Comment devenir conforme RGPD ?

L’amateurisme n’a plus sa place dans le Web !
Vous collectez des données (Tout vous le faites, sans le savoir parfois...).
Lisez bien ceci, vous prenez certains risques à ne pas vous y conformer.


Publié le jeudi 28 juin 2018 par Gil FOURGEAUD

R.G.P.D. : Règlement Général sur la Protection des Données

Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
Plus généralement, le RGPD ordonne qu’une autorisation préalablement donné puisse être retirée à tout moment. Egalement, le texte européen exige que le responsable du site puisse apporter la preuve d’avoir bien reçu ce consentement.

Il faut par exemple que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles, ou qu’ils s’assurent que les enfants en-dessous d’un certain âge aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.

Exemples de traitement de données à caractère personnel :


  • Demander des informations personnelles lorsque quelqu’un fait une commande sur votre site web
  • Conserver des informations sur vos collaborateurs ou vos fournisseurs
  • Permettre aux gens de s’abonner à votre newsletter sur votre site web

Ainsi, les adresses IP, plaques d’immatriculation et autre, représentent aussi des données à caractère personnel.


Supprimez l’étape de déclaration CNIL


Une entreprise, qui vent de vêtement sen ligne par exemple, pourra désormais se passer de déclarer à la Cnil l’existence de son fichier client avant de se lancer, ce qui lui épargne une étape qui était parfois fastidieuse. Elle devra en revanche en documenter le fonctionnement et la sécurisation de manière détaillée.

Si son activité croît au point d’obtenir plusieurs dizaines de milliers de clients, ou que ceux-ci sont moins nombreux mais très fidèles, le règlement considérera que la marque traite des fichiers à "grande échelle", selon l’interprétation donnée par le G29, qui regroupe les différentes "Cnil européennes". Elle devra alors désigner un délégué à la protection de ses fichiers.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entre en application et la plupart des formalités auprès de la CNIL vont disparaître. Nous vous invitons à prendre connaissance de vos nouvelles obligations au regard du RGPD et à vous préparer à son application. Voir l’article de la CNIL au sujet du RGPD


QUI DOIT SE CONFORMER AU RGPD ?


Toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.

Si vous gérez une entreprise qui traite d’une façon ou d’une autre des données personnelles, il n’est pas encore trop tard pour adapter vos traitements informatiques.
Mais attention, la précipitation peut être mauvaise conseillère : du fait de l’application imminente du Règlement, il faut prendre garde à ne pas faire appel à n’importe qui.


Pour les entreprises B2B et B2C


Le RGPD s’applique aux deux types d’échanges sans distinction : l’adresse email professionnelle d’un individu est désormais considérée comme une donnée personnelle. Dans les deux cas, vous n’aurez le droit de contacter vos prospects seulement pour la/les raisons que vous aurez mentionné explicitement durant l’opt-in.

Le simple fait de passer votre site en https est un pas vers la conformité RGPD de votre site...

A qui le RGPD s’applique-t-il ?


A toutes les sociétés ou entités, quelque soit leur pays d’origine, collectant ou traitant les données de citoyens Européens. Cela concerne donc également les tierces parties comme les sociétés d’hébergement de données en ligne (cloud providers).


Est-ce que mon entreprise est conforme au RGPD ?


Répondez à quelques questions et évaluez le degré de conformité de votre entreprise face au RGPD. Ce quiz va vous donner un aperçu des démarches nécessaires que vous devrez réaliser afin d’être prêt pour le 25 mai 2018. Faire le quiz ! https://ultimategdprquiz.com


Comment votre entreprise doit s’adapter


1 - Désigner un pilote
2 - Cartographier vos traitements de données personnelles
3 - Prioriser les actions à mener
4 - Gérer les risques
5 - Organiser les processus internes
6 - Documenter la conformité


Quelles questions dois-je poser à mes prestataires en ce qui concerne le RGPD ?


  • Où sont stockées vos données et applications ?
  • Ces données ont-elle déjà été déplacées en dehors de l’Espace Economique Européen ?
  • Vos données ont-elle déjà été transférées vers un centre de données situé en dehors de l’Union Européenne ?
  • M’informez-vous systématiquement de tout transfert de données ?
  • Avez-vous un Délégué à la Protection des Données ?
  • Quelles procédures de management des risques et de contrôle des données avez-vous déjà mis en place ?
  • Est-ce-que votre gestion des révisions assure un niveau de sécurité suffisant des données ?
  • Qui peut avoir accès à mes données, sous quelles circonstances, et que peuvent-ils voir ? Cet accès est-il pisté ?
  • Puis-je contrôler vos mesures techniques et de sécurité sur la protection des données ?
  • Avez-vous déjà adhéré aux Binding Corporate Rules ?
  • Vos mesures de protection seront-telles compliantes à temps quand le RGPD prendra effet ?

Quelles sanctions en cas de non conformité ?


Pour assurer le respect de ce nouveau règlement européen, les sanctions mises en place en cas de non conformité sont rudes : en plus d’un impact évident sur la réputation, il faudra compter jusqu’à 20 000 000 € d’amende ou 4% du chiffre d’affaires mondial de l’entreprise non conforme.

Entre ces deux sanctions, ce sera celle dont la valeur est la plus élevée qui sera appliquée. Des sanctions qui seront appliquées dès le 25 mai 2018. À savoir qu’aucun délais supplémentaires ou période de transition ne sera accordée.


Mais je fais comment pour me mettre en conformité ???????!


Prenez le temps de vous renseigner et de faire les adaptations nécessaires ou contactez votre prestataire IT qui montera votre dossier et finalisera avec un conseiller juridique.


Bien faire apparaitre dans les mentions légales :


  • Le centre d’abonnement de vos utilisateurs (ou un lien direct vers celui-ci), afin qu’ils puissent s’inscrire ou se désinscrire de certaines communications.
  • Des informations de contact pour votre organisation afin que les utilisateurs puissent demander des changements ou des suppressions de leurs données personnelles.

Demander le consentement au traitement des données


Pour être conforme au RGPD, votre site internet doit alors permettre aux internautes de consentir au traitement de leurs données. Cette clause doit notamment être intégrée sur l’ensemble des services de votre site (Google Analytics, Adsense, Adwords, …) qui collectent et traitent les données suivantes :

  • Nom et prénom
  • Adresse IP
  • Données de localisation (traceur)
  • Adresse courriel
  • Adresse postale
  • Numéro de téléphone
  • Numéro d’identification / mot de passe
  • Données sensibles comme les données sur le physique des personnes, etc.

Exemple de mise en place d’un système d’acceptation d’utilisation de cookies :


Informer le visiteur un site conforme au RGPD


Que ce soit au niveau des mentions légales ou encore dans une autre partie de votre site, les internautes doivent pouvoir aisément trouver une liste de chaque cookie utilisé et de son utilité, ainsi qu’un outil permettant de les désactiver à tout moment.


Plugins, extensions de CMS, cartes et vidéos


Concernant les vidéos, les players, les cartes, et autres fonctionnalités insérées sur votre site, il est également recommandé de gérer des demandes de consentement car ces services collectent des données et parfois sans consentement préalable.


Astuce pour vos campagnes Newsletter


Si vous avez récupéré des emails pour vos Newsletters, sans que le propriétaire ai lui même enregistré ce dernier, voici comment rectifier le tire et devenir conforme RGPD.

Tadaaaaaaaaaaaaaaaam - Recopiez le texte suivant et envoyez-leur :


Dans le cadre de la RGPD applicable au 25 Mai 2018, nous vous informons de l’usage de vos données (votre e-mail professionnel et/ou personnel) :

Usage : Vous transmettre des informations sur nos systèmes ainsi que des offres promotionnelles.

Dans le cadre de la RGPD applicable au 25 Mai 2018, vous devez nous donner votre accord pour le traitement de vos données personnelles pour continuer à vous adresser nos mailings ou pouvoir vous y opposer.

Si vous souhaitez recevoir ces newsletters, vous pouvez vous inscrire immédiatement et automatiquement en cliquant sur le lien ci-dessous

Texte du lien

Si vous acceptez que vos données à caractère personnel soient conservées dans notre fichier, nous les sauvegarderons pour une durée strictement nécessaire à la gestion de la relation commerciale.

