RGPD : Quels impacts pour mon site internet ?

C’est quoi le RGPD ?

Le RGPD c’est le Réglement Européen sur la Protection des données personnelles. Ce réglement appliqué le 25 Mai 2018, « oblige » toutes les « entreprises » et « administrations« , mais aussi les « associations » à respecter certaines règles concernant le traitement des données à caractère personnel.

Ce réglement s’applique à toutes les entités « dans le monde entier » dès qu’elles traites des données personnelles de citoyens Européens.

Le RGPD a été mis en place afin de protéger les citoyens Européens contre des utilisations abusives ou malveillantes de leurs données à caractère personnel.

De nombreuses entreprises détiennent des informations personnelles nous concernant, et nous ne savons pas réellement ce qu’elles en font. Le RGPD a été créé pour cela, afin de « libérer » nos données et nous donner un accès aux traitements de celles-ci.

C’est quoi une donnée personnelle ?

Selon la définition officielle une donnée personnelle c’est :

« toute information se rapportant à une personne physique identifiée ou identifiable […] directement ou indirectement »

Ainsi, de manière évidente, un nom, un email, un numéro de téléphone, une adresse sont des données personnelles… par extension des données sensibles (santé etc…) mais aussi des adresse IP par exemple, sont des données personnelles.

Est-ce que je suis concerné ?

Comme nous l’avons déja vu, en tant que « particulier », si vous lisez cet article, il y a de grandes chances que vous soyez un citoyen Européen et vous êtes donc concerné !

En tant qu’entreprise il y a 99% de chance que vous soyez concernés !

Vous avez un site Internet?

Vous disposez d’un site Internet, et vous réalisez au moins l’une des actions ci-dessous :

  • Vous utilisez des « cookies » (à des fins statistiques, comme Google Analytics, par exemple) ?
  • Vous utiliser un formulaire de contact ? (ou d’un formulaire de demande de devis ?)
  • Vous avez un site eCommerce, qui enregistre des commandes, des adresses etc…
  • ….

Sauf à avoir un site Internet « qui ne fait rien »… vous êtes concernés par la protection des données à caractère personnel.

Vous n’avez pas de site Internet ?

Vous gérez des « fichiers clients » (de manière informatisée ou pas), vous éditez des factures ? Bingo ! Vous avez gagné, vous êtes concernés par la protection des données.

Mais que dois-je faire alors pour être en conformité avec le RGPD ?

A minima, vous devez avoir « initié » les actions nécessaires à la mise en conformité de votre entreprise et de vos bases de données.

Vous devez ainsi :

  • Recenser les données personnelles traitées
    • Recrutement
    • Gestion de la paie
    • Gestion des accès
    • Statistiques de ventes
    • Clients / prospects
    • ….
  • Tenir un registre des ces informations (sous la responsabilité du dirigeant de l’entreprise)
    • Objectifs du traitement
    • Catégorie de données utilisées
    • Qui a accès au données
    • Durée de conservation des données
    • ….
  • Trier les données
    • Ne traiter que des données nécessaires à votre activité
    • Ne pas traiter de données sensibles
    • Limiter l’accès aux données en fonction des autorisations de chaque collaborateur
    • Ne pas conserver les données au delà de ce qui est nécessaire
    • Limiter les informations collectées
    • Mettre en place des procédures d’archivages (anonymisation) ou d’effacement…
  • Informer (via une page « Protection des données » sur votre site Internet par exemple).
    • Indiquer pourquoi vous collectez des données (par exemple « afin de gérer un achat en ligne »)
    • Indiquer ce qui vous autorise à traiter des données (par exemple l’exécution d’un contrat)
    • Informer sur la liste des personnes / entités qui ont accès aux données
    • Indiquer combien de temps les données sont conservées
    • Donner les modalités permettant aux citoyens d’exprimer leur droit d’accès et d’opposition aux données les concernant (espace personnel, courrier, email)
    • Donner les modalités permettant aux citoyens d’exprimer leur opposition aux traitements
    • Indiquer si il y a un transfert des données hors Union Européenne
  • Obtenir le consentement (via une case à cocher non cochée par défaut)
    • à la collecte de données
    • à l’utilisation des cookies
    • à l’utilisation des données à des fins de prospections commerciales…
    • ….
  • Sécuriser les données
    • Antivirus / firewall
    • Changements réguliers des mots de passe
    • Encryption des données
    • Sauvegardes
    • ….
  • Signaler à la CNIL toutes violation de données personnelles dans un délai de 72h

D’accord, mais concrètement, je dois faire quoi avec mon site Internet ?

