Qu’est-ce que le RGPD ?
Le RGPD est le Règlement Général de Protection des Données.
Il est inscrit dans la loi française « Informatique et libertés » de 1978 et modifié par la loi du 20 juin 2018 relative à la protection des données personnelles.
Cette loi permet d’établir des règles sur la collecte et l’utilisation des données sur le territoire français.
Concrètement, une donnée personnelle qu’est-ce que c’est ?
Une donnée à caractère personnel (ou données personnelles) est définie par la Commission nationale de l’informatique et des libertés (CNIL).
Ce sont des informations qui permettent d’identifier une personne physique. Ou qui la rends identifiable par le biais d’informations se rapportant à cette personne.
Deux types d’identification possible :
Identification directe : Prénom, nom, etc.
Identification indirecte : identifiant, numéro, etc.
Bien entendu, d’autres informations propres à son identité peuvent être considérées comme des données personnelles. Toutes les informations nous permettant de faire le lien avec cette personne sont considérées comme des données personnelles (éléments psychiques, physiques, physiologiques, génétiques, économiques, culturelles ou sociales).
Ne pas oublier qu’une information relative à sa voix et à son image sont également des données privées.
La CNIL considère qu’une opération ou un ensemble d’opérations portant sur des données personnelles, réalisées par des sociétés ou associations sont de l’ordre du traitement des données personnelles.
🔎
Exemples : Tenue d’un fichier client / Collecte de données sur des prospects via un questionnaire / Mise à jour d’un fichier fournisseur.
Source : economie.gouv.fr
Pourquoi mettre en place le RGPD sur mon site web ?
Simplement parce que toutes les structures privées ou publiques effectuant de la collecte ou du traitement de données, peu importe sa taille et son secteur d’activité, se doivent de respecter cette loi.
Ce règlement s’applique à tous les organismes présents sur le territoire Européen et hors Européen — pour ceux qui souhaitent cibler un public résidant sur le territoire Européen.
Donc, dès lors que tu demandes une adresse mail à ton audience, tu te dois de lui garantir une parfaite conformité des normes RGPD. Notamment lorsque tu mets en place un système de cookies pour optimiser l’Analytics de ton site web.
Maîtrisez les cookies : Comprendre leurs subtilités et savoir les intégrer sur votre site
Comment mettre en place des cookies sur son site, à quoi servent-ils et quels types de données peut-on collecter grâce à eux ? La recette complète des cookies du web.
Quelles sont les règles à respecter lors de la mise en place d’un RGPD ?
Tu dois être clair et transparent sur la collecte des données de tes utilisateurs et leur consentement doit être volontaire et sans appel.
Tu dois également faire en sorte que les droits utilisateurs soient respectés :
Droit d’accès : Peu importe les données collectées, tu te dois de fournir les informations personnelles que ton site web détient à leur sujet s’ils venaient à les demander.
Droit à l’oubli : Les utilisateurs ont le droit de demander la suppression de leurs données personnelles quand cela est justifié.
D’autres règles sont à considérer pour ne pas entraver la loi :
Portabilité des données : Les utilisateurs ont parfaitement le droit de transférer leurs données personnelles d’un service à un autre. Cela facilite la migration d’un service en ligne à un autre.
Responsabilité accrue : Tous les propriétaires de site web sont dans l’obligation de protéger les données personnelles de ses utilisateurs. Tu es donc obligé de signaler toute violation de données aux autorités compétentes et, parfois, aux personnes concernées par ces violations.
Ces droits ne sont pas à prendre à la légère, dès la conception et le développement de ton site il te faut réfléchir à la façon dont celui-ci va protéger les données et la vie privée de tes utilisateurs (Privacy by Design).
Pour rappel, les transferts internationaux sont à surveiller de près, car les pays hors UE ne sont pas concernés par ces normes, sauf si les utilisateurs en question font partie de l’Union européenne. Si tu es dans l’obligation ou dans la volonté de transférer des données à l’étranger, tu dois vérifier que l’utilisation des données — par la société qui reçoit ces informations — respecte les normes européennes de protection des données.
En cas de non-conformité de tes normes RGPD, tu es passible d’amendes importantes, pouvant atteindre 4 % du chiffre d’affaires annuel d’une entreprise.
Lorsque tu crées ton site, pour éviter de lourdes sanctions et démontrer ton engagement envers la protection de la vie privée de tes utilisateurs, nous te conseillons de mettre en place quelques leviers :
Politique de confidentialité
Mécanisme de consentement pour les cookies
Procédures de sécurité des données
Coopérer avec les autorités compétentes en cas de violation
Chaque pays de l’UE est responsable de l’application du RGPD, ils peuvent t’aider, car ils fournissent aussi des directives spécifiques aux entreprises et aux organisations locales.
Que peut-on faire pour appliquer au mieux ce règlement ?
