Réflechir au RGPD
J’entends souvent depuis 2 ans parler du RGPD ou règlement général sur la protection des données, voir du GDPR, mais c’est quoi ce RGPD ?
Cet acronyme un peu barbare est un règlement européen, qui, pour les utilisateurs que nous sommes, permet de mieux nous protéger, autorise beaucoup moins de choses concernant les données qui nous appartiennent, que nous mettons à disposition sur internet, à savoir, nos données personnelles.
Ce règlement est entrée en application le 25/05/2018. Il existe aussi sous l’acronyme GDPR (General Data Protection Regulation).
Nous allons essayer d’expliquer en quoi il consiste (car le sujet est très vaste), ce qu’est une donnée personnelle, comment ce règlement nous protège mieux aujourd’hui, en tant que consommateur, mais aussi ce que doit contenir votre site, afin d’être le plus conforme possible à ce règlement.
Les éléments ne sont que des éléments informatifs, je ne suis ni juriste, ni avocat. J’ai travaillé en tant qu’expert technique chez un gros éditeur de logiciel lyonnais pendant 18 mois sur le RGPD. J’ai pas mal de connaissances , je suis aussi DPO déclaré à la CNIL, mais ce que j’explique ne vous interdit pas de consulter un avocat, beaucoup plus à même de répondre à toutes vos questions.
Mais c'est quoi en fait une donnée personnelle ?
C’est assez simple et en même temps complexe. Je vais essayer de vous expliquer, mais n’étant pas juriste, je vous conseille de prendre conseil auprès d’un avocat si vous avez des questions plus techniques qui ne sont pas abordés ici.
Une donnée personnelle est une donnée qui vous concerne, que ce soit votre nom, votre prénom, mais aussi votre adresse, votre N° de Sécurité sociale ou votre plaque d’immatriculation.
Sur internet, votre mail (pro ou perso), vos likes, les photos que vous publiez, vos videos, par exemple sont aussi des données personnelles.
Depuis le 25/05/2018, leur utilisation est mieux encadrée, et cela n’est pas sans effet sur la construction de vos sites internet.
Pour que votre site soit à peu près conforme au RGPD, vous devez respecter certains éléments :
Elements à respecter
- Vous devez informer l’utilisateur sur la manière dont vous allez utiliser la donnée que vous collectez (cela s’appelle la finalité).
-
- Pour cela un message à l’entrée de votre site sur la politique de confidentialité est nécessaire.
- Vous devez spécifier dans un document (votre politique de confidentialité) les éléments que vous collectez, pour que le visiteur de votre site sache ce que vous allez conserver, mais surtout comment vous allez les utiliser.
- Vous devez tenir un registre des processus qui contiennent de la donnée personnelle, idéalement par personne) en cas de contrôle.
- Vous devez indiquer pour chaque type de données, leur durée de conservation et les sécurités mises en œuvre pour protéger ces données.
- Si vous êtes attaqué ou que vous avez une fuite de donnée, vous devez en informer les utilisateurs sous 48 heures, ainsi que la CNIL. C’est pour cela que l’on entend parler de plus en plus souvent de fuites de données (Facebook, etc).
- Vous devez permettre à n’importe quel visiteur d’accepter ou non les cookies qui sont présentx sur votre site.
- Les cookies doivent obligatoirement être afficher dans un popup ou une partie d’écran à la première visite, et ne devront pas avoir une durée supérieure à 1 an, le visiteur doit aussi pouvoir accepter ou non chaque cookies (pas de case à cocher de validation pour la totalité).
- Votre visiteur doit pouvoir modifier ses choix à tout moment (d’où le choix de politique de confidentialité).
- Il doit aussi disposer d’un espace lui permettant d’exercer ses droits vis-à-vis de ses données :
- Droit de consultation
- Droit d’effacement (appelé aussi droit à l’oubli). Cet effacement ne doit pas influer sur le fonctionnement de votre site, si jamais la donnée venait à être absente.
