En vigueur depuis le 25 mai 2018, le nouveau Règlement Général européen sur la Protection des Données personnelles contraint les organismes, depuis quelques jours, de mettre à jour les politiques de confidentialité des services qu’ils proposent en ligne. Aussi, afin d’assurer une protection optimale des données des utilisateurs, à tout moment, et être capable de justifier ses actes, il convient de suivre quelques consignes.

Le RGPD : c’est quoi ?
Le RGPD ou Règlement Général européen sur la Protection des Données personnelles, est le nouveau texte de référence en termes de protection des données à caractère personnel. Elaboré pour renforcer et unifier la protection des données pour les individus au sein de l’Union Européenne (UE), ce nouveau règlement a pour principal objectif de « redonner aux citoyens le contrôle de leurs données personnelles tout en simplifiant l’environnement réglementaire des entreprises. »

Que change le RGPD ?
Cette nouvelle règlementation met essentiellement l’accent sur le consentement de l’utilisateur quant à l’utilisation de ses données privées, enregistrées en ligne. Aussi, tout organisme se doit désormais de consulter les utilisateurs avant d’utiliser leurs adresses emails et autres informations personnelles leur appartenant.

Le RGPD annule ainsi l’utilisation du système « opt-in passif » (case pré-cochée avant validation) et favorise le système du « double opt-in » (confirmation d’une souscription à une newsletter après avoir cliqué sur un lien envoyé dans un email de confirmation d’enregistrement d’une commande, par exemple). Il s’agit donc pour les organismes d’ajouter systématiquement dans leurs formulaires, une case obligatoire à cocher, qui propose aux utilisateurs de consulter et d’accepter leurs conditions et politiques de confidentialité des données personnelles.

Ce nouveau règlement exige également des entreprises de supprimer toutes données à caractère personnel sous différentes motifs dans un délai court. Cela concerne essentiellement toute information qui se rapporte à une personne physique identifiée ou identifiable : noms, prénoms, numéros de téléphone, adresse email.

Comment se mettre en conformité avec le RGPD ?
1. Désigner un pilote RGPD

Un délégué à la protection des données doit être désigné pour piloter la gouvernance des données personnelles de votre structure. Il s’agit d’une étape obligatoire pour tout organisme public, et toute entreprise dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter des données « sensibles » ou relatives à des condamnations pénales et infractions, à grande échelle. En véritable chef d’orchestre, il informera, conseillera et effectuera un contrôle en interne au sein de votre organisme. Pour ce faire, il doit s’informer en amont sur le contenu des nouvelles obligations, pour ensuite sensibiliser les décideurs sur l’impact de ces nouvelles règles. Il réalisera l’inventaire des traitements de données de votre entreprise pour ensuite mettre en place des actions de sensibilisation et piloter la conformité en continu.

2. Appliquer une politique de transparence pour la collecte des données

Le RGPD vous contraint d’afficher désormais toutes les méthodes utilisées pour faire la collecte des données, et surtout d’informer vos utilisateurs sur la finalité de celle-ci : réception d’une newsletter, événements, informations sur de nouveaux produits, promotions, etc. Vous devez aussi informer vos utilisateurs de la durée éventuelle de conservation de ces données. Il convient donc de mettre à jour votre page de politique de confidentialité avant de lancer une nouvelle campagne mail.

3. Mettre à jour le contenu de la page de politique de confidentialité

Internet propose une multitude de solutions permettant de mettre à jour votre page de politique de confidentialité. Sur WordPress, par exemple, il est possible de générer une page toute faite en allant dans Réglages/Confidentialité/Créer une nouvelle page. Vous pouvez personnaliser celle-ci en fonction de l’utilisation des données relatives à votre activité. De nombreux plugins additionnels vous permettront également de vous mettre en conformité. Si vous utilisez une plateforme de paiement en ligne comme Shopify, des générateurs sont aussi disponibles pour vous aider à vous mettre en conformité avec le RGPD.

Votre page de politique de confidentialité doit obligatoirement contenir :

· Vos coordonnées ainsi que celles de l’éditeur du site et de l’hébergeur.

· Le type de données collectées à l’inscription ou lors d’une commande effectuée sur votre site (noms, prénoms, email, téléphone, adresse postale, adresse IP, etc.)

· La durée de conservation des données (3 ans maximum pour les données marketing, 6 ans pour les coordonnées liées à une facturation)

· Les mesures de sécurité instaurées pour garantir la protection des données, ainsi que les méthodes mises à la disposition des clients et utilisateurs pour leur permettre d’exercer leur droit de modification ou de suppression des données.

Une page de politique de confidentialité s’affiche généralement en pied de page d’un site, et elle doit expliquer de manière claire le traitement des données collectées.

4. Documenter la conformité

Dès lors que tout le processus de mise en conformité de votre site est respecté, il ne vous reste plus qu’à établir un dossier regroupant la documentation nécessaire pour le prouver. Ce dossier doit notamment comporter :

· La documentation sur vos traitements de données personnelles : le registre des traitements ou des catégories de traitements, les analyses d’impact sur la protection des données pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes, l’encadrement des transferts de données hors de l’UE.

· L’information des personnes : les mentions d’information, les modèles de recueil du consentement des personnes concernées, les procédures mises en place pour l’exercice des droits.

· Les contrats qui définissent les rôles et les responsabilités des acteurs : les contrats avec les sous-traitants, les procédures internes en cas de violations de données, les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

En appliquant ces quelques règles sur votre site ou votre blog, vous serez non seulement en conformité avec la nouvelle législation, mais vous éviterez également toute menace de signalement à la CNIL. Le respect du RGPD va également mettre davantage en confiance vos clients et utilisateurs.

Renseignements complémentaires sur RGPD CNIL

Article précédent
AMP Accelerate Mobile Pages
Article suivant
AMP et le référencement

Les derniers articles