Qu’est-ce que la RGPD ?
RGPD signifie Règlement Général pour la Protection des Données (GDPR en anglais). C’est un règlement européen, voté au parlement européen en 2016 et qui prends effet le 25 Mai 2018.
C’est une réglementation qui ne concerne pas que les pays de l’Union, mais l’ensemble des pays amenés à traiter les données personnelles de citoyens de l’Union Européenne. En France, c’est la CNIL (Commission Nationale Informatique et Liberté) qui est en charge de veiller au respect de ce règlement.
Le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle. Par cette définition, le RGPD ne concerne pas uniquement les données des sites Internet, ni même uniquement informatique. Ce sont bien tous les fichiers contenant des données à caractère personnel, sous quelques formes que ce soit (numériques, papier, etc…) qui sont concernés.
Le but de cette réglementation est d’assurer à tout individu le contrôle et la protection des données à caractère personnel le concernant. Est considéré comme donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu.
- On peut identifier directement un individu grâce à son nom, son prénom, mais également son adresse email ou son numéro de téléphone, et tout type de donnée démographique (fonction professionnelle, sexe, âge…) ou géographique (localisation, lieu de travail…).
- Comptent aussi dans ces données à caractère personnel les informations purement numériques d’un internaute (adresse IP), ou ses data comportementales (actions menées sur un site web, comme les visites ou les clics). Même les données partagées de sa propre initiative, comme la mise en ligne d’une photo ou un like, comptent également dans cette définition.
Concrètement le RGPD comporte 3 règles générale :
- Le consentement de l’utilisateur lorsque des données à caractère personnel sont récoltées. Sur Internet, que ce soit via des formulaires, ou bien des cookies, le visiteur doit être informé qu’il partage ses données, et savoir explicitement à quelles fins.
- La traçabilité et la haute sécurité des données des utilisateurs. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
- Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.
Les sanctions
Avant même le RGPD, le droit français prévoyait déjà des sanctions pénales en cas d’infractions portant sur des données personnelles. Certes, dans les faits, celles-ci étaient rarement appliquées, ou par des amendes relativement faibles.
Mais le RGPD vient renforcer le système de sanctions déjà mis en place. Et les amendes administratives détaillées dans la législation sont beaucoup plus dissuasives ! Il est prévu qu’elles pourront atteindre 2 % à 4 % du chiffre d’affaires de la personne ou entreprise concernée, et jusqu’à 20 millions d’euros pour les infractions les plus graves.
Les actions à mettre en place
Ajouter une page Politique de confidentialité.
Même si cela devait déjà être le cas avant l’arrivée du RGPD, ces mentions étaient généralement incluse aux mentions légales. Avec le RGPD, elles doivent être nettement plus précises, puisqu’il convient de détailler l’utilisation de chaque donnée collectées directement ou indirectement :
- Quel type de données sont récoltées lors de l’inscription ou de la commande sur le site web : noms, prénoms, email, téléphone, adresse postale, adresse IP…
- Pourquoi ces données sont récoltées: communication par newsletters, facturation, suivi du comportement de l’utilisateur sur le site…
- Combien de temps ces données sont-elles conservées : la durée maximum de conservation des données marketing est de 3 ans, celle des données comptables de 6 ans maximum.
- Les mesures de sécurité mises en place pour assurer la protection de ces données.
- La manière dont les personnes concernées peuvent exercer leur droit de modification ou de suppression de ces données.
Ajouter à tous les formulaires une case à cocher « J’ai lu et accepte la politique de confidentialité de ce site », avec un lien vers la page « Politique de Confidentialité ».
Mettre à jour les Conditions Générales d’Utilisation en intégrant les éléments de la politique de confidentialité
Selon les fonctionnalités disponibles sur votre site (commentaires, commerce électronique, des espaces clients, inscription newsletter, etc…) des explications, et parfois des modifications dans le fonctionnement de ces fonctionnalités sont à apporter.