PARTAGER

En mai 2016, l’Union européenne a publié le Règlement Général sur la Protection des Données (RGPD). Cet instrument juridique majeur représente le changement le plus significatif pour organiser la collecte et la conservation des données à caractère personnel depuis la directive de protection des données de 1995.

Si vous êtes une entreprise, vous avez du déjà prendre le temps d’examiner le RGPD, mais où en êtes vous dans votre mise en conformité avec le nouveau cadre juridique de protection des données de l’UE ? Nous vous proposons, au travers de cet article, un rapide aperçu des nouvelles règles imposées par ce Règlement et les principaux changements que vous devez opérer. Néanmoins cet article ne prétend pas aborder l’ensemble des obligations induites par le RGPD qui diffèrent selon votre activité, la dimension de votre entreprise, le type de données traitées, …

Le RGPD : Qu’est ce que c’est ?

Le RGPD est un texte d’envergure qui aura un impact significatif pour toutes les entreprises qui collectent, traitent, regroupent et analysent des données personnelles et comportementales. Cette nouvelle réglementation se donne pour objectif de protéger les consommateurs et de leur redonner confiance dans les relations avec les entreprises. Au-delà des enjeux de performances marketing et commerciales, les sanctions en prévision pour les contrevenants peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial. De plus, les autorités de contrôle disposeront d’un certain nombre de pouvoir élargis.

Recenser vos données

Il peut être difficile pour une entreprise d’avoir parfaitement connaissance de l’usage fait des données dites « personnelles ». Quelles données sont traitées par quels services ? Comment les données transitent entre les services ? Quelles sont les personnes habilitées à en faire usage ? Le RGPD offre ainsi une occasion forte de se poser les bonnes questions sur son activité et ses process. Commencez par recenser de façon précise dans un registre les traitements de données personnelles que vous mettez en oeuvre et assurez-vous qu’ils respectent bien les nouvelles obligations légales :

  • Les différents traitements de données personnelles mis en oeuvre,
  • Les catégories de données personnelles traitées (état civil, identité, données d’identification, images, habitudes de vie, situation familiale, revenus, situation financière, situation fiscale, adresse IP, logs, déplacements, données GPS, GSM, etc.)
  • Les objectifs ou « finalités » poursuivis par les opérations de traitements de données (gestion du recrutement, gestion de la clientèle, enquête de satisfaction, protection des biens et des personnes, etc.)
  • Les acteurs (internes ou externes) qui traitent ces données (collaborateurs, prestataires sous-traitants, …)
  • Les flux de l’origine à la destination afin notamment d’identifier les éventuels transferts de données vers un pays hors de l’Union Européenne (Le pays hors UE vers lequel les données sont transférés doit respecter les principales modalités imposées par le règlement).

Être transparent sur traitement de vos données

Vous avez pour obligation d’informer les internautes sur l’objectif, le traitement et la récupération de leurs données personnelles lorsqu’ils naviguent sur votre site ou participent à vos opérations marketing. Cette obligation de transparence nécessite un certain nombre de modifications sur votre site web :

  • Créer une page Politique de confidentialité où vous pourrez notamment y mentionner les données collectées, les cookies utilisés et leur finalité, et le temps de conservation des données personnelles
  • Adapter vos formulaires avec des mentions claires de collecte
  • Adapter votre bandeau d’information relatif aux cookies
article-rgpd-illustration1

Bandeau d’information relatif aux cookies sur le site web d’Open Linking


Les données personnelles peuvent être conservées pendant 3 ans, puis sans réponse à vos sollicitations durant ce délais, le contact et ses données devront être supprimés. Les données relatives à la navigation d’un internaute devront, quant à elle, être conservées dans un maximum de 13 mois à compter de la date de dépôt du cookie. Toutes les données utiles à la simple réalisation d’un objectif, et les données des personnes ne souhaitant plus être contactées ne devront plus être conservées.

