L’utilisation abusive des données personnelles par de nombreux géants d’internet a entraîné de nombreuses questions auprès des consommateurs au sujet de l’utilisation et de la revente de leurs données personnelles. Cependant, depuis le 25 mai 2018, la loi qui régit le Règlement général sur la protection des données aussi connue sous le terme RGPD permet de protéger les consommateurs de ces utilisations abusives. Ainsi, ils doivent savoir qui utilise leurs données, qu’ils comprennent pour quelles finalités et qu’ils acceptent ou non ces conditions. De plus, ils devront avoir à leur disponibilité un responsable du traitement de toutes les données collectées, et traitées. Cela touche, donc, la protection des données personnelles.
Cependant, ces nouvelles règles ne touchent pas que les plus grands groupes et concernent l’ensemble des entreprises, même celles de petites dimensions. Alors, comment mettre son activité conforme à cette loi sans avoir besoin de faire appel à un professionnel souvent trop coûteux pour que votre entreprise puisse le supporter.
Quels sont les changements apportés par la RGPD?
Depuis 2018, la simple rédaction des pages, comme les obligations légales, en petits sur ses sites internet ne suffit plus, et les utilisateurs ne peuvent pas être forcés d’accepter les conditions pour s’inscrire. De plus, la loi force les entreprises à être claires et explicites sur ce qu’elles vont faire de nos données comme le nom, l’adresse, la localisation, l’adresse IP, etc. Les utilisateurs pourront également à tout moment demander la liste exhaustive des informations recueillies et de limiter les actions sur celles-ci. Cette loi protège toutes les personnes de l’Union européenne même si elles sont dans un pays étranger.
Attention, si vous faites appels à des sous-traitants, à des prestataires, les données collectées seront toujours sous votre responsabilité, ou celle de votre DPO (délégué à la protection des données) selon la le CNIL (Commission Nationale de l’Informatique et des Libertés) et la Loi informatique et libertés. Vous aurez donc besoin d’un droit d’accès pour toutes les données conservées concernées.
Quelles sont les sanctions en cas de non-respect des normes RGPD ?
En cas de non-conformité, les amendes autour du RGPD sont lourdes et très dissuasives. Lorsque les traitements de données des personnes concernées sont de caractères sensibles, elles peuvent atteindre des sommets de 20 millions d’euros sans problèmes ou encore jusqu’à 4% du chiffre d’affaires global de l’entreprise. De quoi faire peur à une entreprise individuelle aux plus grandes multinationales. L’amende est cependant progressive en fonction de la gravité de la faute et commence à 2% du chiffre d’affaires global. Alors, assurez-vous d’être à jour dans votre obligation légale, mais aussi dans la sécurité des données transmises par votre clientèle, même lors de la prospection commerciale.
Quelles sont les obligations imposées par la RGPD ?
- Créer et mettre à jour un registre des activités de traitement des données
- Demander le consentement des utilisateurs et être capable d’en fournir la preuve
- Concevoir des produits ou des services conformes au respect de la vie privée
- Alerter la CNIL en cas de violation des données à caractère personnel
- Nommer un délégué pour la protection des données
Rendre son site web conforme aux normes RGPD
1. Demander le consentement de vos utilisateurs
C’est la première chose à faire avant de collecter les données de vos utilisateurs pour toutes personnes physiques ou morales. La demande de consentement doit se faire auprès de chacun des services de votre site web comme les Newsletters par exemple, Adwords, Adsense, Google analytics, Facebook où encore Twitter. Pour la protection des données à caractère sensible, la CNIL recommande de crypter ou d’anonymiser ses données. Pour les personnes de moins de 16 ans, il faudra le consentement d’un parent ou d’un tuteur légal. N’hésitez pas à vous référer au site de la CNIL pour plus d’informations sur ce règlement européen.
Mais comment faire la demande de consentement ? Vous pouvez la faire directement sur votre site web; et ce, de manière globale ou segmentée. Pour une demande globale, créer une page dédiée reste le moyen le plus simple. Cela permet de regrouper non seulement les cookies, mais aussi la collecte de données. Vous obtenez ainsi un consentement positif à tout d’une seule validation. Cependant, en voyant le détail exhaustif de l’utilisation de toutes ses données, certains utilisateurs seront plus enclins à refuser. La demande segmentée elle permet de demander à chaque service si l’utilisateur accepte ou non. Le problème est que l’utilisateur peut vite se voir lassé de toutes ces demandes à valider et cela peut entacher son expérience globale sur votre site web. Quelle que soit la méthode, le message doit être clair, explicite et comporter les boutons « Accepter » et « Refuser ».
2. Conserver les preuves de consentement
Vous devez ensuite conserver ces preuves, la CNIL ne donne pas d’autres indications là-dessus, il vous incombe d’être capable de fournir ces preuves, peu importe le format. De plus, cette validation n’est pas limitée dans le temps, elle est donc valide de manière indéterminée. Si l’utilisateur change d’avis, il doit vous en faire la demande explicite sous forme de réclamation, ce sera alors à vous de faire le nécessaire. Par là, nous entendons l’effacement, ou la rectification des données relatives à une personne. Enfin, il faut entendre si un de vos lecteurs, ou visiteurs fait appel à son droit d’opposition lorsque l’on parle de ses informations personnelles qui peut lui faire penser à du profilage.
3. Adaptez les formulaires de votre site web
Chaque formulaire sur votre site doit indiquer la durée de conservation des données ainsi que le type d’utilisation que vous en ferez pour chaque personne concernée. Vous pouvez entrer dans le détail dans vos mentions légales, mais attention, elles doivent être facilement accessibles depuis ces formulaires dans le but de montrer votre volonté de transparence. Si vous avez plusieurs formulaires avec des durées de conservation de données différentes, vous devez aussi le préciser.
Au niveau des adresses mail récupérées par la newsletter, aucune limite de durée n’est imposée, l’utilisateur doit vous notifier de sa volonté de suppression ou de se désabonner. La bonne méthode est de mettre en place un petit discours sur l’intérêt légitime qui vous pousse à ces traitements de données personnelles. Vous pourrez, également, leur indiquer qu’une autorité de contrôle fait partie de la démarche et que seuls les destinataires légitimes auront accès à leurs données.
4. Faites attention aux plugins et CMS
Si vous utilisez une plateforme telle que WordPress, Prestashop ou encore Magento, vous devez prêter une attention toute particulière aux plug-ins que vous ajoutez. En effet, vous ne serez en droit de les utiliser que s’ils sont aux normes RGPD eux aussi. Dans le cas contraire, si vous décidez de les utiliser malgré tout sur votre site, c’est vous qui serez en tort. Rassurez-vous tout de même, la loi est passée de puis un moment déjà et la majorité des plug-ins les plus utilisés sont aux normes. Cependant, une petite vérification ne vous coûte que très peu de temps, un compromis tout à fait correct en comparaison des potentielles pénalités.
En parlant d’extensions WordPress, vous trouverez des plug-in de Cookie qui vous seront très utiles pour votre RGPD, et qui prendront en compte vos préférences et vos différentes données communiquées dont vous aurez besoin. N’oubliez pas d’indiquer les finalités pour lesquelles vous souhaitez traiter les données d’une personne physique et dans quelles mesures techniques vous les protègerez.