Conformité RGPD : Tout savoir pour être en règle

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données est une mesure de l’Union Européenne entrée en vigueur le 25 mai 2018 et applicable à tous les états membres. Il remplace la directive sur la protection des données personnelles datant de 1995. L’objectif de sa conformité est d’harmoniser et de renforcer la protection des données à caractère personnel des individus de l’Union Européenne et de sensibiliser les différents acteurs. Le conseil européen parle de « redonner aux citoyens le contrôle de leurs données, tout en simplifiant l’environnement règlementaire des entreprises ».

Les grands principes du RGPD

A l’ère du Big Data et avec un volume mondial de données qui double tous les 3 ans, le principe fondamental de ce nouveau règlement repose sur la minimisation. En effet, pour être en conformité RGPD, il convient de récolter le moins de données possible en se limitant à ce qui est nécessaire. Ces informations doivent être récupérées de la manière la plus transparente et explicite. De plus, il faut informer l’internaute de la finalité de leur utilisation. Pour ce faire, il est nécessaire de mettre en place diverses mesures. Mais concrètement, il faut faire quoi ?

Les 6 obligations de la conformité RGPD

1. Le consentement explicite et positif

Le premier axe à prendre en considération est celui du consentement explicite et positif. Cela signifie que l’objectif d’utilisation des données personnelles doit être rédigé de la façon la plus claire et précise possible. A chaque fois que l’utilisateur transmet des données, il doit cocher une case « j’accepte » et avoir accès à un lien renvoyant vers la politique de confidentialité du site.

Attention, la durée de validité du consentement s’élève à 13 mois et il est interdit de proposer des cases pré-cochées !

FOCUS SUR LES COOKIES :

Le principe du consentement explicite et positif s’applique également pour les cookies, qu’ils collectent des données à caractère personnel ou non. Pour être en conformité RGPD, il est donc important de prévenir les internautes avant l’insertion des traceurs sur le site. Ils doivent avoir la possibilité d’accepter, de refuser et de personnaliser ces cookies. Votre information cookies doit également contenir un lien vers votre politique de confidentialité. La CNIL précise que « ce bandeau ne doit pas disparaitre et que la poursuite de la navigation vaut un accord au dépôt des cookies ».

NB : Les cookies et traceurs expressément demandés par l’utilisateur sont exemptés de consentement (exemple : panier d’achat, authentification, choix de la langue…)

FOCUS SUR LES NEWSLETTERS :

Lors de l’envoi d’un email marketing, il faut veuillez à ce que les listes de diffusion se composent uniquement de contacts double opt-in. Cela signifie que les personnes ont demandé de recevoir le message et qu’elles ont conforté leur volonté d’inscription en cliquant sur le lien d’un email de confirmation. De plus, chaque email en conformité RGPD doit comporter un lien de désabonnement visible. De fait, l’utilisateur peut retirer son consentement à tout moment.

NB : Il ne faut jamais utiliser les listes de diffusion pour d’autres usages que ceux pour lesquels les personnes ont donné leur consentement. De même qu’il ne faut ni les vendre, ni les partager sans leur accord.

2. Le droit à la modification, à l’effacement et à la portabilité

La conformité RGPD impose l’implémentation de solutions visant à modifier son consentement de manière simple.

L’utilisateur doit aussi, quoi qu’il en soit, avoir la possibilité de demander l’effacement de ses données personnelles. Pour chaque demande de retrait, il faudra bien penser à effacer toutes les données stockées.

D’autre part, le site doit également fournir un moyen de récupérer ses données rapidement.

Il est important de répondre aux demandes de modification, suppression et consultation dans les meilleurs délais (1 mois légal).

3. Les mesures de protection

L’entreprise doit mettre en place des mesures de protection des données (chiffrement, cryptage, pseudonymisation…). On parle de « privacy by design », principe selon lequel chaque entité qui traite des données doit garantir le niveau de sécurité le plus élevé possible.

NB : il est possible de valoriser les bonnes pratiques des entreprises via des procédures de certification au niveau français et européen et l’octroi de labels par la CNIL.

