Qu’est-ce que le RGPD (Règlement Général sur la Protection des Données) : Comment se mettre en conformité ?

Accueil » Blog » Qu’est-ce que le RGPD (Règlement Général sur la Protection des Données) : Comment se mettre en conformité ?
RGPD - Conformité

19 mar Qu’est-ce que le RGPD (Règlement Général sur la Protection des Données) : Comment se mettre en conformité ?

Vous disposez d’un site Internet, d’un Extranet, d’un Intranet ou encore de base de données et vous vous demandez comment vous en sortir avec la mise en place du RGPD ? Ne paniquez pas !  Même si l’apparente complexité de ce nouveau règlement sur la protection des données peut vous freiner, vous n’aurez pas le choix, il faudra s’adapter. Afin de vous éclairer dans ce brouillard, l’équipe d’experts Némésis studio vous donne dans cet article les premières pistes à suivre pour enclencher dans le bon sens votre mise en conformité.

Informations Générales sur le RGPD

Dans cet article, notre équipe va vous expliquer les tenants et aboutissants pour mettre votre outil de communication en conformité avec le RGPD. Mais afin de bien comprendre de quoi il s’agit, voici une explication vous présentant les grandes lignes de ce règlement.

Qu’est-ce que le Règlement Général sur la Protection des Données ?

Le RGPD est un règlement européen pour la protection des données. A partir du 25 mai 2018, ce règlement obligera les entreprises et les administrations à respecter certaines règles concernant le traitement des données personnelles des usagers ou utilisateurs.
A noter : ce règlement, bien qu’européen s’appliquera à toutes les organisations (hors Europe) dès lors qu’elles traiteront des données européennes.

Les 6 étapes à suivre pour vous mettre en conformité :

Pour aider à l’organisation de la mise en œuvre du RGPD, la CNIL préconise une méthode à suivre en 6 étapes. Vous en trouverez les grandes lignes ci-dessous :

1 . Désigner un pilote :

Ce pilote sera une sorte de chef d’orchestre qui mettra en œuvre le RGPD. Il aura une mission d’information, de conseil et de contrôle. Plus précisément, il est également appelé le délégué à la protection des données. Soyez vigilent, son choix est très important.

2 . Cartographier :

Recensez la façon dont votre société traite actuellement les données personnelles. Cela vous permettra d’établir un constat et de savoir quelles modifications vous devez apporter.

3 . Prioriser :

Établissez un registre des traitements de données et grâce à ce dernier, identifiez les actions à mener. Priorisez-les en fonction des risques que font peser vos traitements sur les droits et libertés de vos utilisateurs.

4 . Gérer les risques :

Si lors de votre étude vous constatez que certains traitements génèrent des risques élevés, procédez à une analyse d’impact sur la protection des données.

5 . Organiser :

Mettez en place des procédures internes garantissant la prise en compte de la protection des données à tout moment (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, changement de prestataire, etc.).

6 . Documenter :

En cas de contrôle vous devrez prouver votre bonne conformité. Pour cela regroupez la documentation nécessaire (actions, documents et formations, étape par étape).

Sachez également que la CNIL a mis en place différents outils pour vous expliquer la mise en conformité. N’hésitez pas à vous documenter sur les 6 étapes pour se préparer au RGPD, notamment via ce dossier de la CNIL : Règlement européen sur la protection des données personnelles se préparer en 6 étapes.

Les sanctions en cas de non-respect :

Tout manquement à la réglementation mérite sanction aux yeux de la CNIL et du Parlement Européen. Ce dernier a ainsi défini des sanctions graduelles qui seront appliquées par la CNIL en France.
En cas de non-respect du RGPD, la CNIL pourra :

  • Alerter la société contrevenante et lui demander de corriger les irrégularités.
  • Suspendre temporairement ou définitivement le traitement des données (très pénalisant pour certains secteurs travaillant avec les données personnelles).
  • Infliger de lourdes amendes administratives (selon l’infraction entre 2% et 4% du chiffre d’affaires mondial ou jusqu’à 10 et 20 millions d’euros) si aucune rectification n’est effectuée ou s’il y a eu violation des droits et libertés définis par la loi Informatique et Libertés.

