La nouvelle RGPD – réglementation européenne sur la protection des données personnelles – va rentrer en vigueur dès le 25 mai 2018 ! C’est donc une bonne occasion pour revenir sur l’impact que cette réforme aura sur la gestion des sites, celle des données et aussi les obligations qu’elle va engendrer.
Cette réforme aussi attendue que redoutée a trois objectifs clés au niveau de la protection de la vie privée ainsi que l’utilisation des données personnelles. En premier lieu, il est question de redonner aux citoyens le contrôle de leurs données personnelles et cela passe par exemple par le droit à l’oubli ou la protection de la vie privée. Secundo, cela doit inciter les entreprises à devenir garantes du respect de la vie privée et de se responsabiliser. Dernier objectif : harmoniser la réglementation européenne et rendre aussi plus cohérentes l’action des autorités de contrôle.
Cette réforme prévoit aussi des sanctions administratives assez lourdes, pour les entreprises qui ne respecteront pas la RGPD. On parle d’amendes pouvant atteindre les 20 M€ ou bien les 4 % du CA. Pour information : c’est le montant le plus élevé qui sera retenu quoi qu’il arrive ! Sur le papier, la RGPD est soumis à toutes les entreprises de plus de 250 salariés, mais elle concerne en réalité toutes les entreprises amenées à collecter et traiter des données à caractères personnelles. Vous l’aurez compris c’est donc toutes les entreprises utilisant un site web ainsi que les e-commerçants qui seront concernés.
Quelles obligations pour les entreprises ?
Différentes obligations vont s’imposer aux entreprises. En premier lieu, celle de créer et mettre à jour un registre des activités de traitement des données. Cet outil de pilotage va permettre une protection des données, à faciliter la gestion des demandes des utilisateurs types consentement, modification ou suppression et aussi de préciser la mesures de sécurités à adopter ; si piratage il y a ! La deuxième obligation concerne les autorités de contrôle qui devront être alertées immédiatement en cas de violation des données à caractère personnel. Les entreprises auront aussi une norme à respecter en matière de conception de produit ou de service en conformité avec le respect de la vie privée « Privacy by design ». Reste, la conservation de la preuve du consentement une fois celui-ci obtenu ! En effet, cela va devenir systématique… Les entreprises devront OBLIGATOIREMENT demander aux utilisateurs leurs consentements pour le traitement de leurs données personnelles. La RGPD est très clair là-dessus, elle veut apporter plus de transparence dans l’utilisation de ces dernières. À juste titre, puisque les utilisateurs sont propriétaires de leurs données et ont le droit de savoir la finalité du traitement de celles-ci.
Détenteurs de sites web : Par quoi commencer ?
Le premier des gros chantiers sera celui de la demande du consentement. Cela est obligatoire avant la moindre collecte et traitement des données personnelles. Pour rappel les données concernées sont les suivantes :
- Le nom et prénom
- L’adresse email
- Le numéro de téléphone
- L’adresse postale
- L’adresse IP et les données GPS (c’est-à-dire les données de localisation)
- Les Cookies
- Le numéro d’identification ou identifiants
- Les données sensibles : informations relatives à l’identité physique, psychique, génétique ou économique
Cette demande de consentement doit être valable pour l’ensemble des services de votre site web, qui vont collecter et traiter des données. Il s’agit par exemple de Google Analytics, Adsense, Adwords, Facebook ou encore Twitter. D’autres parts, pour la gestion des données dites sensibles, la CNIL recommande d’avoir recours au cryptage ou à l’anonymisation des données. Plus couramment on appelle cela la pseudonymisation. À savoir aussi, pour le cas des mineurs de moins de 16 ans, le consentement d’un parent (ou tuteur légal) devient obligatoire. Sur le site du CNIL, il vous sera possible d’avoir le meilleur aperçu de la façon dont vous pouvez intégrer le consentement dans votre site. Vous pourrez constater qu’il y a différentes modalités pour la demande de consentement et qu’elle peut être effectuée de manière segmentée ou plus globale.
L’un des autres points importants c’est aussi de garder la preuve et la durée de ce consentement. À ce sujet, la RGPD stipule qu’il est obligatoire de conserver la preuve du consentement mais reste plus vague sur la forme sous laquelle doit être conservée ladite preuve. La durée quant à elle n’a pas de limite de validité, tant que l’utilisateur n’a pas effectué de demande de modifications des conditions d’utilisation de ses données personnelles.
Pour ce qui est des formulaires il sera aussi nécessaire d’indiquer la durée de conservation des données et les finalités du traitement des données. Cela doit dans l’idéal apparaître au niveau des mentions légales, dans une section dédiée au formulaire. Attention elles doivent être facilement accessibles depuis les formulaires. Une seule section pour tous les formulaires devrait être suffisante sauf si l’un des formulaires implique une autre finalité du traitement des données ou une durée de conservation des données qui va différer. Pour la question des adresses mails collectées grâce au champ d’inscription à la newsletter, il n’y a pas de limite de durée de conservation tant que l’utilisateur ne fait pas de demande de suppression ou désabonnement.
Enfin, il reste les plugins, les extensions de CMS, etc. C’est l’un des gros problèmes… Gardez en tête que les plugins installés sur votre site – comme par exemple sous WordPress– et qui ne seront pas aux normes RGPD, ne pourront plus être utilisés ! La mise à jour est une fois encore OBLIGATOIRE ! Idem pour les services natifs de WordPress comme l’insertion d’une Twitter Card. Cette problématique risque d’intervenir aussi pour l’insertion des vidéos Youtube, du player Calameo ou des cartes Google Map.
Il apparaît évident que l’arrivée très prochaine de la RGPD représente un grand chantier pour les entreprises présentent sur le web en 2018. Rollingbox vous conseille dès maintenant à réfléchir à la meilleure manière d’intégrer cette nouvelle réglementation à votre site web. Auquel cas, nous pouvons vous aider pour mettre à jour les normes RGPD sur votre site web ! N’hésitez pas à nous consulter !
Partager la publication "RGPD : Quels impacts pour vos sites web ?"
