RGPD : comment se mettre en conformité?

Comment mettre en application le RGPD

Le Règlement Général des Protections des Données, RGPD, entrera en vigueur le 25 mai prochain. A cette date, toute entreprise ou organisation traitant des données personnelles devra être en conformité avec les nouvelles normes imposées. Outre le travail demandé et parfois les modifications inhérentes, cette nouvelle réglementation pourra apporter beaucoup aux internautes mais également devenir un avantage concurrentiel pour les entreprises ayant accepté de jouer le jeu.

Voyons ensemble ce que cela implique pour votre site web.

Qu'est-ce qu'une donnée personnelle?

Une donnée personnelle est une information permettant d'identifier directement ou indirectement un individu. On peut donc citer des données auxquelles tout le monde pense tout de suite comme le nom, le prénom, le numéro de téléphone, les photos, l'adresse postale ou email. Mais toutes les données démographiques (âge, sexe) ou géographiques sont également concernées ainsi que les données numériques telles que l'adresse IP, les nombres de clics, de likes etc... On peut donc aisément affirmer que dès que vous êtes présent sur le web, vous donnez et récoltez des données personnelles. Nous sommes tous concernés par cette nouvelle réglementation que ce soit en tant qu'utilisateur ou professionnel du web.

Parmi ces données personnelles, nous devons également distinguer les données dites sensibles ou à risques : origine ethnique, opinions politiques, philosophiques ou religieuses, appartenance syndicale, santé ou orientation sexuelle, données génétiques ou biométriques. Ces données doivent obligatoirement faire l'objet d'un traitement spécial, rigoureux et encore plus sécurisé.

Quel est le contenu du RGPD?

On peut distinguer trois volets principaux :

  • L'amélioration du consentement de l'utilisateur
  • La traçabilité et la sécurité des données
  • Le droit de l'internaute à modifier, supprimer ou récupérer aisément ses données

Il existait déjà des règles à respecter en terme de collecte et de traitement de données personnelles, notamment en France avec les obligations de la CNIL mais le RGPD a le mérite de poser les mêmes contraintes sur l'ensemble du territoire de l'Union Européenne et au-delà. En effet, si votre entreprise ou structure est domiciliée en Union Européenne ou si vous collectez et traitez des données personnelles de ressortissants de l'Union Européenne, vous êtes dans l'obligation de mettre en application les points liés au RGPD, sous peine d'amende. Cette amende pourra se montrer dissuasive. En effet, elle pourra représenter de 2 à 4% du chiffre d'affaires et pourra même aller jusqu'à 20 millions d'euros pour les manquements les plus graves.

Les entreprises traitant un volume important de données personnelles ou celles traitant des données sensibles devront également nommer, en interne ou en externe, un Délégué Protection des Données qui sera chargé de la bonne mise en application du RGPD.

Et les sous-traitants, tels que les webmasters par exemple?

Ils sont eux-aussi concernés dès lors qu'ils traitent des données personnelles pour le compte d'un client. Il faudra alors ajouter des clauses aux contrats pour spécifier les responsabilités et droits des deux parties en terme de collecte et de données personnelles, telles que les méthodes utilisées pour collecter ou sécuriser.

Les actions concrètes à mettre en place pour respecter le RGPD

La 1ère action à mener si vous ne l'avez pas déjà fait est de mettre en place une véritable politique de confidentialité qui devra spécifier qui, quoi, pourquoi et comment vous collectez des données personnelles. On devra donc y retrouver : les coordonnées de l'entreprise, le type de données collectées, pourquoi elles sont collectées et combien de temps elles sont stockées, enfin comment vous sécurisez le traitement et le stockage de toutes les données collectées.

Pour information, le cadre légal définit la durée maximum de conservation des données personnelles : 3 ans pour une utilisation marketing et 6 ans pour une utilisation liée à la facturation. Au delà de cette période, vous êtes dans l'obligation de détruire toutes les données personnelles en votre possession.

