RGPD Règlement Général pour la Protection des Données

Le RGPD c’est quoi ?

Le RGPD (Règlement Général pour la Protection des Données) est une réglementation européenne, votée par le Parlement Européen en 2016, applicable à partir du 25 mai 2018.

Vous pouvez voir le texte complet de ce règlement européen en cliquant sur le lien ci-après.

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=EN

En France, l’organisme chargé de contrôler sa mise en œuvre est la la CNIL (Commission Nationale de l’Informatique et des Libertés).

L’objet de ce règlement est d’assurer le contrôle et la sécurité des données à caractère personnel, dans le cas où la personne concernée communique ces données à une entreprise ou un organisme, par exemple via un site web.

REALITEWEB est attentif à la mise en œuvre du RGPD pour les sites web de ses clients actuels et futurs. Nous donnons ci-après une présentation résumée du RPGD que nous avons voulu simple et concise pour vous donner une réalité sur ce règlement. Si vous avez besoin de plus de détail ou de précision, vous pouvez vous référer au texte intégral du règlement, au moyen du lien donné ci-dessus.

Qu’appelle-t-on donnée à caractère personnel ?

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable, notamment par un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Les entreprises ou organismes qui collectent des données à caractère personnel effectuent des traitements sur ces données.

Le RGPD définit le traitement comme toute opération ou tout ensemble d’opérations appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Les acteurs concernés par le RPGD

Le RGPD définit le « responsable du traitement» comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Le RGPD concerne les traitements sur des données à caractère personnel de citoyens de l’Union Européenne.

A ce titre, le responsable d’un site web qui collecte des données personnelles des internautes, est concerné.

Quelle attitude adopter vis-à-vis du RGPD ?

– L’attitude positive est de considérer que la prise en compte du RGPD est un service que l’on apporte à ses clients et visiteurs du site et les en informer.

– Le responsable de traitement doit se mettre en conformité pour éviter les sanctions. Le RGPD va durcir le système de sanctions qui existait auparavant. Les amendes pourront atteindre 2 % à 4 % du chiffre d’affaires, et jusqu’à 20 millions d’euros pour les infractions les plus graves.

– Dans la phase initiale, en cas de difficulté ou d’incompréhension, il est recommandé de coopérer avec la CNIL.

Les principaux types d’exigence du RGPD

Le consentement de la personne concernée

Dans de nombreux cas, le traitement de données à caractère personnel est conditionné par le consentement de la personne concernée. Le responsable du traitement doit alors être en mesure de démontrer que la personne concernée a donné son consentement.

Si la demande de consentement fait l’objet d’un document écrit, par exemple un formulaire, elle doit être présentée sous une forme qui la distingue clairement parmi d’autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples.

La personne concernée a le droit de retirer son consentement à tout moment.

La sécurité des données

Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée de ces données, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité)

Le respect des droits de la personne concernée

Droit à la transparence

La personne concernée doit avoir communication d’informations telles que identité et coordonnées du responsable du traitement, finalités des traitements effectués sur les données, destinataires des données le cas échéant, durée de conservation des données, etc

Droit d’accès

La personne concernée peut obtenir l’accès aux données la concernant ainsi que ainsi qu’aux informations relatives à ces données (finalités du traitement, destinataires, durée de conservation, etc)

Droit de rectification

La personne concernée a le droit d’obtenir que les données inexactes soient rectifiées et que les données incomplètes soient complétées.

Droit à l’effacement (droit à l’oubli)

La personne concernée a le droit d’obtenir l’effacement des données lorsqu’elles ne sont plus nécessaires, lorsqu’elle a retiré son consentement, etc

Droit à la portabilité des données

Les personnes concernées ont le droit de recevoir les données qu’elles ont fournies, dans un format structuré lisible par une machine, et ont le droit de transmettre ces données à un autre responsable de traitement. Les données à caractère personnel peuvent également être transmises d’un responsable de traitement à un autre, lorsque c’est techniquement possible.

Applications pratiques de mise en œuvre du RPGD

Politique de confidentialité

Il est nécessaire qu’un site web contienne une politique de confidentialité (en général une page accessible par un lien en pied de page), pour fournir des informations claires et transparentes expliquant la finalité des traitements effectués sur les données recueillies, et toute autre information demandée par le RPGD

Registre interne de traitement des données

Chaque responsable de traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité . Toutefois, sauf exceptions, cette obligation ne s’applique pas à une entreprise ou à une organisation comptant moins de 250 employés.

Les cookies

Un cookie est un petit fichier texte déposé sur l’appareil de l’internaute par le serveur du site visité. Cela permet de conserver des données de l’utilisateur afin de faciliter la navigation et de permettre certaines fonctionnalités.

Il est d’ores et déjà nécessaire d’obtenir l’accord de l’internaute avant de mettre en œuvre des cookies. Un projet de règlement européen, nommé ePrivacy, encore en préparation, devrait, dans l’avenir, modifier les règles relatives aux cookies.

Les formulaires de collecte de données

Des formulaires sont souvent présents sur les sites web, par exemple les formulaires de contact, les formulaires de demande de devis, etc.

Le RGPD implique que le formulaire contienne une case à cocher pour que l’internaute puisse exprimer explicitement son accord et ait connaissance de la finalité des données collectées (notamment via la politique de confidentialité du site).

La case à cocher doit être située à proximité du bouton « Envoyer » et accompagnée d’un texte tel que « En cochant cette case, je reconnais avoir pris connaissance de la politique de confidentialité de ce site et l’accepter ». La case à cocher ne doit pas être pré-cochée.

La sécurité des données

Il faut mettre en place les dispositifs nécessaires pour assurer un niveau de sécurité élevé des données des utilisateurs : mise à jour des logiciels, systèmes de sauvegardes, cryptage des données, etc.

En cas de violation de données à caractère personnel le responsable du traitement doit en informer la CNIL dans les 72 heures, et en informer la personne concernée si la violation est de nature à engendrer un risque important pour elle.

Sites e-commerce

Formulaire de création de compte client

Ce formulaire doit contenir une case à cocher permettant au client de formuler explicitement son consentement

Processus de commande

Lors du processus de commande le client fournit des données personnelles (adresse, etc.), il est donc nécessaire d’insérer une case à cocher permettant au client de formuler explicitement son consentement, en référence aux CGV (Conditions Générales de Vente) et à la politique de confidentialité. Le client doit cocher cette case avant de pouvoir passer la commande.

Avis clients

Les sites e-commerce affichent souvent des avis de clients pour aider les visiteurs à prendre leurs décisions d’achat. Le plus simple est d’autoriser uniquement les clients à émettre des avis sur les produits, car ayant déjà commandé des produits, ils ont exprimé leur consentement à la politique de confidentialité.

Diffusion de lettre d’information

Le formulaire d’abonnement à une lettre d’information doit contenir une information sur la finalité de l’abonnement.

Le cas échéant, le formulaire d’abonnement doit contenir des cases à cocher pour recueillir le consentement pour autoriser des actions marketing spécifiques (diffusion d’e-mails, diffusion de publicités personnalisées, envoi de courriers postaux, etc)

Chaque lettre d’information ou publicité diffusée par e-mail doit contenir un lien de désinscription.

Des services de diffusion de lettres d’information, tels que MailChimp, ont déjà intégré la prise en compte du RGPD.