- Droit de modification
- Droit d’exportation (appelé aussi droit de portabilité). Vous devez disposez d’un module d’export de toutes les doénes concernant l’utilisateur dans un format lisible par un ordinateur (idéalement un CSV, mais la génération d’un fichier PDF est aussi possible. Le règlement ne précise aucune extension de fichier pour cette fonctionnallité).
Grosses Evolutions liées au RGPD depuis le 25/05/2018
Une des révolutions du RGPD, c’est sa portée, élément très bénéfique pour les utilisateurs que nous sommes.
Avant son entrée en application, les règles ne devaient être respectées uniquement par des entreprises qui disposaient d’un établissement sur le territoire national.
Le RGPD a inversé les règles. Aujourd’hui il s’applique dès que la donnée concerne un membre résident dans l’Union Européenne.
Donc peu importe l’entreprise qui utilise outraite la donnée (Europe, Etats-Unis ou Afrique) par exemple, à partir du moment où la donnée concerne un résident de l’Union Européenne, le règlement s’applique. C’est pour cela que vous avez dû revalider à partir du 25/05/2018 beaucoup de nouvelles politiques de confidentialité sur vos sites habituels, ou que l’on vous a demandé de ressaisir ou confirmer des éléments dans vos profils utilisateurs.
Ce qui change aussi avec le RGPD c’est le montant des sanctions. Avant l’application du RGPD, la CNIL (notre gendarme français du net) pouvait au maximum infliger des amendes de 150 000€. Vous vous rendez bien compte qu’un membre du GAFA (Google, Apple, Facebook, Amazon) pouvait se permettre de ne pas appliquer les règles précédentes sur les données personnelles.
Aujourd’hui cela change. On passe à 10 Millions d’euros minimum ou 2% du CA Monde (on prendra le plus gros montant des deux), et cela peut aller jusqu’à 20 Millions d’euros ou 4% du CA Monde. Si une fuite de donnée se produit par exemple chez Google, avec un CA 2017 de 110 Milliards de $, le montant de l’amende pourrait atteindre 4.4 Milliards de $. Autant dire que les cartes sont redistribuées. Tous ces acteurs du web ont du coup fait travailler leurs juristes, leurs data-analystes, et leurs développeurs afin de cartographier la donnée au sein de leur système d’information, et de corriger si besoin leurs textes et processus pour être au plus près du règlement.
Mettre en conformité son site
Sur les sites que vous construisez, en fonction de ses caractéristiques (site vitrine, ou site Ecommerce), vous allez devoir effectuer différentes taches afin qu’il soit le plus conforme possible. Cette liste est évolutive, à vous de vous renseigner (Google sera souvent votre ami) si je n’ai pas balayé votre cas.
Pour être à minima dans les clous, vous devez effectuer les opérations suivantes :
- Définir les traitements qui vont collecter de la donnée personnelle
- Cartographier la donnée et définir de la manière la plus précise possible son utilisation.
- Définir les objectifs de la collecte pour chaque donnée
- Qui pourra utiliser la donnée (si vous faites appel à des fournisseurs externes (des sous-traitants du type fournisseur d’expédition de mail qui accède à la liste des mails de vos utilisateurs, etc)
- Vérifier si les donnes sortent de l’Union européenne et de ce fait vérifier si le pays est sur la liste des pays adéquats ou non (liste disponible dans le modèle de registre de la CNIL).
- Si vous voulez être le plus conforme possible et que vous travaillez en équipe sur les sites de vos clients, des droits d’accès devraient être mis en place pour par exemple que les designers n’accèdent pas aux données du client, etc.
- si vous vous en sentez capable, vous exercerez le rôle de DPO Pour votre site ou pour vos clients. A défaut vos clients devront en choisir un, en interne ou en externe, pour garantir un contact technique et juridique a même de gérer ce sujet sensible de la protection des données.