Reprenons la liste que nous avons établi plus haut. Afin que ton site respecte ces normes et que cela t’évite de mettre à mal tes utilisateurs et te confondre avec la loi, voilà ce qu’il faut retenir.
Rédiger une politique de confidentialité
Tu dois clairement expliquer à tes utilisateurs quel type de donnée tu souhaites collecter, dans quel but, à quoi elles vont servir, combien de temps tu souhaites les conserver (la loi autorise jusqu’à 3 ans de stockage des données) et avec qui tu comptes partager ces informations. Ces politiques de confidentialités doivent être visibles et accessibles sur chaque page. Elles sont souvent présentes dans le menu principal ou le pied de page (footer).
Mettre en place des mécanismes de consentement
Les utilisateurs de ton site web doivent donner leur consentement avant que tu ne collectes leurs données personnelles. L’utilisation de cookies permet d’acquérir le consentement des utilisateurs de manière explicite et facilement révocable.
Il te fournit des options claires pour que l’utilisateur puisse accepter ou refuser, en connaissance de cause, les conséquences que peuvent avoir ces choix.
Utiliser une bannière de consentement
L’utilisateur doit être averti, via les « pop-up » sur les cookies non obligatoires. Pour les cookies obligatoires, il n’est pas nécessaire d’obtenir leur aval, mais ils doivent obligatoirement en être informés.
En revanche, les cookies utiles à la collecte de données pour un tracking commercial, par exemple, doivent impérativement être signalés et requièrent un consentement de la part de l’utilisateur.
Rendre visible un processus de rétractation
Afin que les utilisateurs puissent exercer leur droit à l’accès et à la suppression de leurs données, tu dois mettre en place un système de communication. L’utilisateur doit pouvoir soumettre sa demande et tu es dans l’obligation d’y répondre dans un délai raisonnable.
Sécurité first
Afin de garantir la sécurité des données personnelles de ton audience, tu dois prendre des mesures de sécurité appropriées. Comme des protocoles de chiffrement, des pare-feu et des pratiques de sécurité robustes (Captcha, double authentification, etc.).
Afin d’éviter l’accumulation de données privée et d’accroître le risque de violation, il faut en limiter la collecte. Ainsi, seulement les données nécessaires à ton activité seront stockées et utilisées.
Les informations collectées doivent avoir une date de péremption, il te faut définir une période de conservation des données. Elles doivent également faire l’objet d’un tri régulier — supprimer les données inutilisées ou périmées.
Tes utilisateurs doivent être informés
Informer de manière claire et transparente tes utilisateurs sur la façon dont leurs données seront traitées est la première chose à faire. Ainsi que les personnes qui auront accès à leurs informations.
Conformité et respect des règles
Pour anticiper tout contrôle ou problème éventuel, tu te dois de mettre en place un registre en interne sur le traitement des données qui te permettra de démontrer la conformité de ton entreprise ou ton organisme au RGPD.
Nous te conseillons de former le personnel impliqué au respect de ce règlement, ils doivent comprendre les enjeux et les exigences liées au RGPD et les pratiques de protection des données personnelles.
Il est même important de désigner un délégué responsable de la protection des données (DPO), notamment dans de grosses structures, qui collectent de grandes quantités de données.
Pour pallier toute éventualité, mets en place un plan de réponse aux violations de données et signale toute violation aux autorités de protection de données compétentes ainsi que toutes les personnes concernées, le cas échéant.
Lorsque le traitement des données personnelles présente un risque élevé pour les droits et libertés des utilisateurs, il te faut effectuer une analyse d’impact sur la protection des données (DPIA).
Mise à jour
Le RGPD est susceptible d’évoluer au fil du temps. Tiens-toi régulièrement informé pour conserver ta politique de confidentialité à jour. Des évolutions législatives sont effectuées régulièrement, mais ton site peut, lui aussi, évoluer et peut être soumis à de nouvelles normes.
Conclusion
Pour respecter les normes RGPD et prévenir les sanctions, voici les règles à mettre en application :
Tenir informés tes utilisateurs sur les données collectées, à quoi vont-elles servir et à qui sont-elles susceptibles d’être partagées.
Donner le droit à tes utilisateurs de voir, de supprimer ou de transférer leurs données de manière simple et claire.
Mettre en place un système de protection des données, si tu souhaites stocker des données privées, tu dois tout mettre en œuvre pour les sécuriser.
En cas de violation de ces données. Tu es dans l’obligation d’informer les autorités compétentes et, dans certains cas, les personnes dont les données ont été piratées.
Lors de transfert de données, tu dois t’assurer de la conformité RGPD de l’organisme recevant ces informations, notamment lorsque celui-ci se trouve hors UE.
Tenir ta politique de confidentialité à jour pour respecter les normes législatives actuelles et accompagner les nouveaux besoins de ton site web en cas de modification protocolaire sur le traitement des données collectées.
Si tu veux aller plus loin, tu peux consulter notre livre blanc : Création d'un site web professionnel : étapes clés et bonnes pratiques
