Skip to main content
Monétiser son blog

Comment respecter le RGPD?

By février 7th, 2020No Comments13 min de lecture

Le RGPD (Règlement général sur la protection des données) constitue la nouvelle loi de l’Union européenne qui régit la collecte et le traitement des informations d’ordre personnel des utilisateurs. Il est entré en vigueur le 25 mai 2018. Depuis lors, toutes les entreprises ont l’obligation formelle de respecter le RGPD pour assurer leur régularité. Nous allons vous présenter dix étapes nécessaires garantir la conformité de votre firme.

Les étapes à suivre pour respecter le RGPD

Respecter le RGPD nécessite la conformité à certaines bases.

1.      Cataloguer vos bases de données

Recensez l’intégralité des données collectées, traitées, stockées et utilisées par vos soins, au sujet des clients, des partenaires et des employés. Notez les données que vous rassemblez, où vous les obtenez, comment vous les utilisez et la durée pendant laquelle vous les gardez.

2.      Recensement des sous-traitants

Une conséquence de la collecte des données, vous devez également répertorier, collecter et stocker tous les sous-traitants avec qui vous faites affaire. Entrez en contact avec eux et assurez-vous de la conformité de leur rgpd.

Soyez particulièrement prudents en ce qui concerne les sous-traitants d’origine américaine. Dans la mesure où ces derniers conservent des données de clients qui ne proviennent pas de l’UE, il est fort probable qu’ils ne sont pas en conformité avec le rgpd. Cependant, à cause de la responsabilité solidaire que le RGPD a introduite, vous risquez d’être sanctionné si vous partenaires ne respectent pas le rgpd.

3.      Trier les données en votre possession

rgpd

Avec votre répertoire de données, questionnez-vous sur la pertinence des informations que vous avez collectées. Rassembler chaque type d’information est-il utile ? Vous devez être en mesure d’apporter une justification au but de l’utilisation des diverses données si vous êtes contrôlé. Alors, effectuez un tri minutieux et ne gardez que les données qui valent vraiment la peine.

4.      Tenir un cahier de gestion des données

A partir des données plus haut, vous pourrez aisément créer un tableau qui regroupe l’intégralité des données que vous rassemblez et traitez dans un cahier de traitement de données. Rappelons que ce cahier est indispensable pour les sociétés comptant plus de 250 employés, pour les données délicates ; mais également pour les données pouvant engendrer un risque pour les libertés et les droits des individus.

Il est nécessaire de créer et de tenir ce document à jour, peu importe la dimension de votre structure. De cette manière, vous serez assuré du bon respect du RGPD dans votre société, et prêt en cas d’éventuels contrôles inopinés.

Ce fichier comporte :

  • La finalité du recensement, du traitement et du stockage de données ;
  • Les personnes ayant accès à l’information ;
  • La catégorie des données rassemblées ;
  • La durée de stockage de ces données.

5.      Revisiter les mentions légales

Le RGPD a une incidence apparente sur les mentions légales de votre firme. Alors, prenez le temps de les revoir, afin de vous assurer qu’elles sont conformes à la réglementation. Cet élément a toute son importance, car des mentions légales mal rédigées influeront certainement sur le RGPD.

6.      L’obtention de l’approbation

Afin de regrouper et traiter les informations personnelles, il est nécessaire d’avoir l’approbation préalable des personnes concernées.

Le consentement se définit comme un acte d’accord qui exprime clairement l’acceptation libre, transparente et éclairée d’une personne. Cet acte est soit écrit, soit oral. De manière concrète, sur internet, il faut dorénavant que l’individu coche lui-même la case correspondante à son accord, car la case pré-cochée n’est plus valide.

Notons que le consentement est une action libre, qui ne doit en aucun cas, résulter de tromperies ou de geste d’incitation ou de manipulation. Aussi, le consentement ne doit pas être rémunéré ou motivé par des cadeaux. L’approbation n’implique pas non plus un accord à être démarché pour consentir à certaines formes d’achat.

