RGPD : tout ce qu’il faut savoir pour mettre son site en conformité
Les consommateurs se sont longtemps demandé ce que Google et Facebook savent à leur sujet, et qui d’autre peut accéder à leurs données personnelles. Mais les géants de l’Internet ont toujours eu du mal à donner des réponses claires à ces interrogations, même à des questions aussi simples que “Pourquoi me montre-t-on cette publicité ?”.
Cependant, le 25 mai, l’équilibre du pouvoir va balancer du côté des consommateurs, grâce à une loi européenne sur la vie privée qui restreint la façon dont les données personnelles sont collectées et traitées. La loi, appelée Règlement Général sur la Protection des Données (RGPD), vise à garantir que les utilisateurs connaissent, comprennent et acceptent les données collectées à leur sujet.
Quels changements apporte le RGPD ?
Dès l’entrée en vigueur du Règlement Général sur la Protection des Données, le 25 mai 2018, les pages en petits caractères pour expliquer les conditions d’utilisation ne suffiront plus. Les utilisateurs ne seront pas non plus obligés de cliquer sur oui pour s’inscrire. Le RGPD force les entreprises à être claires et concises quant à la collecte et à l’utilisation des données personnelles telles que le nom complet, l’adresse personnelle, les données de localisation, l’adresse IP ou l’identifiant associé aux sites web et aux applications sur les smartphones. Les entreprises doivent expliquer pourquoi les données sont collectées et si elles seront utilisées pour créer des profils basés sur les actions et les habitudes des utilisateurs.
De plus, le RGPD donne le droit aux consommateurs d’accéder aux données stockées par les entreprises, le droit de corriger des informations inexactes et le droit de limiter les actions des algorithmes, entre autres.
La loi protège les individus dans les 28 pays membres de l’Union européenne, même si les données sont traitées ailleurs. Cela signifie que le RGPD s’applique aux éditeurs, aux banques, aux universités, à la grande partie des Fortune 500 (500 premières entreprises américaines), aux agences de pub sur le web et sur mobile, et bien sûr aux géants de la technologie de la Silicon Valley.
Quels types de données de confidentialité le RGPD protège-t-il ?
Les données concernées sont :
- Nom/prénom
- Adresse postale
- Adresse IP / données GPS (données de localisation)
- Numéro de téléphone
- Adresse email
- Numéro d’identification ou identifiants
- Cookies
- Les données sensibles : informations relatives à l’identité économique, physique, psychique ou génétique.
- Opinions politiques
À titre d’exemple de la portée de la loi, la Commission Européenne indique sur son site Web qu’un réseau social devra se conformer à une demande de suppression de photos publiées par l’utilisateur et informer les moteurs de recherche et autres sites qui ont utilisé les photos que ces images doivent être supprimées.
La commission précise également qu’un service de partage de voitures peut demander le nom, l’adresse, le numéro de carte de crédit d’un utilisateur et, éventuellement, si la personne a un handicap, mais ne peut exiger qu’un utilisateur précise sa race. En effet dans le cadre du RGPD, des conditions plus strictes s’appliquent à la collecte de « données sensibles », telles que la race, la religion, l’appartenance politique et l’orientation sexuelle.
Quelles sanctions en cas de non-respect du RGPD ?
Les amendes pour non-conformité au Règlement Général sur la Protection des Données sont très dissuasives. Elles peuvent atteindre 20 millions d’euros, ou 4% du chiffre d’affaires global d’une entreprise, le montant le plus élevé étant retenu. C’est l’amende maximale qui peut être imposée pour les violations les plus graves, par exemple, ne pas avoir le consentement clair du client avant de traiter ses données, ou violer les concepts fondamentaux du « Privacy by Design » du RGPD.
Cependant, il y a une approche progressive des amendes, par exemple, une entreprise peut être condamnée à une amende de 2% de son chiffre d’affaires pour ne pas avoir mis de l’ordre dans ses collectes de données, pour n’avoir pas informé l’autorité de surveillance et la personne concernée d’une violation, ou pour n’avoir pas procédé à une analyse d’impact.
RGPD : Quelles obligations pour votre entreprise
1. Création et mise à jour d’un registre des activités de traitement des données
Vous devez mettre en place et actualiser un outil de pilotage de la protection des données. Cet outil doit servir à :
- Maîtriser, gérer et piloter votre stratégie de protection des données ;
- Gérer plus facilement les demandes des utilisateurs (consultation, consentement, modification, suppression de données) ;
- Spécifier les mesures de sécurité à mettre en œuvre en cas de faille ou de piratage des données.
2. Demande de consentement des utilisateurs et conservation de la preuve du consentement
Les utilisateurs sont propriétaires de leurs données et ont le droit de savoir la finalité du traitement de celles-ci. C’est pourquoi le RGPD veut apporter plus de transparence dans l’utilisation de ces données. Ainsi, les entreprises devront désormais obligatoirement demander aux utilisateurs leurs autorisations pour le traitement de leurs données personnelles.