- La personne en charge de la gestion des données personnelles doit disposer d’une adresse mail du type “dataprivacy@votredomaine.xxx” pour ne pas mélanger les mails classiques avec ceux spécifiques à la protection des données)
Pour rappel, voici déjà les éléments que vous devez afficher sur votre site :
- Mentions légales
- Politique de cookies
- CGU ( si vous ne vendez rien)
- CGV si vous vendez quelque chose
- Politique de confidentialité qui est nouveau depuis l’application du règlement
Ce à quoi vous devez penser
Commençons par les éléments simple, à savoir les commentaires.
Les commentaires dans vos articles par exemple stockent l’identifiant de l’utilisateur. Il faudra expliquer comment cet identifiant est utilisé (referencement des utilisateurs qui laissent des commentaires).
Vous avez peut-être une newsletter. Et bien pourquoi collecter le nom de l’utilisateur en plus de son email ? Car oui pour une newsletter, seul l’email est nécessaire. Si vous collectez une autre info que l’adresse email il faudra expliquer pourquoi.
Concernant un site de vente en ligne, la partie qui concerne la collecte des infos comme l’adresse le nom, prénom, etc sont régies par le code du commerce comme étant des éléments nécessaires au processus de facturation. Leur délais de conservation est de 6 ans.
Concernant les donnes des prospects, depuis le 25/05/2018, vous ne pouvez plus utiliser les données d’un fichier que vous auriez acheté. En effet sans l’accord des personnes présentes dans le fichier, vous ne disposez pas de leur accord pour utiliser leurs données.
Si vous avez des données qui concernent des prospects, et que vous n’avez pas réussi à prendre un contact réel avec le prospect (appel téléphonique du prospect ou rendez vous), les donnes de plus de 3 ans le concernant devront être effacées.
Pour collecter par exemple une date d’anniversaire vous devez avoir un processus d’offre promotionnelle à la date anniversaire par exemple. A défaut pas de collecte de date d’anniversaire autorisée.
Bien évidemment pas le droit de collecter les donnes dites sensibles comme la religion, la couleur de peau, les origines ethniques, les préférences politiques, ou un N° de sécurité sociale, mais aussi les données de santé d’une personne, tout comme des données de biométrie (durée de conservation différente des autres données), etc.
Vous pouvez vous réfèrer au texte légal intégralement expliqué par un cabinet d’avocats sur le lien suivant .
Maintenant que vous avez compris ce que vous pouvez ou non collecter et comment gérer la collecte, vous devez avoir à l’esprit que vous devez disposer de moyens qui vous permettent de manière simple de :
- Modifier les éléments collectés
- Pouvoir les effacer en cas de demande de la personne propriétaire de la donnée
- Que vous devez vérifier l’identité du demandeur (copie cni par exemple) qui sera effacée une fois la demande traitée
En cas d’effacement ne pas perdre de vue que cela ne doit pas perturber le fonctionnement de votre site
Si vous êtes très orienté marketing, n’oublier pas que l’envoi de sms sur des n° de téléphone sans l’accord du destinataire est interdit.
La cnil a reçu plus de 11 000 plaintes depuis la mise en place du RGPD fin mai 2018.
Je vous mets à disposition le lien vers le registre édité par la CNIL
Ainsi qu’un exemple Excel de registre fourni aussi par la CNIL.
Quand vous aurez fait toutes ces démarches, vous aurez au moins passé 15 jours et pas cliqué une fois pour construire votre site.
Et vous verrez qu’au fur et à mesure de la construction du site, vous compléterez vos processus et adapterez tout ces éléments en conséquence.
Bon courage tous
Liens Utiles
Vous pouvez vous référer aux différents liens suivants si vous voulez en savoir plus sur le RGPD :
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
https://www.cnil.fr/fr/comprendre-le-rgpd
https://www.cnil.fr/fr/textes-officiels-europeens-protection-donnees
https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd
