de cookies permet à l’internaute d’accepter ou refuser le dépot de cookies (Voir Comment installer un gestionnaire de cookies sur votre site ?)
- Les finalités de traitement des données de ces cookies sont inscrites lisiblement sur la page (ou sur une page de mentions vers laquelle vos internautes sont redirigés).
- Le dépôt de cookies est nécessaire pour votre traitement de données (sinon ils sont supprimés du site)
Sur la sécurité :
- Votre site et ses plugins sont à jour.
- Votre site est il en HTTPS (voir Comment passer son site en HTTPS).
- Vous effectuez des sauvegardes régulières des données.
- Vous avez mis en place un protocole de sécurité (voir Comment sécuriser son site WordPress)
- Si les données personnelles que vous stockez font l’objet d’un piratage ou d’une utilisation malveillante, vous avertissez la CNIL dans les meilleurs délais.
Process interne :
- Les données sont automatiquement ou manuellement supprimées une fois la date de fin d’utilisation dépassée.
- Vous êtes réactifs lorsque vous recevez une demande de modification de données personnelles.
- Vous êtes en mesure, pour chaque demande, d’exporter la liste des informations personnelles dont vous disposez.
- Vous tenez un registre des traitements des données. Cela n’est obligatoire que si votre entreprise compte plus de 250 employés ou dans certain cas de figure (voir un exemple de registre proposé par la CNIL – PDF)
Sur les données acquises avant le 25 mai 2018 :
Si vous êtes en possession de données pour lesquelles vous n’avez pas la preuve du consentement des personnes (aie !), il va falloir… les supprimer ! En pratique, on voit se multiplier les emails d’entreprises demandant à leurs utilisateurs de consentir à leurs nouvelles conditions générales… Pas sur que cette pratique soit bien RGPD, mais elle peut se comprendre. Si vous souhaitez vous aussi pouvoir réutiliser des données pour lesquelles vous n’avez pas enregistré de consentement :
- Vous devez informer les personnes dont vous possédiez des données personnelles des finalités de ce traitement de données.
- Vous devez recevoir un consentement de leur part pour leur utilisation future.
- Vous devez enregistrer leur consentement et le cadre dans lequel il s’applique.
- Et si vous n’avez pas de nouvelles de ces personnes… vous devez supprimer leurs données personnelles !
Pour aller plus loin…
Le consentement express des personnes est-il obligatoire ?
Non ! Il existe des exceptions (et pour certaines fixées par les États eux-mêmes), en cas :
- d’intérêt légitime du responsable du traitement (tant que ça ne porte pas atteinte aux droits des personnes)
- de mission de service public
- de la sauvegarde de la vie des personnes
- d’une obligation légale du responsable de traitement
Rien de nouveau, ces exceptions existaient déja. En revanche, si vous ne rentrez pas dans ces cas et que vous devez recueillir le consentement des personnes, alors le RGPD ajoute des exigences sur la manière dont ils vont être récoltées : Il doit être libre et éclairé, exit donc les clauses noyées dans des CGU indigestes !
Dois-je nommer un DPO (Délégué à la protection des données) ?
Oui, mais seulement si :
- Vous êtes un organisme public
- Vous traitez des données à grande échelle (mais à partir de quel volume entre t-on dans ce cas ?)
- Vous traitez des données sensible
Dois-je tenir un registre des données ?
oui, mais seulement si (article 30) :
- Votre société comporte plus de 250 employés
- Vous traitez des données sensibles
Je suis sous-traitant, ai-je des obligations spécifiques ?
Vous êtes prestataires de services informatiques (hébergement, maintenance), une SSII, une agence marketing ou de communication, … Oui vous êtes concerné et pas qu’un peu !
Je pense revenir plus longuement sur ce sujet dans le cadre d’un nouvel article. En attendant, vous pouvez consulter ce document proposé par la CNIL.
Le RGPD impacte t-il les campagnes e-mailing »
Non, « Le RGPD ne change pas les règles applicables aux mails de prospection, que ces derniers soient en B2B ou en B2C » (CNIL).
- Les particuliers (B2C) doivent avoir données leur consentement (opt’in).
- Les professionnels (B2B) doivent être informés et en mesure de s’opposer à l’utilisation de leurs données. L’objet de la communication doit obligatoirement avoir un lien avec l’activité du destinataire.
Sources et ressources
Pour tout compléments d’informations, veuillez vous référer au site de la CNIL. Vous trouverez ci-dessous les sources à partir desquelles cet article a été rédigé.
A lire au sujet du RGPD et des données personnelles :
- Pour un libre examen, rien ne vaut le texte officiel ! DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
- Par où commencer (CNIL)
- RGPD : Ce qui change pour les professionnels (CNIL)
- Notions et bons réflexes (CNIL)
- RGPD : Les points de vigilence (CNIL)
- Guide pratique de sensibilitation au RGPD pour petites et moyennes entreprises (PDF) (CNIL)
- Infographie présentant les bonnes et mauvaises pratiques des formulaires de récolte de données (Codeur.com)
- Quelles sont les mentions obligatoires à mentionner sur son site ? (service-public.fr)
- Générateur de mentions légales relatives aux données personnelles (CNIL)
A écouter au sujet du RGPD :
Comme il y a une multitude d’emission de qualité au sujet du RGPD qui se multiplie, j’ai jugé utile de créer une petite playlist des meilleures (selon moi). Vous pouvez vous abonner à cette chaine de podcast qui regroupe les ressources (radio et vidéo) sur le RGPD et les données personnelles. Je la compléterai au fur et à mesure que de nouveaux contenus seront disponibles.
Si cet article vous a aidé, si vous avez des questions ou des améliorations à proposer, n'hésitez pas à me laisser un commentaire en bas de page !
2 réponses
[…] IP de vos utilisateurs dans un fichier ou dans une base de donnée, son traitement est soumis au RGPD (nouveau règlement général sur la protection des […]
[…] à la loi Informatique et liberté et le Règlement Général sur la Protection des Données (RGPD), les internautes doivent consentir librement au dépôt de cookies déposés lors de la […]