Le nouveau règlement européen sur la protection des données, baptisé RGPD, va entrer en vigueur le 25 mai prochain. Au vue des amendes encourues, 20 millions d’euros ou 4% du CA annuel mondial, il est important de respecter cette nouvelle réglementation qui permet une meilleure protection des données personnelles que vous recueillez.
Rappel rapide sur la RGPD
Qui est impacté par cette mesure ?
En gros, tout le monde dés que des données personnelles de citoyens européens sont collectées ou que vous êtes établi en Union Européenne.
Qu’est-ce qu’une donnée personnelle ?
Qu’est-ce qu’une donnée personnelle ?Une donnée personnelle est une information qui permet d’identifier ou rendre identifiable une personne physique:
- Nom, prénom
- N° de téléphone, adresse postale, n° de SECU
- concordance de données permettant d’identifier une personne (niveau social, tranche d’âge, habitude de consommation, inscription dans un club,…)
La liste est non exhaustive.
Quels sont les traitements de données impactés ?
Tous, à partir du moment où ils contiennent des données personnelles qu’ils soient informatisés ou pas.
En effet, à partir du moment ou vous collectez ou qu’on vous donne des données personnelles, cela constitue le début d’un traitement.
Voici une liste non exhaustive de traitements:
- Gestion des données du personnel
- Collecte de coordonnées via un formulaire de contact
- Gestion des données clients suite à des commandes
- Gestion de vos abonnées à votre lettre d’information
- Gestion de votre carnet d’adresse dans votre messagerie internet
Que faut-il faire pour respecter la RGPD ?
Que faut-il faire pour respecter la RGPD ?Pour résumer les actions à mettre en place pour vous mettre en conformité il faut :
- Identifier et lister les collectes et traitements faits sur des données personnelles. Il faut créer un registre des traitements de données. Vous pouvez consulter le modèle sur le site de la CNIL
- Trier et vérifier les données que vous collectez pour définir si ce que vous collectez est nécessaire et légitime à votre activité
- Respecter les obligations de transparence vis à vis des personnes dont vous collectez ou détenez les données.
- Sécuriser vos données: vous devez mettre en place des dispositifs (antivirus, logiciels à jour) ou des actions (mots de passe complexes) garantissant la sécurité des données que vous détenez.
Vous pouvez retrouver toutes ces informations et encore plus de détails sur le Guide de bonnes pratiques réalisé par la BPI. La RGPD est un sujet complexe et technique qui peut nécessiter l’aide de juristes pour sa mise en place dans votre entreprise car elle touche autant vos fichiers clients/prospects que la gestion de votre personnel et de vos fournisseurs.
Quel est l’impact de la RGPD sur votre site internet ?
Les actions qui nous intéressent ici sont celles qui vont directement impacter votre site internet:
- Obligation de transparence
- Sécurisation de vos données et systèmes collecteurs
L’obligation de transparence
L’obligation de transparenceQuelle que soit votre activité en ligne, site de vente, site vitrine avec ou sans présence sur les réseaux sociaux, vous devez mettre en place des éléments pour vous conformer à l’obligation de transparence.
Voici la liste des actions à mettre en place.
Ne collecter que ce qui est nécessaire
Vos formulaires de recueil de données ne doivent collecter que ce dont vous avez besoin pour le traitement des données.
Mettre en place les mentions CNIL au niveau des formulaires
En dessous de tout formulaire de recueil de données, il est obligatoire d’indiquer la finalité du traitement et le destinataire des données collectées.
Mettre en place une page d’information sur les droits des utilisateurs
Sur chaque site il faut indiquer quelle est votre politique de gestion des données personnelles en créant une page dédiée. Vous pouvez la relayer sur vos réseaux sociaux afin d’indiquer à votre communauté comment vous utilisez leurs données.
Il faut aussi donner la possibilité aux internautes, via un formulaire dédié, de :
- Demander l’accès aux informations que vous détenez sur eux
- Demander la modification de leurs informations
- Demander la suppression des données
- Demander la portabilité des données : facilité le transfert de vos informations d’un prestataire à un autre. (Changement d’assureur par exemple)
Pour les sites e-commerce, les informations détenues doivent apparaitre dans le compte client.
Sécurisation des données
Vos données, qu’elles soient stockées sur votre site ou sur vos ordinateurs, doivent être sécurisées.
Il faut respecter quelques règles simples pour être conforme :
- Les mots de passe doivent être forts autant pour vous (messagerie, compte utilisateur des ordinateurs, compte gestionnaire de site) que pour vos clients (compte client).
- Si votre site dispose d’un espace client (site de vente en ligne, réservation,…), il est obligatoire de passer en HTTPS pour sécuriser les échanges de données.
- Déterminer qui a accès aux différentes données dans votre entreprise afin d’éviter la fuite de données.
- Sécurisez vos données en effectuant régulièrement des sauvegardes.
- Garder à jour tous les logiciels et système qui gèrent des données afin d’éviter la perte ou la fuite de données suite à un piratage.
En cas de vente en ligne :
- Vous ne devez pas garder les coordonnées bancaires des clients
- Le processus de paiement doit être sécurisé
Ces actions sont applicables aux sites qui ne gèrent pas de données sensibles et pour les sociétés de moins de 250 salariés. Dans le cas contraire vous devez mettre en place un registre des traitements, définir le périmètre des données sensibles, nommé un DPO (data protection officer), etc… On rentre alors dans une démarche beaucoup plus complexe.
Pour approfondir le sujet, je vous conseille de lire les différents articles parus sur la RGPD sur le site de la CNIL.
Si vous souhaitez mettre en conformité votre site internet vis à vis de la RGPD, contactez-nous pour obtenir un devis.