Il est primordial que le client soit capable de refuser la gestion de ses données personnelles sans en subir de préjudices, et qu’il puisse annuler son consentement quand il le désire.

7.      Informer votre clientèle et vos partenaires

Le RGPD dénombre les données à communiquer :

  • Quel est l’objectif de la collecte et du traitement des données ?
  • D’où tenez-vous l’autorisation de collecter et traiter les données ?
  • Qui peut accéder aux données ?
  • Pour quelle durée les données seront-elles conservées ?
  • Quels sont les droits des individus ? Peuvent-ils transporter ou accéder à leurs informations ? Qu’advient-il des données après la mort de l’utilisateur ?
  • Quelles sont les modalités pour faire l’exercice de ses prérogatives ?
  • Que se passe-t-il en cas de transfert de données avec un pays situé hors de la zone Union Européenne ? Comment le transfert de données sera-t-il traité et quel est le niveau de protection de données qui est garanti ?

8.      Nommer un Data Protection Officer (DPO) dans votre société

données

Le DPO, ou délégué à la protection des données (DPD) en français, a pour fonction de s’assurer de la conformité du RGPD au sein de la structure ou de l’organisation. Il garantit l’information, le contrôle, le respect du rgpd et de la législation dans le cadre de la sauvegarde des données. Il est également en charge de la coopération avec l’autorité de contrôle (la CNIL) et se charge de la relier à la société.

La nomination d’un DPO est une contrainte pour les pouvoirs ou les corps publics, mais aussi pour les chargés de traitement dont l’activité exige un suivi des individus à une échelle élargie des données délicates ou en rapport avec des condamnations.

Nous vous recommandons toutefois, pour rendre votre gestion en interne plus facile, d’élire un DPO peu importe votre domaine d’activité.

9.      La sécurisation des données

Mettre en œuvre un rgpd constitue l’occasion idéale de faire le point sur la protection et la sécurité de vos données dans l’organisme. Il est primordial de faire des mises à jour régulières de vos logiciels et antivirus, mais aussi de modifier vos mots de passe sur une base régulière. N’hésitez pas à vous servir d’un chiffrement pour la sauvegarde de certaines données sensibles.

10.  La mise en place des procédures

Procédez à l’anticipation et la mise en place de l’ensemble des procédures qu’il est important de suivre pour le respect du rgpd. S’il advient que des données soient piratées, vous devrez réagir rapidement et en informer la CNIL dans les 72 heures après l’incident. Si un client demande à ce que ses données lui soient restituées (droit à la portabilité), vous devrez respecter sa décision. Aussi, vous avez l’obligation de supprimer les données d’une personne à sa simple demande et si un client demande que ses données ne soient pas traitées, vous devrez lui obéir.

Quelles obligations légales sur un site web pour respecter le RGPD ?

Pour respecter le RGPD à la perfection, il existe plusieurs règles à respecter pour les sites internet. Dans un premier temps, il est primordial d’informer l’utilisateur que vous collectez des données personnelles qui lui sont propres à 2 différents niveaux :

  • Tout d’abord, vous devrez faire le cas par cas. En d’autres termes, partout où vous collectez des informations dans votre site (formulaire de commande ou d’inscription, etc.) et même sur votre page d’accueil, où en général, vous insérez des cookies.
  • Vous devrez également résumer sur une même page – à laquelle l’accès est simple – l’intégralité des données que vous traitez et collectez, dans une politique de confidentialité, parfois appelée conditions générales d’utilisation. Dans les deux cas, vous devrez aussi prévenir les internautes, en indiquant d’autres éléments en rapport avec les données que vous rassemblez et traitez, notamment :
  • La nature des données rassemblées : vous devrez assurément indiquer avec exactitude, le type de données personnelles que vous avez l’intention de collecter. Le RGPD exige que vous ne regroupiez que les informations nécessaires à la réalisation de la finalité que vous avez présentée au préalable.
  • L’objectif de la collecte de données : il s’agit de la finalité, de la raison qui justifie votre collecte de données. L’utilisateur doit en avoir la parfaite connaissance.
  • La durée de la sauvegarde des données de l’usager : chaque finalité implique une durée de conservation de données bien déterminée. Toutefois, il est nécessaire de garder trois durées en mémoire : un mois, treize mois et trente-six mois en fonction du type de données.

