Le RGPD (Règlement Général de Protection des Données) a été mis en place en mai 2018 dans toute l’Union Européenne. Ce texte a été conçu dans le but de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ». Cette réglementation s’appuie sur 4 principes : le consentement, la transparence, la responsabilité et le droit des personnes. La CNIL (Commission nationale de l'informatique et des libertés) condamne fortement les manquements liés au non-respect des données personnelles. Les entreprises non conformes risquent en effet une amende pouvant atteindre 20 millions d’euros ou 4% du CA global de la société (la plus lourde sanction est choisie entre les deux), d’où l’importance de bien comprendre la réglementation et de mettre en place les mesures nécessaires.
Pour commencer, il faut définir qu’est-ce qu’une donnée personnelle exactement ?
Selon la loi, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Par conséquent, toute information type nom, prénom, n° client, etc. constitue une donnée personnelle. Typiquement, un formulaire de contact est une collecte d’informations personnelles.
1. Le consentement
Le consentement des internautes à la collecte de leurs données doit désormais être explicite. Les visiteurs doivent avoir accès à des informations telles que la nature de la collecte de leurs données.
Comment procéder ?
Avant la collection des cookies (dès l’arrivée sur la première page Web de votre site Internet), il faut laisser la possibilité à l’internaute de choisir une navigation avec ou sans cookies. La demande doit être formulée explicitement via une boîte de dialogue, un bandeau ou une fenêtre pop-up. L’internaute doit pouvoir refuser, accepter ou choisir les cookies du site.
2. La transparence
L’objectif de la collecte de donnée doit être clairement défini. L’entreprise doit également définir ce qu’elle va faire des données collectées et pouvoir donner accès à cette information à ses utilisateurs. Le principe de minimisation rentre également en compte, il n’est plus possible de demander une adresse postale ou un numéro de téléphone lorsque par exemple un internaute s’inscrit à votre newsletter car ces informations ne sont pas nécessaires à l’envoi de courrier électronique.
Comment procéder ?
Il faut mettre à disposition des informations concises et accessibles sur la manière dont les données sont traitées dans par exemple une page « vie privée », inscrit sous un formulaire de collecte ou dans sur vos documents contractuels.
3. La responsabilité
Depuis la loi de 2018, les autorités ont souhaité responsabiliser les entreprises sur le GDPR. Par conséquent, l’entreprise doit pouvoir démontrer leur conformité avec la réglementation en cas de contrôle de la CNIL. De plus, dans le principe de sécurité et confidentialité, les entreprises sont tenues de protéger les données de leurs clients (notamment dans le cas de sous-traitance des informations).
Comment procéder ?
Les sociétés sont tenues de sensibiliser leurs collaborateurs sur les problématiques liées aux traitements de données. De même, elles s’engagent à tenir en registre toutes les procédures et traitements de leurs bases de données. Enfin, tenir à jour les données collectées et de les sécuriser. En cas de faille de sécurité, les entreprises sont dans l’obligation d’en avertir leurs clients.
4. Le droit des personnes
C’est le principe de « privacy by design », qui consiste à avant tout protéger les droits des personnes en amont et aval de la collection de données. Les personnes concernées par la récolte de données doivent avoir un droit d’accès, de rectification et de suppression de leurs données. L’entreprise est alors tenue de mettre à disposition les informations récoltées, de les modifier ou supprimer sous un délai d’un mois. À noter que les données ne doivent pas être conservées au-delà du temps auxquelles elles seront utiles au traitement prévu lors de leur collecte.
Comment procéder ?
En mettant en place des mesures de sécurité comme la copie de sauvegardes, l’installation d’anti-virus, le changement fréquent des mots de passes et la protection anti-incendie visant à protéger les données.
Vistalid vous accompagne
Pour vous aider à construire un site Internet sécurisé compatible avec les nouvelles réglementations européennes, chez Vsitalid nous avons les outils permettant à nos sites d’être en conformité avec le GDPR. N’hésitez pas à nous contacter pour un accompagnement sur la mise à jour de votre site Web.