De plus, sachez que des dommages et intérêts pourront être demandés si une personne touchée par une violation de ses données décide de porter plainte.
Outre l’aspect financier, il convient également de considérer l’impact négatif que peuvent avoir ces sanctions sur l’image de la société. En atteste le récent scandale de détournement de données de Facebook qui a value à la firme américaine une chute brutale de ses capitaux.

A noter : concernant les traitements de données antérieures au 25 mai 2018, les entreprises disposent d’un délai de deux ans pour se mettre en conformité. Ce qui laisse une petite marge de manœuvre pour effectuer les démarches nécessaires.

Comment mettre votre site Internet / Extranet / SAAS en conformité ?

Avant de répondre à cette question, nous tenions à vous indiquer que les principales recommandations du RGPD ne sont pas nouvelles. En effet, les principes relatifs aux données à caractère personnel sont présents dans la loi Informatiques et Libertés de 1978. Le RGPD vient « enrichir » une loi déjà existante en informatique.

Demander le consentement des internautes

La définition du consentement par le RGPD est la suivante « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.». Si cette définition ne vous semble par explicite, voici les principales informations à retenir :

 

Le consentement doit être libre :

Comprenez par là qu’il doit être donné sans contrainte et pouvoir être retiré à tout moment. Exemple : Votre site dispose d’une barre d’information sur les cookies disant « En navigant sur notre site, vous acceptez l’utilisation des cookies – En savoir plus ». Si vous conservez cette barre telle quelle, vous ne respectez pas le RGPD. Pour vous mettre en conformité, votre barre de cookie doit plutôt mentionner le message suivant :

 

RGPD exemple barre de cookies conforme

Dans ce cas, tant que l’internaute n’a pas cliqué sur « Oui », vous ne pouvez pas utiliser les cookies.

 

Le consentement doit être éclairé :

En d’autres termes, la rédaction de votre demande de consentement doit-être claire. Tout utilisateur doit pouvoir la comprendre afin de décider de sa réponse en connaissance de cause. Simplicité et non complexité ! Pour cela, l’ajout d’une partie spécifique dans les mentions légales nous semble le plus pratique. Pour chaque demande de consentement, on ajoute un lien menant à un paragraphe décrivant quelles informations sont demandées, pour qui, pourquoi, pour combien de temps et comment modifier son consentement.

A noter : les mineurs font l’objet d’un traitement spécifique. Les enfants de moins de 13 ans ne peuvent pas donner eux-mêmes leur consentement. Par ailleurs, pour ceux âgés de 13 à 15 ans inclus, le consentement parental est en règle générale réclamé.

 

Le consentement doit être spécifique :

Le RGPD entend par là qu’un consentement global pour votre site ne peut convenir. Par conséquent, il faut que pour chaque finalité différente, un consentement différent soit validé par l’utilisateur.

Exemple : vous ne pourrez plus demander l’autorisation à l’internaute d’utiliser son adresse email de cette façon « En cochant cette case, vous autorisez notre entreprise à vous envoyer sa newsletter ainsi que des mails de promotions et à transmettre votre e-mail à ses partenaires. Il faudra désormais avoir plusieurs cases à cocher (et non pré-cochées). Exemple :

RGPD demande de consentement formulaire de contact

La preuve du consentement :

Par ailleurs, en plus de l’obligation de recueillir le consentement de l’utilisateur, le RGPD vous impose d’en conserver la preuve. C’est au responsable du traitement d’apporter cette preuve. Afin d’être certain de la conserver convenablement la CNIL indique que « la preuve du consentement nécessite trois éléments : ce à quoi la personne a consenti, le moment où elle a consenti, qui a consenti ».

 

La durée du consentement et de conservation des données :

Contrairement au consentement mis en place pour les Cookies qui a une valeur de treize mois, celui pour la collecte des données varie. En effet, cette durée dépend de la nature des données et des finalités poursuivies.
Les données personnelles doivent ainsi être conservées uniquement le temps nécessaire pour accomplir l’objectif défini lors de la collecte des données. Ainsi, en dehors des données devant faire l’objet d’un archivage, toutes les données ne présentant plus d’intérêt doivent être supprimées.
Par exemple, les coordonnées d’un prospect qui n’aurait pas donné suite à vos sollicitations depuis 3 ans doivent être supprimées. A contrario, un bon de commande et une facture (format numérique ou papier) sont des pièces justificatives qu’il faut garder 10 ans.

