Avez-vous entendu parler du nouveau Règlement Général sur la Protection des Données personnelles (RGPD) qui a été mis en application depuis le 25 mai 2018 ? Saviez-vous qu’il s‘agit d’une nouvelle réglementation de l’Union Européenne ? De nos jours, cela fait partie des sujets qui préoccupent de nombreuses sociétés qui disposent de sites internet. Pourquoi ? Parce qu’elle est liée à la sphère juridique et peut leur générer une amende s’il n’est pas bien respecté. L’idée serait venue à la suite d’une prise de conscience des conséquences du numérique sur les informations personnelles des internautes. Mais de quoi s’agit-il véritablement ? Est-on obligé de se conformer à cette réglementation ? Concerne-t-elle tous les responsables de sites internet ? On vous dit tout.
Qu’est-ce que le RGPD ?
Les Anglais le désignent sous le sigle GDPR (General Data Protection Regulation). Comme nous l’avons déjà défini tout au début de l’article, Le RGPD est l’acronyme de Règlement Général sur la Protection des Données (à caractère personnel). Il s’agit d’un règlement qui s’applique à tous les pays de l’Union européenne. Il régit la collecte et le traitement des données à caractères personnels des internautes par les entreprises. Son rôle est de protéger la vie privée des utilisateurs et la confidentialité de leurs données. En effet, il s’inscrit dans la continuité de la Loi française “Informatique et Libertés” de 1978. Grâce à cette nouvelle loi, les internautes peuvent pousser un ouf de soulagement puisqu’ils ont désormais une mainmise sur la confidentialité de leurs données personnelles. Aussi, il est important que vous ne confondiez pas directive et règlement. Ce dernier s’applique dans son intégralité et directement. Cela veut dire qu’un règlement est applicable sans avoir besoin d’être transposé dans le droit national. En tant qu’entreprise, vous avez l’obligation d’effectuer la collecte des données personnelles et de les consigner au sein de la société. Il ne doit avoir aucune fuite d’information personnelle.
Données à caractère personnel : à quoi fait-on allusion réellement ?
- D’un identifiant;
- D’un numéro de téléphone personnel ;
- De Coordonnées (ex. une adresse personnelle) ;
- Des données de localisation ;
- D’une adresse e-mail personnelle ;
- D’une photographie ;
- D’une adresse IP ;
- De l’identifiant d’un cookie ;
- D’un formulaire de contact ;
- D’un trombinoscope ou un annuaire.
- D’un numéro de carte d’identité ;
- Etc.
En résumé, retenez que ce sont tous les éléments spécifiques propres à l’identité physique, physiologique, sociale, génétique, économique, psychique ou culturelle du client ou du prospect. Étant donné que le RGPD a comme but le renforcement et l’unification des lois sur la protection de la vie privée en Europe et la protection des données personnelles des citoyens, il prend en compte également le traitement des données sensibles à savoir :
- la religion ou l’appartenance syndicale ;
- la santé, la vie sexuelle d’une personne ;
- les opinions politiques et philosophiques ;
- les origines raciales ou ethniques ;
- le casier judiciaire ;
- les informations génétiques ou biométriques.
Qui est concerné par le RGPD ?
Aujourd’hui, quelle entreprise ne collecte pas des informations de ses membres ou visiteurs ? Vous me répondrez certainement que toutes les sociétés le font. Eh bien ! Vous avez la réponse à votre question. En effet, le Règlement Général sur la Protection des Données s’applique à toutes les sociétés, structures, organismes, et collectivités qui ont des données personnelles issues de l’Union Européenne.
Tout site qui collecte, analyse et traite des données personnelles (clients, prospects, employés…) est donc dans le viseur du RGPD.
Pour être plus clair, sont touchés par le RGPD tous les sites qui disposent de certaines fonctionnalités. On vous énonce quelques cas.
- Le site collecte les adresses IP que transmettent les visiteurs.
- Le site est doté d’une fonctionnalité “commentaires” qui a un champ “adresse e-mail” que le visiteur doit remplir.
- Le site est équipé du Tracking ou des Cookies qui permettent à l’administrateur d’analyser le comportement de ses visiteurs.
- Un formulaire de contact est disponible sur le site.
- Sur les articles de blog ou certaines pages du site, la fonctionnalité “commentaires” est activée.
- Le site dispose d’une fenêtre d’abonnement à la Newsletter.
- Le site est équipé des boutons de partage, non conformes à la protection des données.
Si votre site se trouve dans l’une de ces situations alors il est soumis aux obligations prescrites par le RGPD.
C’est donc un impératif pour vous d’auditer et modifier l’intégralité des mentions « Informatiques et Libertés » contenues dans les formulaires et les mentions légales de votre site web.
Retenez bien que le RGPD ne s’applique pas seulement aux données numériques. Il s’applique également aux données papier.
Quels sont les grands principes du RGPD ?
Comment faire pour être en conformité avec le nouveau règlement ? Pour être en conformité avec le RGPD, vous devez :
- avoir le consentement de vos visiteurs avant que ne se fassent la collecte et le traitement de leurs données personnelles ;
- être capable d’apporter la preuve de ce consentement à tout moment ;
- collecter uniquement les informations qu’il vous faut ;
- informer de manière explicite vos clients ou visiteurs de l’usage que vous voulez faire de leurs données ;
- donner la possibilité aux internautes de savoir les données que vous conservez et la durée de la conservation ;
- montrer les fonctionnalités de votre site en toute transparence à l’internaute ;
- prévenir la CNIL et les internautes concernés sous un délai de 72 h maximum en cas de violation de leur vie privée ;
- permettre à l’internaute de disposer de toutes les données collectées sur lui et de demander la suppression définitive. Cette suppression devra se faire dans un délai de 30 jours.
- utiliser un registre de langue accessible à tous ;
- ne pas piéger l’internaute à travers des techniques design trompeuses comme le “dark patterns”, le “bait and switch” ou la “misdirection” qui l’amènent à faire des actions qu’il n’a pas l’intention d’effectuer ;
- assurer la sécurité renforcée des données sensibles que nous avons énoncées plus haut. Vous pouvez vous rendre sur https://www.cookie-secure.com/fr/cookiesecure-apres-bandeau-cookie pour trouver des experts qui vous aideront à vous conformer avec la loi RGPD.
Quelles sont les sanctions prévues en cas de violation ?
On ne vous souhaite jamais d’être confronté aux sanctions du RGPD. En effet, la peine prévue par la loi en cas de non-conformité est très lourde. Vous encourez des sanctions très graves. L’article 83 prévoit pour toute société qui ne respectera pas les textes de la nouvelle réglementation de l’Union Européenne diverses punitions. Vous pouvez recevoir un avertissement. C’est la sanction la plus simple. Vous pouvez également écoper d’une amende pouvant aller jusqu’à 20 millions d’euros pour certaines infractions ou 4 % du chiffre d’affaires annuel mondial total pour d’autres infractions. Enfin, la CNIL peut aussi vous suspendre pour le traitement des données personnelles ;
Pour votre gouverne, la CNIL avait puni l’ADEF (Association pour le Développement des Foyers) pour une faille de sécurité relative à son site web. L’amende dont a écopé l’ADEF a été fixée à 75 000 euros. Cela s’est produit un mois après la mise en vigueur du RGPD.