Vous devez tout d’abord, comme nous l’avons vu, intégrer de manière globale le RGPD dans l’ensemble de l’organisation de votre entreprise.

Pour la « partie visible » de l’iceberg, votre site Internet, nous vous conseillons les 8 actions « simples » suivantes :

  1. Sécuriser votre site Internet
    • Le RGPD marque la fin des sites internet non sécurisés !
    • Votre site doit obligatoirement être disponible uniquement via le protocole HTTPS (avec l’affichage du « petit cadenas » dans la barre d’adresse de votre navigateur internet)
    • Bien sur vous devez aussi veiller à ce que l’hébergement de votre site Internet soit de qualité, protégé et mis à jour afin d’éviter les fuites de données.
    • Mettre à jour votre site régulièrement afin d’éviter les failles de sécurité, et tenir un historique de « l’activité sur votre site »
  2. Créer une page « Protection des données à caractère personnelle » sur votre site. Cette page reprendra toutes les informations concernant le traitement des données (vous pouvez par exemple consulter la page de « Protection des données à caractère personnelle » de notre site InterAgilité)
  3. Obtenir le consentement à l’utilisation des cookies (en général via un bandeau affiché lors de la première visite sur le site)
  4. Obtenir le consentement et l’acception de la politique de protection des données dans vos formulaires de contact, ou lors de l’utilisation d’une fonctionnalité eCommerce
  5. Conserver un historique de consentements afin de pouvoir les « prouver » à tout moment
  6. Mettre en place un processus de nettoyage des données, afin de supprimer les données qui ne sont plus utilisées (selon les délais définis dans votre politique de confidentialité)
  7. Mettre en place un processus de rectification / opposition, permettant aux citoyen d’accéder, de rectifier ou de s’opposer au traitement de leurs données.
  8. Gérer des « rôles » afin de limiter l’accès aux données aux collaborateurs de votre entreprise selon leurs habilitations.

Que faire de mon fichier client actuel ?

C’est une question « épineuse » … Vous devez pouvoir à tout moment « prouver » que vous avez obtenu le consentement d’un citoyen Européen avant de pouvoir traiter légalement ses données….

Il y a malheureusement de grandes chances que vous ne soyez pas en mesure de prouver cela actuellement. (Vous avez par exemple obtenu une adresse email via votre formulaire de contact, ou lors d’une création de compte, mais cela sans en détenir la preuve).

Dans ce cas, deux options …. « abandonner » votre base de données ! Ce qui est impossible.

Ou alors mener une action visant à obtenir le consentement, par exemple via un dernier email demandant aux citoyens Européen de vous donner leur accord pour le traitement de leurs données à caractère personnelle.

Gardons en tête que sans cette preuve de consentement, vos bases de données sont :

  • illégales
  • inexploitables
  • sans aucune valeur

Le RGDP, c’est finalement une belle opportunité pour votre entreprise…

Via quelques actions simples vous pouvez donc « initier » votre mise en conformité RGPD et mettre en place de nouveaux processus permettant de protéger les données de vos prospects et clients.

Il est important d’intégrer le RGPD comme une belle opportunité de travailler de manière plus éthique et plus transparente, dans le respect de la vie privée de vos interlocuteurs.

Cette « éthique » sera aussi pour vous une belle « carte de visite » afin de démontrer que votre entreprise est réactive et sensibilisée aux respects de droits de chacun.

Chez InterAgilité nous avons aidé de nombreuses entreprises dans la mise en place du RGPD, et cela de manière simple et agile, toujours en allant à l’essentiel, et en trouvant des solutions pragmatiques et rapides à mettre en oeuvre.

Vous avez besoin d’un conseil ? Contactez nous !