 

Retirer son consentement :

L’utilisateur de votre site Internet doit pouvoir à tout moment retirer son consentement. La CNIL estime que le retrait du consentement doit se faire par le même canal que celui utilisé pour le donner. Par exemple, sur un site internet, une partie dans les mentions légales pourrait être ajouter pour formuler une demande de retrait de consentement à l’administrateur du site.

Le cas des formulaires :

Certains d’entre vous peuvent se dire que si un utilisateur rempli un formulaire de son plein gré c’est forcément qu’il y a consentement. Et bien sachez que non ! Il vous faudra spécifier pour chaque formulaire la durée de conservation des données et leurs buts. Pensez également à indiquer si vous conservez les adresses IP.
Voici un exemple concret. Un visiteur rempli le formulaire de contact de votre site pour une demande d’information. Vous répondez à sa demande. Dès lors, la CNIL considère que la conservation n’a plus de but puisque vous avez répondu. Cependant certaines entreprises conservent ces données dans des bases pour faire du mailing ou du marketing. Dans ce cas, vous devrez demander l’accord à l’internaute de conserver son adresse e-mail afin de lui envoyer des newsletters. Vous devez également indiquer dans vos mentions légales la durée pour laquelle vous allez conserver ces données.

Le cas des logs serveur :

Concernant les logs serveurs, il n’y a pas d’obligations légales liées la demande de consentement pour la conservation des données. Néanmoins la loi informatique et libertés vous oblige à en faire mention dans vos mentions légales.

RGPD : Etude de cas sur un site Internet / mise en place technique :

Si tout va bien et que votre site actuel est conforme avec la loi sur les Cookies alors ne paniquez pas. Le travail est à 90% le même. Toutefois, des difficultés pour vous mettre en conformité peuvent survenir si vous utilisez des produits annexes sur votre site internet (plugin, code embarqué, interconnexion). En effet, si ces outils ne sont pas conformes au RGPD, alors votre site (qui les utilise) n’est pas conforme non plus.

Prenons l’exemple simple d’un site sous WordPress. Tant que tous les plugins utilisés par le site n’auront pas été mis à jour pour le RGPD, vous ne pourrez pas être en conformité. Certaines fonctionnalités de base de WordPress pourront devenir complexes à utiliser, comme par exemple l’insertion de vidéo YouTube ou d’une carte GoogleMaps car elles insèrent directement le code des services. En effet, dans ce cas il y aura donc récupération et collecte de données sans demande préalable de consentement.

Concernant les sites qui verront le jour à partir du 25 mai 2018, la mise en conformité avec le RGPD devra être pensée dès la conception du site. En effet, le RGPD ajoute un nouveau concept : le « Privacy by design ». Ce dernier apporte une sorte de « processus qualité ». Il encourage les entreprises à prendre en considération les problématiques des données personnelles dès la conception des outils.

L’expertise Némésis studio

Vous vous dîtes que la quantité de travail va être importante ? Vous n’avez pas tort !
Vous vous dîtes que c’est compliqué ? Vous n’avez pas tort !
Sachez que votre prestataire digital a l’obligation de vous informer de votre devoir de mise en conformité. Même si l’agence n’est pas responsable, elle doit vous prévenir car vous êtes gestionnaire de votre site. Et qui dit gestionnaire dit responsable du traitement des données.
En dernier lieu, Némésis studio, comme tout prestataire de service, deviendra co-responsable auprès de la CNIL en sa qualité de sous-traitant pour ce qui est relatif au traitement des données sur les outils que nous développons.

Comme nous l’indiquons souvent dans nos articles, Némésis studio vous donne des clés pour avancer et vous mettre en conformité.  Grâce à leur expérience dans le domaine digital, nos experts vous accompagnent dans la mise en place de cette nouvelle législation. Besoins de nos services ? Des questions ? Nous vous invitons à contacter notre équipe d’experts Némésis studio.