Le RGPD, Règlement Général sur la Protection des Données, est un règlement européen qui est entré en vigueur le 25 mai 2018. Toutes les entreprises doivent l’appliquer, sous peine d’une amende administrative.

Dans le prolongement de la réglementation française existante, ce nouveau règlement encadre les conditions dans lesquelles les données personnelles sont collectées et traitées.

Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte digitale, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Notez cependant que Jean Lessi, secrétaire général de la Cnil, a tenu un discours rassurant en indiquant que la Cnil n’allait pas effectuer de contrôles « dans les premiers mois », sauf en cas « de manquements manifestes et graves ». La Cnil entend s’inscrire dans une démarche d’accompagnement des acteurs dans la mise en conformité au RGPD, notamment les TPE-PME. Pas de panique donc, mais il demeure vivement recommandé de se mettre en conformité dans les prochaines semaines.

Les principaux points du RGPD :

Le RGPD s’applique à toute entreprise, association, organisme public ou privé, quelle que soit sa taille, son pays d’implantation et son activité, qui traite des données personnelles pour son compte ou non, qu’elle soit présente dans l’U.E ou que son activité cible directement des résidents européens. Le règlement prévoit plusieurs mesures, dont les plus importantes sont :

  • L’obtention du consentement explicite et positif de l’utilisateur pour collecter ses données personnelles pour des finalités déterminées (gestion des rendez-vous, prospection commerciale, etc.). Il faut pouvoir en fournir la preuve en cas de contrôle.
  • Une information renforcée des utilisateurs, notamment sur les finalités des traitements, la durée de conservation des données, les destinataires des données (etc) via votre Politique de Confidentialité sur la gestion des données personnelles des internautes.
  • Le droit à l’effacement des données (« droit à l’oubli »). Vous devez pouvoir supprimer toutes les données personnelles d’une personne s’il en fait la demande notamment lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées
  • La portabilité des données. L’utilisateur a droit de recevoir les données à caractère personnel qu’il a fournies dans un format structuré et a le droit de les transmettre à une autre entreprise ou organisme.
  • La sécurisation et la confidentialité des données personnelles par la création de procédures d’accès.
  • L’obligation d’informer l’utilisateur en cas de violation de ses données personnelles (accès non-autorisé, faille de sécurité, etc.) susceptible d’engendrer un risque élevé pour ses droits et libertés
  • La nomination d’un délégué à la protection des données, qui est obligatoire seulement dans certains cas, mais fortement recommandé en pratique.

Ce qui change pour votre site :

La politique de confidentialité

Vous devez informer les utilisateurs (par exemple dans  un document de votre politique de confidentialité publiée sur votre site Internet), l’utilisation que vous faites des données, et les destinataires des données (au sein de votre organisme, prestataires tiers, etc.), la durée de conservation, etc.. Vous devez déterminer une durée de conservation précise adaptée à la finalité de collecte et de traitement des données personnelles stockées :

Pour une newsletter, l’email de l’utilisateur peut être conservé jusqu’à ce que l’utilisateur demande à ne plus la recevoir.

Pour une demande, par exemple via le formulaire de contact, elle peut être supprimée après traitement.

Ce document permettra également de lister les droits des internautes (Portabilité, droit à l’oubli, etc.) et l’internaute pourra s’y rendre pour modifier ses choix en terme de ePrivacy.

C’est pourquoi cette page doit pouvoir être facilement accessible et consultable à tout moment. Nous recommandons de placer un lien vers celle-ci en haut à droite de votre site internet.

La demande de consentement

Vous devez demander un consentement explicite et positif aux internautes pour utiliser leurs données à caractère personnel. L’effort fourni pour donner son consentement doit être équivalent à l’effort à fournir pour y renoncer. Pour chaque utilisation de données personnelles, il faut prévoir de l’inscrire dans la Politique de Confidentialité et d’en demander le consentement.

  • Envoyer une newsletter : Ajouter une case à cocher en demandant l’autorisation d’utiliser le mail fourni pour envoyer la newsletter, et préciser que cette donnée ne sera utilisée que pour cela.
  • Formulaire de contact : Ajouter une case à cocher en demandant l’autorisation d’utiliser les informations fournies pour répondre à cette demande, et préciser que cette donnée ne sera utilisée que pour cela.

La gestion des cookies

Pour utiliser des cookies (publicités ciblées, tracking, etc.) vous devez demander le consentement de l’utilisateur (à l’exception des cookies fonctionnels, tels que les cookies de session)  et lister ces cookies dans une page “Gestion des Cookies”, en expliquant leur utilité et en lui permettant de refuser leur utilisation.

A noter : Un règlement européen sur l’ePrivacy en cours de discussion est susceptible de modifier la réglementation applicable à l’utilisation des cookies.

L’hébergement des données personnelles

Vous devez sécuriser vos bases de données en créant des procédures qui permettent de réguler l’accès à ces données et identifier leur localisation. Il est recommandé de choisir un hébergeur de données situé dans l’Union Européenne. Dans le cas contraire, certaines obligations supplémentaires prévues par le RGPD s’appliquent afin de sécuriser le transfert hors UE des données personnelles.