Comment se passe la gestion des cookies sur un site web ?

Actuellement, un encart/bandeau, plus susceptible de gérer les cookies avec les nouvelles règles édictées par le pgpd pourrait jouer sur :

  • La temporisation : pas besoin de prendre l’utilisateur au dépourvu, dès qu’il arrive sur le site. En effet, l’encart peut s’activer après une durée déterminée, passée sur le site concerné.
  • La transparence : il est primordial d’expliquer l’apparition des cookies à l’internaute, sans qu’il n’ait besoin de cliquer sur une infinité de boutons avant d’obtenir la réponse à son questionnement.
  • La granularité : l’internaute qui n’a pas forcément une façon dualiste de penser, doit avoir la liberté d’accepter les cookies, en totalité, ou en partie, de manière à ce que, peu importe son choix, la qualité de l’expérience vécue sur le site reste la même. Il s’agit d’un élément qui a toute son importance pour le client, permettant d’entrer dans le « permission marketing « , qui gagne du terrain. Cette forme de marketing consiste simplement à solliciter l’accord du client, avant de lui envoyer toute forme de donnée qu’il n’aurait pas souhaité recevoir. Les internautes apprécient beaucoup ce mode de fonctionnement.

Le Privacy by Design

Pour revenir sur un point très important, qui concerne les mentions légales, il est primordial de comprendre et de mettre en pratique le concept de Privacy by Design. Les utilisateurs en ligne, plus éclairés qu’ils ne l’ont jamais été, depuis que le rgpd a vu le jour en 2018, sont de plus en plus pointilleux en ce qui concerne les actions mises en œuvres par les organisations pour assurer le bon traitement de leurs data personnelles.

Notons alors que si l’utilisateur constate que vous avez effectué toutes les procédures cités plus haut, il sera plus enclin à vous faire confiance. Il pourra donc de ce fait, apprécier votre site web à sa juste valeur et vos démarches feront très certainement la différence.

Toutefois, il est nécessaire de rappeler que la majorité des entreprises éprouvent d’énormes difficultés à mettre en place cette conformité et régularité du rgpd toutes seules, car la tâche s’avère très difficile et chronographe. De ce fait, il peut être utile de se tourner vers les multiples solutions qui existent sur le marché pour vous faciliter la procédure. Alors, le cas échéant, n’hésitez pas à recourir à de l’aide extérieure pour veiller à la collecte, au traitement et au stockage des données personnelles, conformément au RGPD.

Les cookies, comment ça marche ?

La CNIL recommande la collecte des consentements en suivant deux étapes : l’affichage d’un bandeau qui indique les objectifs définis des cookies, le choix d’y faire opposition et le changement de paramètres ; et le fait que, poursuivre la navigation équivaut à un consentement. Si l’utilisateur a choisi de cliquer sur le bandeau, il doit être avisé de la façon la plus évidente et compréhensible, de solutions qui sont mises à sa disposition, pour accepter ou réfuter la totalité ou une partie des cookies qui nécessitent un recueil de consentement. Ainsi, le choix appartient à l’utilisateur, qui peut décider de la teneur des informations qu’il partage avec le site web.

Respecter le RGPD est une nécessité absolue pour toutes les entreprises de l’Union européenne. Les informations que vous collectez et stockez doivent être légales et autorisées, et les personnes concernées doivent être averties que leurs données sont conservées et utilisées. Le chargé du traitement des données doit alors informer de la finalité de l’usage des données et le client doit pouvoir accepter ou refuser que ses informations soient utilisées. Aussi, les données que vous collectez doivent être pertinentes et limitées uniquement à celles dont vous avez absolument besoin pour accomplir votre finalité. Le non-respect du rgpd peut entraîner des sanctions graves. Alors, avant toute manœuvre, assurez-vous d’être dans la légalité.