Le RGPD, c'est quoi ?

Le Règlement général de la protection des données (RGPD) est un règlement européen valable dans toute l'Union européenne et portant sur la manière dont les entreprises et autres organisations doivent se comporter vis-à-vis des données personnelles. Il s'agit de l'initiative la plus importante pour la protection des données depuis 20 ans. Il a d'importantes répercussions pour toute organisation qui propose ses services aux citoyens de l'Union européenne.

Soucieux de permettre aux citoyens de contrôler la manière dont leurs données sont utilisées et de protéger « les droits et libertés des personnes physiques », ce règlement établit des exigences strictes en matière de procédures de traitement des données, de transparence, de documentation et de consentement utilisateur.

Toute organisation doit conserver une archive de ses activités de traitement des données personnelles et en effectuer le suivi.

En tant que responsables du traitement de données, toute organisation doit conserver une archive de ses activités de traitement des données personnelles et en effectuer le suivi. Cela concerne tant les données personnelles traitées au sein de l'organisation que celles traitées par des tiers. Ils doivent pouvoir rendre compte du type de données traitées, du but de leur traitement et des pays et des tiers auxquels les données sont transmises. Les données ne peuvent être transférées qu'à d'autres organisations conformes au RGPD ou à des organisations dont les juridictions sont jugées « convenables ».

Définition du RGPD :

Le RGPD définit les données personnelles comme étant « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Les identifiants en ligne tels que les adresses IP sont considérés comme des données personnelles, à moins qu'ils ne soient rendus anonymes. Les données personnelles de pseudonyme sont elles aussi soumises au RDPG à parti du moment où il est possible d'identifier de qui proviennent ces données par ingénierie inverse.

Tous les consentements doivent être conservés en tant que preuve que le consentement a été donné.

Dans le cas d'une fuite de données, l'entreprise doit être capable d'avertir les autorités responsables de la protection des données et les individus concernés dans un délai de 72 heures.

De plus, le RGPD oblige les autorités publiques et les entreprises qui manipulent des données personnelles sensibles à grande échelle d'employer ou de former un délégué à la protection des données (DPD). Le DPD doit prendre des mesures pour assurer la conformité à tous niveaux de son organisation avec le RGPD.


En pratique : que signifie le RGPD pour mon site ?

Votre site présente votre activité et votre entreprise. Vous proposez un formulaire de contact et éventuellement l’abonnement à une lettre d’information.L’idéal est de prendre en compte la protection des données dès la conception du site. Ainsi, par exemple, prenez bien soin que l’accès au contenu de votre site ne soit pas conditionné à l’abonnement à votre newsletter.

Quelques réflexes de base sont à retenir :
  • Vous devez posséder une page "Politique de confidentialité" qui précise la gestion et la conservation des données.
  • Vous devez posséder une page de mentions légales identifiant l’éditeur du site. Tous les sites internet, qu'ils soient édités à titre professionnel ou à titre non professionnel, doivent afficher des mentions obligatoires pour l'information du public. Commencez déjà par utiliser un générateur gratuit de mentions légales RGPD. En quelques minutes, vous pourrez ainsi générer vos mentions compatibles RGPD. Vous n’aurez ensuite plus qu’à les relire soigneusement et y apporter les dernières modifications que vous jugerez nécessaires avant de les publier sur votre site. En cas de doute, tournez vous vers les experts de Domaine Legal qui vous apporteront une expertise juridique. Pour en savoir plus : Article « Quelles sont les mentions obligatoires sur un site internet ? ».
  • Un lien dans le footer (bas de page de votre site) qui pointe vers les pages Mentions légales et un autre vers votre Politique de confidentialité
  • Sur tous vos formulaires de contact et à tous les endroits où vous recueillez des données, vous devez demander à votre webmaster de rajouter une case à cocher pour demander le consentement des internautes quant à la collecte de leurs données. Attention, la case ne doit pas être pré-cochée. Vous pouvez alors y associer un texte qui peut être le suivant: « j’ai lu et j’accepte la politique de confidentialité». Et au même endroit, vous devez prévoir le lien vers votre page « politique de confidentialité ».
  • Si votre site utilise des cookies, il faudra prévoir un bandeau de cookie, qui s’affiche lorsqu’un internaute arrive sur le site. Par exemple, si Google Analytics (outil de mesure statistique) est installé sur votre site, c’est à faire.
  • Un moyen de contact pour que les personnes puissent exercer leurs droits par voie électronique ;
  • Enfin, nous préconisons que l'ensemble du site soit sécurisé : l’ensemble du parcours de visite doit être en https.

Attention, une case pré-cochée n'est plus acceptable ; de même l'acceptation des conditions générales ne vaut pas de consentement.

Si votre site web dessert des personnes originaires de l'UE et que vous ou des services tiers intégrés (tels que Google et Facebook) manipulez des données personnelles, quel qu'en soit le type, vous devez obtenir un consentement préalable de la part de chaque visiteur.

Pour obtenir un consentement valable, vous devez, avant toute manipulation de données personnelles, décrire l'étendue et la finalité des opérations que vous effectuez sur les données dans un langage facilement compréhensible par les visiteurs.

Tous les consentements doivent être archivés et tout suivi des données personnelles (y compris de la part de services tiers intégrés) doit être documenté, de même que la liste des pays auxquels les données sont transmises.

En fonction de votre métier, de l’exploitation des données, il vous faudra peut être recourir aux services d’experts.

______

et sur les réseaux sociaux ?

Depuis Twitter, Facebook, et autres réseaux sociaux, prévoyez :

  • de rendre accessible un article ou un lien qui mène vers une page d’information sur les droits. Anticipez les effets d’une opération de communication en ligne (emailing par exemple) ;
  • une réponse type aux internautes mécontents, qui exerceraient, par exemple leur droit d’opposition. La réactivité et l’efficacité de votre réponse contribuent à votre réputation en ligne (ou e-reputation).

______

Ressources

Conformité et exigences du RGPD : cours, formations et certifications RGPD

Vous pouvez obtenir les certificats Fondation RGPD UE (EU GDPR F) et Praticien RGPD UE (EU GDPR P), tous deux accrédités ISO 17024 via diverses formations comme celles proposées par exemple par IT Governance. L'Association internationale des professionnels de la confidentialité (IAPP) fournit elle aussi des cours en ligne.

______

Logiciel de conformité au RGPD :

Il existe de nombreux outils, cadres et logiciels qui vous aideront à vous conformer aux exigences du RGPD, comme le DPOrganizer, qui propose de vous aider a organiser vos données en pleine conformité.

______

Liens utiles :

...

Hélène Le Goff

Designer et Directrice Artistique. Spécialiste du Design et de la création d'univers de marque en 360°. Major de promotion de l'Institut Supérieur des Arts Appliqués, Mention excellence.