La RGPD

Mais qu’est-ce que c’est ? Et concrètement, pour mon site internet, quel impact ?

Dès le 25 mai 2018, la RGPD entre en vigueur. Tout le monde en parle, mais comment s'y retrouver et surtout comment savoir si mon site internet respecte bien cette réglementation ?
Voici quelques explications qui vont vous permettre de mieux comprendre les impacts de ce règlement et de vous orienter sur les modifications à réaliser sur votre site internet.

Quelques explications pour mieux comprendre l'enjeu
Comprendre la RGPD

Le sigle RGPD (GDPR en anglais), ça signifie Règlementation Européenne pour la Protection des Données personnelles.

Les données personnelles, ce sont toutes les informations qui permettent de vous identifier de façon unique. Certaines sont assez basiques, votre nom, prénom, adresse, âge ou encore email.
Mais il en existe d’autres qui vous définissent et qui sont dites plus « sensibles », telles que la religion, la politique, la santé ou encore l’orientation sexuelle.

Pourquoi un tel règlement ?

Depuis l’explosion d’internet et la multiplication des services en ligne, nous avons tous, vous et moi, au moins une fois créé un compte pour faire des achats, ou bien nous sommes inscrit à une newsletter.

L'inscription à ces services implique, via l'acceptation des conditions d'utilisation, une utilisation de nos données. C’est de cette façon que vous vous retrouvez avec une boîte mail qui déborde de publicité !

Vous allez me dire : « C’est pas grave, c’est juste mon email, j’ai ajouté un logiciel d’anti-spam ! »

Ok, ca peut paraître anodin, mais imaginez que votre adresse, votre plaque d’immatriculation fasse parti de ces données ? Dans ce cas, l’utilisation ou la divulgation peut engendrer un préjudice bien plus important que l’envahissement d’une boîte mail : usurpation d’identité, discrimination, vol... Afin d’éviter l’hémorragie, la commission Européenne a décidé de mettre en place certaines règles pour nous donner les moyens d’agir sur l’utilisation de nos données personnelles.

Très bien, me direz-vous, mais nous, nous avons déjà la CNIL non ?

Chaque état membre possède sa propre autorité, qui devra veiller à ce que ce règlement soit respecté, en France, c'est effectivement la CNIL. Elle voit donc son application élargie, elle pourra travailler avec les autorités des autres états membre de façon homogène et donc plus efficace.

Logo de la CNIL
Quel sont les principales mesures de ce règlement ?

Le but de ce règlement, vous l’avez compris, c’est que vous puissiez avoir un contrôle sur l’utilisation de vos données personnelles. Et bien ce contrôle va se traduire notamment par les points suivants, la personne doit être clairement informée :

  • de la liste exhaustive des données récoltées
  • du délai de conservation de ses données
  • du traitement réalisé avec ses données
  • de la sécurité mise en place contre le vol de ses données
  • de ses droits de rétractation, de suppression de ses données, de modification de ses données et le moyen dont elle dispose pour faire ces demandes
  • de son choix de refuser ou d’accepter l’utilisation de ses données

Suis-je concerné ? Si oui, comment respecter ce règlement sur mon site internet ?

Vous êtes concerné par ce règlement à partir du moment où vous collectez des informations personnelles sur votre site internet. C’est le cas dans un formulaire de contact ou un formulaire d’inscription à une newsletter, donc pour la plupart d’entre vous.

Très bien, je suis concerné, mais comment faire pour être en règle ?

Mettre en place un registre des traitements de données :

Le registre doit contenir, pour chacun des traitements distinct :

  • le responsable du traitement,
  • le descriptif du traitement,
  • les données récoltées avec la durée de conservation (qui est de 3 ans maximum)

Modification des mentions légales :

Vous devez ajouter un paragraphe sur la gestion des données personnelles que vous collectez et traitez.
Pour faire simple, utilisez l’outil de la CNIL : disponible ici

Modification des formulaires de son site internet :

Sur chacun des formulaires :

  • vous devez indiquer clairement le but de la récolte des données dans le formulaire,
  • vous devez recueillir le consentement explicite de la personne quant à l'utilisation de ses données. Aucune case n'est cochée par défaut !

Formulaire de saisie conforme
Formulaire de saisie non conforme

Merci à Mon codeur pour les illustrations.

Et les cookies dans tout ca ?
Gestion des cookies

Les cookies, ce sont des petits fichiers que vous ne voyez pas mais qui sauvegardent toutes sorte de vos informations à votre insu. C’est le cas de google analytics, cet outil merveilleux qui vous permet de voir qui viens sur votre site, à quelle fréquence, depuis quel pays...

Et bien, lui avez-vous demandé son avis à cette personne qui vient sur votre site ? Peut être qu’elle ne souhaite pas que tout le monde sache ce quelle fait sur internet.

Avec la RGPD, vous avez désormais l’obligation de lui laisser le choix de refuser que vous récoltiez ses données. Et attention, contrairement à ce qu’il se fait beaucoup, ce choix ne doit pas altérer la navigation sur votre site.

En clair, vous ne pouvez pas lui interdire l’utilisation de votre site sous prétexte qu’il refuse l’utilisation de ses données.

Message de cookies non conforme

Sécuriser votre site internet

Cela consiste en l’installation d’un certificat électronique permettant de sécuriser les communications. C’est le cadenas vert que vous pouvez voir dans la barre d’adresse. Cela permet d’éviter que les données transmises lors de l’envoi des formulaires ne soient interceptées par un tiers.

Sécuriser les données récoltées
Sécurisation du registre

Si vous stockez votre registre sur votre ordinateur, vous pouvez déjà commencer par le sécuriser avec un mot de passe. C’est simple et efficace.

Vous pouvez également faire une sauvegarde de ce fichier sur un autre support.

Quels sont les risques en cas de non respect ?
Les sanctions de la RGPD

Vous avez trouvé l’article intéressant, mais pour vous ca semble trop compliqué ! Vous êtes tenté par ne rien faire ?

Si une personne physique constate un préjudice morale du à votre traitement de ses données et qu’elle en réfère à la CNIL (pour la France), vous devrez réparer ce préjudice par quelque moyen que ce soit.

Si ce préjudice fait suite à la violation du règlement, deux cas sont possibles :

  • la violation est mineure et non intentionnelle, un simple rappel à l’ordre
  • la violation est intentionnelle et grave, une sanction administrative ou une amende pourront être infligée

La sanction n’est donc pas forcément l’argument le plus important pour l’application de ce règlement. Par contre, il est désormais connu de beaucoup, et surtout de vos clients. Et ce sont eux qui risquent de vous infliger la plus lourde des sanctions en allant à la concurrence, qui elle, sera en conformité.

Alors, convaincu ?

Satisfaction client