RGPD : Règlement général sur la protection des données

LE RGPD : qu'est-ce que c'est ? Comment mettre son site en conformité ?

Tout le monde en parle, il entre en application ce 25 mai 2018. Le RGPD ou règlement général sur la production des données (Ou GPDR en Anglais) rend le pouvoir sur ses données à vous et moi. Inutile de préciser que c'est un véritable tsunami qui arrive.

OK c'est bien beau tout Ca, mais en pratique qu'est-ce que Ca veut dire ?

Chez Double-Y nous avons beaucoup travaillé sur la question. Sans être des experts juridiques nous avons déployé de nombreuses adaptations afin de rendre les sites et applications de nos clients conformes. Ce présent article ne sera pas exhaustif car la directive est complexe mais fait appel au bon sens. Ne pas faire aux données des autres ce que nous ne voudrions pas que les autres fassent à nos données.

Pour faire simple : plus aucune entreprise, association (et oui même l'association de danse ou le club de foot de vos enfants sont concernés), et si on va plus loin, plus PERSONNE ne peut enregistrer et traiter vos données personnelles sans votre consentement explicite. Et une fois ce consentement obtenu, celui-ci ne sera valable que pour un usage et une durée prédéterminée. Même si ce n'est pas nouveau vous bénéficierez de manière plus simple du droit d'accès, de rectification et de suppression de vos données.

Cela s'applique à tous, car même les données personnelles sur papier sont concernées !

Qu'est-ce qu'une donnée personnelle ?

Une donnée personnelle est une information qui permet d'identifier et de qualifier une personne physique. Ainsi de manière non exhaustive : nom, prénom, email, téléphone, adresse IP, cookie, race, sexe, données GPS sont des données personnelles. Certaines sont plus sensibles que d'autres et pourraient nécessiter un traitement particulier.

Quelques étapes pour vous mettre en conformité :

1) Nommer un responsable au traitement des données

C'est une personne de votre entreprise qui sera responsable de cartographier quelles données vous récoltez, ce que vous en faite et si les usages respectent bien la réglementation.

2) Principe de Privacy by design / privacy by default

Le Privacy by design signifie qu'il faut dès la conception prévoir de ne demander que les informations nécessaires au bon traitement. Quel intérêt de demander la date de naissance complète d'un prospect ? Si vous voulez lui faire un cadeau, demandez juste sa date d'anniversaire ! Bref vous l'avez compris, on ne demande que le strict minimum nécessaire.

Le privacy by default désactive par défaut toutes les fonctionnalités faisant usage de données personnelles, l'utilisateur est ensuite alerté au fur et à mesure qu'il souhaite activer ces fonctionnalités (suivi gps par exemple…)

3) Consentement / Preuve de Consentement (principe d'accountability= preuve de consentement)

Désormais il faut que l'utilisateur soit éclairé sur ce à quoi seront destinées ses données, il doit l'avoir compris et le confirmer de manière explicite. Il faut lui expliquer de manière claire, un enfant devrait pouvoir comprendre. Pour chaque consentement reCu, il faut également prévoir que la personne puisse annuler le consentement et voir ses données personnelles supprimées.

a) Formulaires d'inscription, de contact, de newsletter…

Pour l'inscription à un service (espace membre, compte e-commerce, newsletter) il est obligatoire de préciser l'usage qu'il sera fait des données et pour combien de temps. Par exemple, un membre qui s'inscrirait pourrait être informé que ses données sont stockées et peuvent être utilisées pendant x années après sa dernière connexion pour un usage commercial. Ou pour une newsletter jusqu'au désabonnement de la personne. Tout ceci doit être bien apparent et la case mentionnant l'acceptation ne peut plus être pré-cochée.

Dès que le consentement est donné, celui-ci doit pouvoir être prouvé, pour cela nous préconisons l'enregistrement de l'adresse ip, accompagnée de la version des mentions légales/politique vie privée/ conditions générales de vente ainsi que de la phrase de consentement présente sous le formulaire.

Exemple de petites phrases à mettre sous vos formulaires : « En soumettant ce formulaire, j'accepte que les informations saisies soient exploitées dans le cadre de la réponse à mes questions et demandes ainsi que de la relation commerciale qui pourrait en découler.

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Double-Y pour répondre à vos questions et demandes. Elles sont conservées pendant 3 ans et sont destinées au service commercial. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en nous contactant par ce même formulaire.

Pour plus d'informations : Consultez notre politique de protection de la vie privée »

b) Cookies

Même si la loi l'imposait déjà et il faut bien le dire peu de sites le respectait, les cookies utilisant des données personnelles ne peuvent être déposés qu'après consentement réel de l'utilisateur. Le RGPD impose désormais que le consentement soit explicite. Finie la vague de cookies envoyée dès la visite sur une deuxième page !

4) Rendre les données à son propriétaire

Le droit d'accès et de rectification était déjà existant mais il est renforcé dans le sens ou les données de l'utilisateur devront pouvoir lui être transmis en intégralité et si la technologie le permet dans un état lisible par une machine (format json, csv par exemple).

5) Durée de consevation des données

L'utilisateur doit être informé de la durée de conservation de ses données. Une fois le délai expiré, les données devront être détruites ou anonymisées (à la différence du cryptage, l'anonymisation rend impossible la reconstruction des données originales). Il faut donc prévoir des mécanismes de suppression automatiques basées sur des règles du genre x années après la dernière connexion, x années sans clic dans la newsletter....

6) Sécurisation des données

Le RGPD vient renforcer l'obligation de renforcer la sécurité. Selon la sensibilité des données l'encryptage peut être envisagé. Nous avons fait ce choix et l'appliquerons dans les prochaines semaines sur les sites contenant des listes de membres d'association où les données peuvent parfois être plus sensibles. (mineurs…)

De base, un certificat SSL permettant d'être en https est le minimum syndical pour votre site web.

Voir notre article à ce sujet : Double-Y bascule sa plateforme en https

Coté serveur veillez à ce que vos mots de passe soient suffisamment forts. Et si vous utilisez un CMS que celui-ci soit toujours à jour.

7) Donner l'alerte

On vous souhaite que Ca n'arrive jamais, mais en cas d'accès non autorisé aux données, vous serez dans l'obligation d'alerter les personnes dont les données ont été volées ainsi que la CNIL dans un délai de 72h.

 

Au-delà de ce simple article de blog, il nous faudrait plusieurs dizaines de pages pour détailler l'ensemble des actions que nous avons mise en place sur nos sites et applications.

Nous avons beaucoup travaillé sur cette nouvelle réglementation et nos clients sont prêts !

Et vous ? N'hésitez pas à nous contacter si vous avez besoin d'aide !

Retour
Copyright© Double-Y 2019 - Agence web Caudry, proche Cambrai, Hauts de France - Tél : +33 (0)3 59 26 00 00

Accueil - Connexion - Mentions Légales - Politique Vie Privée - Gestion des Cookies