La 2ème action est de rendre votre politique de confidentialité facilement accessible et surtout d'obtenir le consentement clair de l'utilisateur : elle devra donc être présente sur chaque page de votre site (par exemple dans le pied de page) et sur chaque formulaire utilisé. Concrètement, sur chacun de vos formulaires, vous devez donc ajouter une case à cocher obligatoire demandant à l'internaute de confirmer qu'il a bien lu votre politique de confidentialité et qu'il accepte de s'inscrire à ce pourquoi il remplit le formulaire (recevoir une newsletter, être recontacté...). Vous devrez également lui spécifier comment il peut supprimer, modifier ou récupérer ses données personnelles (lien vers une page spéciale, adresse email spécifique...). Et en cas d'une telle demande, vous devrez être réactif et pouvoir lui fournir la réponse adéquate de manière rapide et efficace.

A noter qu'il vous est maintenant interdit de collecter des données n'étant pas directement liées à la raison pour lesquelles vous les demandez. Avez-vous réellement besoin de connaître l'âge, le sexe ou les hobbies pour envoyer votre newsletter? Non? Alors vous n'avez plus le droit de les collecter. Il va donc falloir réfléchir aux données dont vous avez réellement besoin.

Le dernier point essentiel à mettre en place est la sécurisation des données que vous collectez et traitez : vous devez protéger les utilisateurs contre d'éventuelles failles de sécurité par exemple via le chiffrement, le cryptage. Concrètement, cela passe aussi par une connexion https à chaque étape, des mots de passe complexes. Il faut également éviter de transmettre des données personnelles ou bancaires par email.

Si vous collectez plus de 50 contacts par mois, vous serez dans l'obligation de tenir un registre interne de traitement des données. Vous devrez y stocker toutes les informations inhérentes à la collecte et au traitement des données : nature, consentement, traitement, responsable, hébergement, archivage...

Et les sites ecommerce?

Les sites marchands doivent déjà répondre à des normes de sécurité plus élevés qu'un simple site vitrine mais ils sont également soumis au RGPD : création ou mise à jour de la politique de confidentialité, obtention d'un consentement clair à chaque formulaire : contact, prise de commande, avis clients...

L'impact du RGPD sur les pratiques marketing

Planning de mise à jour de site internetVous êtes adepte de l'envoi de newsletters, vous aimez suivre les comportements des utilisateurs sur votre site web ou vous avez mis en place un outil de retargeting pour maintenir le lien avec vos visiteurs? Le RGPD vous impose à présent d'obtenir leur consentement clair pour pouvoir le faire.

En d'autres termes, en plus de l'informer que vous collectez des cookies, vous devez également demander son accord pour le faire, donc ajouter une cache à cocher obligatoire.

Concernant les newsletters, les professionnels ayant décrypté le RGPD ne semblent pas tous d'accord mais le site de la CNIL est clair sur ce point : le RGPD ne modifie pas les règles de la prospection commerciale par email (Article consultable ici).

Voici un rappel rapide des règles :

  • Si vous envoyez des emails à des particuliers : vous devez absolument obtenir leur consentement clair. Et avant le 25 mai,  vous devrez leur demander leur autorisation même s'ils font partie de votre carnet d'adresse depuis longtemps et qu'ils n'ont jamais manifesté le souhait de ne plus recevoir d'informations de votre part. Ici, qui ne dit mot, ne consent pas!
  • Si vous envoyez des emails à des professionnels : vous devez simplement prévenir la personne que vous allez utiliser son adresse à des fins commerciales et lui donner la possibilité de refuser ou de se désabonner. D'ici au 25 mai, c'est donc le moment de reprendre contact avec vos clients, prospects, fournisseurs et partenaires. Vous pouvez leur spécifier par exemple que vous vous mettez à jour des dernières réglementations et que vous les prévenez donc de la marche à suivre pour ne plus recevoir vos newsletters. Dans ce cas, qui ne dit mot... consent !

A noter que toutes les adresses professionnelles (@societetruc.com) ne sont pas concernées puisque non considérées comme étant des données personnelles, mais comme des informations concernant des personnes morales.

Au travail !

A présent, vous avez certainement une idée plus précise de l'impact du RGPD sur votre entreprise. Pour celles et ceux qui souhaiteraient approfondir, je ne peux que vous conseiller de lire le Guide Pratique réalisé par la CNIL et la BPI.

Et pour les propriétaires de sites WordPress, l'excellent article de la Marmite vous donnera toutes les astuces et outils pour mettre votre site en conformité.

Et maintenant il me reste 21 jours pour vous donner le bon exemple !

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.