Vous bénéficiez également de l’exercice du droit de rectification d’accès direct et d’effacement des données personnelles. En tant que destinataire de nos e-mailing, vous avez le droit de nous demander, à tout moment et par le moyen que vous préférez :

  • De vous fournir toutes les données dont nous disposons sur vous.
  • De nous faire rectifier certaines données dans notre base qui vous paraîtraient incorrectes.
  • De nous faire exécuter votre droit à la portabilité de vos données.
  • De nous demander d’effacer définitivement toutes les informations qui vous concernent dans notre base de données, ce que nous exécuterons immédiatement.

D’autre part, nous vous informons que vos données sont sécurisées par nos soins et ne sont ou ne seront en aucun transmises à quelconque organisation ou autre entreprise.

Veuillez agréer, Madame, Monsieur, nos sincères salutations.

Bien à vous.

La Direction Commerciale de "Mon Entreprise qui le vaut bien"

LA RÉFORME DE LA PROTECTION DES DONNÉES POURSUIT TROIS OBJECTIFS :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

MISE EN CONFORMITÉ DU SITE INTERNET AU RGPD :

Mise à jour des mentions légales

Les mentions juridiques d’un site internet, pour qu’il soit conforme au RGPD, doivent être mises à jour. Le Règlement énonce également que les mentions légales propres aux traitements de données personnelles sur votre site internet doivent être fournies "au moment où les données sont obtenues".

Consentement éclairé pour le bandeau cookies

Certaines fonctionnalités incontournables d’un site internet (comme Google Analytics), pour qu’il soit conforme au RGPD, utilisent des cookies dont le dépôt sur le terminal nécessite le consentement de l’utilisateur. Le RGPD impose que ce dernier puisse revenir sur sa décision.

Politique de confidentialité

Les Politique de confidentialité doivent claires comme de l’eau de roche (bien analyser pour expliquer comment vous traitez vos données utilisateurs).

Votre page de politique de confidentialité, généralement située dans votre pied de page, doit désormais expliquer concrètement ce que vous faites avec ces données.

Faites-y donc apparaître :

  • Vos coordonnées, ainsi que l’éditeur du site, et son hébergeur.
  • Quel type de données vous récoltez lors de l’inscription ou de la commande sur votre site web : noms, prénoms, email, téléphone, adresse postale, adresse IP…
  • Pourquoi vous collectez ces données : communication par newsletters, facturation, suivi du comportement de l’utilisateur sur le site…
  • Combien de temps vous stockez ces données : vous pouvez garder les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
  • Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données. C’est ce qui nous intéressera dans l’étape 5 de cet article.

Minimisation des donnés collectées

Le RGPD rappelle qu’il est interdit pour un responsable de traitement de collecter des données personnelles sans lien avec la finalité du traitement. Il est également intéressant de vérifier si des données sensibles sont traitées sur son site internet pour qu’il soit conforme au RGPD.

Sécurisation accrue des données

La sécurisation des données des utilisateurs est au cœur de l’attention du législateur européen et un site internet conforme au RGPD passe par un audit complet de sécurité. Surtout qu’en cas de piratage, la CNIL peut obliger un responsable de traitement à avouer à ses utilisateurs que leurs données ont fuité !

Formulaires :

À chaque fois que vous ajouterez une case à cocher quelque part, celle-ci ne devra pas être pré-cochée ! L’objectif est que l’utilisateur donne à voir un consentement clair, et l’acte de cocher la case compte comme tel.

  • Rajouter une case à cocher indiquant que l’utilisateur consent à partager ses données (“J’autorise l’entreprise X à enregistrer mes données”)
  • Spécifier la raison de la récolte des données (“Entrez votre adresse email pour recevoir notre newsletter”)
  • Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment


Profitez-en pour découvrir quelques exemples de visites virtuelles Google Street View...

Des visites d'hôtels, restaurants, parcs de loisirs, magasins, mais aussi des visites insolites et créatives...

Contactez-moi


* Champs obligatoires.