Donner les moyens à vos clients d’exercer leurs droits

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, …) ont des droits sur leurs données, renforcés par le RGPD (droits d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement). Toutes actions visant à recueillir des données à caractère personnel doit faire l’objet d’un consentement explicite, c’est à dire être lié à une action de la part de l’internaute :

  • Adapter vos formulaires avec des case à cocher pour obtenir, par exemple, le consentement de l’internaute à souscrire à votre newsletter
  • Obtenir le consentement de l’internaute avant de placer des cookies sur son terminal
  • Réaliser une campagne d’emailing pour appeller au consentement de son audience
  • Offrir la possibilité d’annuler facilement son consentement
article-rgpd-illustration1

Gestion des préférences pour les services sur le site web d’Open Linking

Vous devez mettre en place un processus interne permettant de garantir l’identification et le traitement des demandes dans des délais courts (1 mois maximum) pour faire face à toutes réclamations pour lesquelles vous aurez prévu un mode de contact spécifique (formulaire, adresse email, numéro de téléphone et/ou adresse postale).

Vous devez conserver une preuve de consentement au recueil des données personnelles dans un registre devant mentionner :

  • La date et l’heure du consentement
  • L’identité de l’individu
  • Le mode de collecte du consentement
  • L’information fournie à l’utilisateur lors de l’expression de son consentement

Garder la maîtrise de vos données

Vos sous-traitants et vous, vis à vis de vos clients, êtes tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de vos activités :

  • Obligation de conseil quant à la mise en oeuvre de certaines obligations du réglement
  • Obligation de tenir un registre de traitement effectuées pour le compte de leurs clients
  • Obligation de prévoir une clause spécifique sur la protection des données personnelles dans le contrat
  • Pour un hébergeur de données, obligation de proposer à ses clients une purge automatique et sélective des données d’une base active à l’issue d’une certaine durée

Sécuriser vos données

Vous devez prendre les mesures nécessaires pour garantir la sécurité des données. Vous êtes en effet tenu d’assurer la sécurité des données personnelles que vous détenez. Différentes actions doivent être mises en place selon la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident :

  • Mises à jour de vos antivirus et logiciels
  • Changement régulier des mots de passe et utilisation de mots de passe complexes
  • Chiffrement de vos données dans certaines situations
  • Habilitations aux seules personnes devant accéder aux données
  • Mise en place d’une procédure de sauvegarde et de récupération des données en cas d’incident
  • Sécurisation de l’accès à vos locaux

Il faut malgré tout envisager le pire tel qu’une intrusion dans son Système d’Information et la violation de données personnelles. Pour ne pas devoir improviser si cela devait arriver, formalisez un plan d’actions en cas de violation des données.

Travailler ensemble pour un site web conforme

open linking

En tant qu’expert du web, Open Linking se donne un rôle de conseil pour vous préconiser les actions nécessaires à votre mise en conformité de votre site web :

  • Sensibilisation aux enjeux du RGPD
  • Audit de l’existant Web Analytics (1) : Site web, comptes Google Analytics et Tag Manager (GTM) associés
  • Accompagnement à la mise en conformité : Configuration de la console Google Analytics et de GTM
  • Réalisation de la charte de protection de données pour Google Analytics
  • Réalisation et intégration des bannières (pop ups) personnalisées pour obtenir le consentement de l’utilisation de cookies via GTM

(1) Les sous domaines sont inclus dans la prestation. Nous n’intervenons pas dans l’audit des données du BackOffice.

Entrée en vigueur du RGPD

Le RGPD entrera en vigueur dans tous les Etats membres de l’UE à partir du 25 mai 2018. Beaucoup d’entreprises ne seront pas en totale conformité à cette échéance. Il est crucial d’engager des actions sans plus attendre et de formaliser l’ensemble des démarches visant à sa mise en conformité. Ainsi vous n’aurez pas de raisons d’être inquiété dans les premiers temps de sa mise en application.

VN:F [1.9.22_1171]
Avis: 10.0/10 (3 votes)
PARTAGER
Chargé de communication chez Open Linking

AUCUN COMMENTAIRE

LAISSER UN COMMENTAIRE