Dès lors que votre entreprise initie un traitement des données personnelles de l’utilisateur, elle doit demander le consentement de celui-ci de manière loyale et explicite (opt-in).
3. Conception de produits/services conformes au respect de la vie privée (Privacy by design)
Avec l’entrée en vigueur du RGPD, chaque produit ou service commercialisé par votre entreprise doit prendre en compte les contraintes liées au respect de la vie privée, dès sa conception.
Le principe « Privacy by design » du RGPD contraint les entreprises à prendre les mesures appropriées pour protéger les données personnelles des utilisateurs dans la réalisation des nouveaux projets. Elles doivent aussi s’assurer que les produits/services proposés sont conformes à la Loi informatique et des libertés.
4. Alerter les autorités de contrôle en cas de violation des données à caractère personnel
En cas de faille du système ou de piratage informatique des données personnelles, votre entreprise a l’obligation d’alerter la CNIL (Commission nationale de l’informatique et des libertés) dans un délai de 72 heures.
5. Nommer un Délégué à la Protection des Données (ou Data Privacy Officer en anglais)
La nomination d’un Délégué à la Protection des Données (DPO) est aussi un élément incontournable. C’est lui en effet qui sera en charge du respect des obligations du RGPD : responsable des analyses d’impact, point de contact avec les utilisateurs finaux et les autorités, etc. Plusieurs entreprises, notamment d’un même secteur d’activité, peuvent avoir un même DPO.
Comment préparer votre site web à l’arrivée du RGPD ?
1. Demander le consentement des utilisateurs
Pour être en conformité avec le nouveau règlement général sur la protection des données (RGPD), la première chose à faire au niveau de votre site web est de prendre les mesures nécessaires pour obtenir le consentement des utilisateurs avant de collecter et traiter leurs données personnelles.
La demande de consentement doit se faire au niveau de chaque service de votre site web qui collecte et traite des données comme : Newsletter, Adwords, Adsense, Google Analytics, Twitter, Facebook…
Pour la gestion des données sensibles, la CNIL recommande d’avoir recours au cryptage ou l’anonymisation des données (ou pseudonymisation). Pour les mineurs de moins de 16 ans, le consentement d’un parent, ou du tuteur légal, est obligatoire. N’hésitez pas à consulter le site de la CNIL pour en savoir plus sur la manière d’intégrer la demande de consentement sur votre site.
2. Comment faire la demande de consentement ?
Vous pouvez faire la demande de consentement sur votre site web de manière globale ou segmentée.
- Demande de consentement globale : créer une page de demande de consentement globale permet de regrouper les cookies et la collecte de données. C’est le moyen le plus simple d’obtenir le consentement en une seule validation. Mais cette méthode a un inconvénient, car cumuler les demandes peut nuire à la lisibilité des informations. Cela peut créer de la confusion chez l’utilisateur et entrainer son refus.
- Demande de consentement segmentée : l’autre alternative à la demande de consentement globale est de segmenter les demandes de consentement par bloc pour chaque service de votre site.
Quelle que soit la méthode que vous choisissez, le consentement doit être obtenu par des formulaires clairs et explicites, avec des boutons d’action sans ambiguïté (« Accepter » et « Refuser »).
3. Preuve et durée du consentement
Si le RGPD stipule qu’il est obligatoire de conserver la preuve du consentement, il n’indique pas cependant la forme sous laquelle cette preuve doit être conservée. Le texte spécifie aussi que la durée du consentement n’a pas de limite de validité, tant que l’utilisateur ne demande pas de modification des conditions d’utilisation de ses données personnelles.
4. Les formulaires de votre site web
Pour chaque formulaire de votre site, il est obligatoire d’indiquer la durée de conservation des données et les finalités du traitement des données. Vous pouvez mettre ces informations au niveau des mentions légales, dans une section dédiée aux formulaires, mais il faut qu’elles soient facilement accessibles depuis les formulaires. Cela démontrera votre volonté de transparence.
Il est obligatoire d’indiquer la durée de conservation des données collectées via les formulaires. Une seule section suffit pour tous les formulaires, sauf si l’un des formulaires implique une durée de conservation des données différente ou une autre finalité du traitement des données.
En ce qui concerne les adresses mails collectées grâce au champ d’inscription à la newsletter, il n’y a pas de limite de durée de conservation tant que l’utilisateur ne fait pas de demande de suppression ou de désabonnement.
5. Extensions de CMS, plugins et autres services
Tous les plugins installés sur votre site WordPress, Prestashop, Magento… qui ne sont pas aux normes RGPD ne pourront plus être utilisés tant qu’ils n’auront pas été mis à jour. Il en est de même pour les services natifs des différents CMS, comme l’insertion d’une Twitter Card sur WordPress. Sans oublier d’autres services comme l’insertion de cartes Google Map, de vidéos Youtube ou de player Calameo, car ces services aussi peuvent collecter des données grâce au code inséré, sans consentement préalable.
La solution est d’utiliser un gestionnaire de tag pour exploiter ces services. Pour la gestion des demandes de consentement et des cookies sur votre site, la CNIL recommande le gestionnaire de tag Tarteaucitron.