FOCUS SUR LA DÉSIGNATION D’UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES POUR LA CONFORMITÉ RGPD :

Un délégué à la protection des données (Data Protection Officer en anglais) doit être obligatoirement désigné dans les 3 cas suivants :

• Collecte de données à grande échelle
• Administrations publiques
• Récolte de données sensibles (santé, informations bancaires, infractions pénales…)

Si votre entreprise ou administration fait partie des cas précédents, elle devra réaliser une étude d’impact sur la vie privée (Privacy Impact Assessment en anglais). Elle devra également avertir les utilisateurs et la CNIL dans un délais de 72 heures en cas de fuite d’information, de façon à être en conformité RGPD.

4. La mise à jour de sa politique de confidentialité / Ajout d’une page « vie privée »

Pour être en conformité RGPD, il est important de mettre à jour sa politique de confidentialité ou d’ajouter une page de gestion des données personnelles. Celle-ci doit impérativement contenir les informations suivantes :

• Vos coordonnées, celles de l’éditeur du site, celles de l’hébergeur
• Le type de données récoltées
• Pourquoi vous collectez ces données
• Combien de temps vous les stockez
• Les mesures de sécurité mises en place afin d’assurer leur protection

5. Rédaction d’un registre des activités de traitement

La rédaction d’un registre des activités de traitement est impérative pour toutes les entreprises de plus de 250 salariés. Il s’agit d’un document basé sur les techniques utilisées pour récolter, stocker et utiliser les données des utilisateurs (en savoir plus ici).

Selon les informations de la CNIL, les entreprises de moins de 250 salariés doivent uniquement mentionner les informations suivantes concernant les traitements :

• Non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.)
• Susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
• Portant sur des données sensibles (exemple : données de santé, infractions, etc.)

6. Responsabiliser les sous-traitants

Ce dernier point concerne les organismes qui exploitent des données personnelles pour le compte d’autres entreprises. Ils devront tenir un registre des activités de traitement effectuées pour le compte de leurs clients (en savoir plus ici).

La conformité RGPD en pratique

• Cookies : proposer les boutons « j’accepte », « je refuse » et « je personnalise » + un lien vers votre politique de confidentialité.
• Formulaires : proposer une case à cocher « j’accepte » (qui ne doit pas être pré-cochée) + un lien vers votre politique de confidentialité.
• Newsletters : les contacts doivent être en double opt-in + présence d’un lien de désabonnement.
• Politique de confidentialité : doit contenir à minima une adresse email à contacter pour toute demande de modification, effacement ou récupération des données personnelles (si aucun autre moyen n’est mis en place).

Conseils et bonnes pratiques pour la conformité RGPD

En complément, nous vous recommandons les plugins suivants : Cookie First et Axeptio.
Aujourd’hui, certains aspects de la conformité RGPD demeurent encore assez flous. En conséquence, afin de pallier ce manque de précision, nous vous conseillons de suivre les bonnes pratiques ci-dessous :

• Clarifier au maximum vos demandes de consentement avec une possibilité d’acceptation, de refus et de personnalisation :

Bandeau cookie Axeptio

• Proposer des formulaires conformes avec une case d’acceptation (non pré-cochée) et un lien vers la politique de confidentialité :

Formulaire de contact Peexeo

• Mettre à disposition un moyen pour récupérer facilement ses données personnelles :

Exportation des données Facebook

Quel intérêt à être en conformité RGPD ?

En cas de contrôle de la CNIL, Le RGPD impose d’être capable de démontrer sa conformité à tout moment, sous peine de lourdes sanctions pouvant aller jusqu’à 4% du chiffre d’affaires annuel.

Actualiser et améliorer les procédures internes en continu est donc recommandé.

Attention :

• Ce règlement concerne également les entreprises extérieures à l’Union Européenne qui traitent des données relatives aux résidants européens.
• Le RGPD s’applique sur vos clients mais doit aussi être mis en place au niveau de vos employés.

Outre les sanctions envisageables, aujourd’hui les internautes sont de plus en plus sensibles au regard de la protection de leurs données personnelles et travailler sa politique RGPD permettra de gagner leur confiance ! De plus, cela favorisera une meilleure qualité des bases de données et donc notamment une optimisation de vos campagnes marketing.

Envie d’en savoir plus ?

Vous désirez vous faire accompagner au sujet du développement de votre stratégie de conformité RGPD ? N’hésitez pas à contacter notre équipe.