Le règlement général sur la protection des données s’impose depuis le 25 mai 2018. Les plateformes Internet devraient déjà se conformer. Elles ne doivent plus uniquement proposer aux internautes de cliquer sur un « oui » pour valider leurs conditions d’utilisation. En effet, le RGPD prône plus de clarté en matière de collecte et de traitement des données personnelles. Le consentement explicite de l’utilisateur devient désormais incontournable, et ce dernier bénéficie dorénavant du droit à l’oubli. Si vous ne disposez pas encore d’un site conforme aux exigences du RGPD, découvrez les changements que cette loi apporte ainsi que la procédure pour mettre à jour votre plateforme.
Sommaire
Les exigences du RGPD
Cette loi s’impose à toutes les entreprises européennes. Elle met plusieurs contraintes à la charge des plateformes en ligne. Elles doivent disposer d’un registre récapitulatif pour le traitement des données. L’organisme de régulation peut réclamer ce document à tout moment. Désormais, la collection des données personnelles repose sur le consentement des utilisateurs. Mieux, le site exige uniquement ces informations pour un besoin avéré : signature de contrat, expédition de produit, etc. Plus de récupération anarchique des données des internautes ! Les entreprises s’engagent à sécuriser toutes les informations personnelles collectées. Cela les oblige à mettre en place des procédures opérationnelles pour protéger ces données. Cette exigence vaut également pour leurs prestataires, fournisseurs et sous-traitants. Selon le RGPD, les sociétés en ligne doivent prendre en compte la sécurisation des données dès le développement de leur plateforme. Avec cette loi, les internautes peuvent refuser la collection de leurs données personnelles (droit d’opposition). Ils ont la possibilité de demander au site d’effacer les données dont ils avaient autorisé la collecte (droit à l’oubli). Le RGPD leur permet également de limiter l’utilisation des informations recueillies (droit de restriction du traitement). Enfin, les plateformes en ligne doivent signaler aux responsables de régulation toute violation des données personnelles des internautes dans un délai de 72 h. Elles adressent aussi une notification aux titulaires concernés. Pour se conformer à ces exigences, les entreprises effectuent plusieurs mises à jour. Avant de les aborder, la compréhension de la notion de données personnelles se révèle indispensable.
La signification des données personnelles
En droit français, une donnée personnelle représente toute information liée à une personne physique. Le nom, les prénoms, l’adresse géographique, l’adresse email figurent au nombre des données personnelles d’un internaute. Toutes les entreprises en ligne récupèrent ces informations dans le cadre du CRM ou pour des campagnes d’e-mailing. Désormais, leur collecte est soumise à réglementation. En effet, le RGPD interdit le stockage des données personnelles sans objectif. La loi exige que leur traitement réponde à un besoin concret. De plus, le titulaire doit être informé. Son consentement demeure incontournable. Dès que les entreprises n’exploitent plus ces données, elles doivent les effacer. Cela suppose que ces données se stockent à un endroit précis. Chaque internaute doit pouvoir accéder à ses données, les modifier et les supprimer. La conformité d’un site au RGPD intervient en plusieurs étapes.
La mise à jour des mentions légales et de la politique de confidentialité
Cette étape se montre déterminante dans la procédure pour se conformer aux exigences du RGPD. Mais, elle se révèle assez simple dans la pratique.
L’actualisation des mentions légales
Au niveau des cookies, la plateforme doit notifier à l’internaute leur utilisation et leur finalité. Ce dernier devrait pouvoir les valider ou les rejeter. Généralement, le site lui permet d’accepter certains paramétrages et de s’opposer à d’autres. Ainsi, le client devra être informé obligatoirement lors de sa première connexion. Le bandeau cookie doit également comporter un lien vers les mentions légales. L’internaute y retrouve des renseignements sur la structure qui souhaite récupérer ses données personnelles. Il prendra le temps de bien lire les données puisque l’acceptation des cookies reste valable pour 13 mois au maximum. Le site doit lui laisser la possibilité de s’opposer au profilage.
Mettre à jour votre politique de confidentialité
-
le lieu physique de conservation des données collectées ;
-
la durée de stockage des données ;
-
les services susceptibles d’accéder à ces données ;
-
les différents usages des informations personnelles ;
- la démarche pour la consultation des données traitées ;
- la procédure de modification ou de désabonnement aux services de communication ;
- l’exercice du droit à l’oubli et les orientations pour la suppression des données.
Adapter vos formulaires
La dernière étape consiste à conformer vos formulaires aux exigences du RGPD. Cette mise à jour repose sur l’article 6 du RGPD qui stipule : « Le traitement n’est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. ». Cela implique le respect de 2 principes fondamentaux.
La clarification de l’acte de consentement
Vous devez prévoir un bouton pour que l’internaute notifie clairement son consentement. L’action ne doit souffrir d’aucune ambigüité. L’utilisateur doit pouvoir donner une réponse explicitement positive. Dans ce cadre, l’opt-in s’impose. Si possible, optez pour un double opt-in. La loi interdit désormais les cases précochées (opt-out).
Dans tous les cas, pensez à prévoir une solution alternative pour tout internaute qui ne souhaiterait pas consentir au traitement de ses données personnelles. Certains sites indiquent à ce type de client un numéro de téléphone pour joindre le service commercial.
La liberté de l’utilisateur
L’opposition de l’internaute ne doit en aucun cas donner lieu à une sanction. Le refus de consentement ne peut se traduire par une interdiction d’accès à un service. Par ailleurs, le formulaire doit prévoir un lien qui permet au client de profiter de son droit à l’oubli. Ce dernier doit donc pouvoir retirer sans difficulté son acceptation.
Prenez les taureaux par les cornes !
Plusieurs entreprises hésitent encore à lancer les travaux de mise à jour de leur site conformément aux exigences du RGPD. C’est le moment de passer à l’action pour ne pas vous exposer à une amende susceptible d’atteindre 4 % du chiffre d’affaires ou 20 millions d’euros. Certaines structures proposent des formations d’aide pour exécuter un plan de mise à jour. Gardez toutefois à l’esprit que la certification RGPD n’existe pas encore. Les premières certifications du Data Protection Officer n’interviendront qu’après l’étape d’application de la nouvelle réglementation. Sur ce point, la CNIL confirme que « Les référentiels de certification seront élaborés après une phase de consultation publique, approuvés par la CNIL et publiés sur son site. Il appartiendra ensuite aux candidats de se rapprocher des certificateurs, qui procèderont à l’instruction de leurs demandes. » À l’étape actuelle, aucune entreprise ne peut s’offrir une certification RGPD. Tout le monde s’affaire pour se mettre en conformité. Toutefois, vous avez la possibilité de tester l’efficacité des modifications réalisées. En effet, Cookie Secure vous propose un audit de votre plateforme pour vérifier la conformité de votre site à la loi. Vous n’y perdez rien puisque cette offre demeure gratuite. Vous effectuez une simple demande sur la base de l’adresse de votre plateforme. Vous indiquez également un email pour recevoir le diagnostic. Très pratique, n’est-ce pas ? Vous aurez ainsi une confirmation de conformité de votre site au RGPD ou le point des aspects à revoir.