Le RGPD (GDPR en anglais) est le nouveau règlement européen sur la protection des données. Il est entré en application en mai 2018 et impacte toutes les entreprises opérant du traitement de données à caractère personnel sur des résidents européens. Le RGPD poursuit plusieurs objectifs ambitieux :

  • Uniformiser au niveau européen la réglementation sur la protection des données
  • Responsabiliser davantage les entreprises en développant l’auto-contrôle
  • Renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.)

 

Le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données sur le territoire français.

La CNIL délivre 6 bons réflexes pour appliquer le RGPD et prendre les mesures nécessaires pour garantir une utilisation des données personnelles collectées transparente et respectueuse de la vie privée des personnes concernées :

  • ne collectez que les données vraiment nécessaires ;
  • soyez transparent ;
  • respectez le droit des personnes en matière de consultation, de rectification ou de suppression des données ;
  • gardez la maîtrise des informations que vous collectez ;
  • identifiez les risques liées à votre traitement de données ;
  • déployez des dispositifs de sécurisation des données collectées (physiques et numérique).

Pour en savoir plus, la CNIL met à disposition des kits pratiques pour faciliter la mise en place du RGPD.

 

Qui a le devoir de se conformer au RGPD ?

 

Toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.

La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entre pas en ligne de compte. Même une petite start-up qui se lance dans de l’e-santé doit aussi être dans les clous.

 

Quelles sont les principales mesures qu’une entreprise doit respecter pour pouvoir collecter vos données ?

 

Consentement de l’utilisateur

C’est le bandeau qui apparaît généralement lors de l’ouverture d’un site ou d’une application. Avec les boutons « Oui » et « Non » qu’il contient il permet une validation ou un refus des conditions générales d’utilisation (CGU) de l’outil. De plus, ce bandeau contient bien évidemment un lien redirigeant vers une description exhaustive de ces CGU qu’il est bien évidemment conseillé de lire avant validation.

 

Preuve de consentement

L’utilisateur devant accepter ou refuser ces CGU il convient donc au propriétaire de l’outil digital de conserver une trace de ce consentement même si aujourd’hui, dans la plupart des cas, les utilisateurs ne sont pas connectés à un compte et n’ont pas d’adresse IP affectée ce qui rend la tâche moins sensée.

 

Durée du consentement

Enfin, la CNIL estime que la durée de vie maximale d’un cookie est de 13 mois, période au-delà de laquelle un nouveau consentement devra être demandé.

 

Que représentent ces Conditions Générales d’Utilisation (CGU) ?

 

En premier lieu, les mentions légales devront être présentées :

  • Identification de la société ou personne physique gestionnaire du site Internet
  • Identification du service d’hébergement
  • Identification du responsable éditorial
  • Un lien vers les conditions générales d’utilisation
  • Nous vous conseillons d’informer le visiteur que vous êtes en conformité avec le RGPD. Cela crédibilise votre site Internet

 

Puis, certaines informations devant impérativement être notifiées aux utilisateurs dans ces CGU :

  • La liste complète des données collectées
  • Un chapitre dédié aux formulaires présents dans le site pour préciser dans chaque cas l’utilisation des données qui en est faite
  • La finalité de la collecte
  • La durée de conservation de ces données (qui ne peut pas excéder 13 mois dans le cas des Cookies).
  • Le droit d’accès aux données conservées
  • Le moyen pour demander la suppression des données personnelles du site
  • La tenue d’un registre des demandes de modification des données personnelles

 

Les CGU n’ont une valeur légale qu’à condition d’être acceptées par l’internaute au moment d’entrer sur le site. L’acceptation des CGU peut être matérialisée par une case à cocher, de type : « En cochant cette case, vous certifiez avoir lu et accepté sans réserve les présentes ».

 

Attention : à chaque modification ou mise à jour des CGU, l’éditeur de l’outil devra veiller à faire accepter les nouveaux termes aux utilisateurs.

 

A quelles sanctions s’exposent les entreprises ne respectant pas les normes RGPD ?

 

En cas de non-respect des normes RGPD vous vous exposerez à une amende de 2% à 4% de votre chiffre d’affaire annuel ainsi qu’à une interdiction de collecter de la donnée sur vos utilisateurs. Il est donc nécessaire de se mettre à jour régulièrement pour ne pas s’exposer inutilement.

> Pour en savoir plus sur le RGPD c’est par ici ou par ici.