RGPD, quel impact sur votre site web?

Le RGPD est le nouveau règlement européen pour la protection des données personnelles. L’objectif de cet article est de vous sensibiliser à l’impact qu’il a sur votre présence sur le web et de vous interpeler sur les actions à mettre en place. Un seul mot d’ordre: « pas de panique! »

En bref

Le RGPD, pour Règlement Général sur la Protection des Données est un nouvelle règlementation européen applicable à la date du 25 mai 2018. Ce texte redéfinit les obligations des entreprises pour les données personnelles de leurs utilisateurs et de leurs clients.

Le RGPD est composé d’une centaine d’articles mais nous le résumons en 10 points importants :

  • Il s’agit d’un règlement, avec des articles de loi.
  • Des sanctions, 20 M€ minimum ou 4% du chiffre d’affaires.
  • Art 16 et 17: Droit à l’oubli.
  • Art 20: Respect du droit à la portabilité des données.
  • Art 24 et 28: Le traitement des données recueillies doit être justifié et transparent.
  • Art 30: Déclaration sur l’utilisation des données utilisateurs (création d’un registre des données).
  • Art 32: Obligation de sécurisation des données (cryptage).
  • Art 33, 34 et 35: Obligation de déclaration des fuites de données sous 72 heures après la découverte (communication de crise).
  • Ne pas collecter de données superflues.
  • Proposer des conditions générales d’utilisation compréhensibles.

Qui est concerné ? Toutes les entreprises européennes et toutes les entreprises ayant des clients en Europe.

Impact du RGPD

A quoi correspondent les données personnelles ? 

Ce sont l’ensemble des données qui permettent d’identifier une personne.

Le droit à l’oubli

Chaque utilisateur a le droit à l’oubli. Il est nécessaire de prévoir une fonction qui supprime l’ensemble des données personnelles de cet utilisateur.

Deux choix principaux s’offrent à vous :

  1. Supprimer l’ensemble des données liées à cet utilisateur
  2. Vider les champs dont vous n’avez pas besoin.

Export de données

Le RGPD prévoit que l’utilisateur puisse récupérer l’ensemble de ses données personnelles. Il faut prévoir une fonction qui permet à l’utilisateur d’exporter ces données.

Ces données doivent être communiquées dans un format lisible pour tout le monde afin de respecter le RGPD.

Donner à l’utilisateur le droit de modifier ses données

L’utilisateur doit pouvoir modifier ses données personnelles. Il en est de même des informations que vous avez récupérées via des applications tierces, comme LinkedIn par exemple.

Rien n’oblige à avoir des formulaires éditables, cela peut passer par une demande de modification manuelle à un support. Un formulaire reste la solution la plus facile à mettre en place!

Gestion du consentement utilisateur

Le RGPD prévoit que l’utilisateur autorise le traitement de ces données personnelles. Il peut également revenir à n’importe quel moment sur les droits qu’il a donné dans le passé. Une simple validation des conditions d’utilisation ne suffira plus.

En effet, l’utilisateur doit avoir accès à une interface qui lui permette de gérer les autorisations qu’il donne à votre site web. On peut imaginer un ensemble de checkboxs afin de gérer chacun des droits demandés.

Les données nécessaires à des obligations légales (facture, devis, etc.) seront soumis à une régime particulier et ne nécessiteront pas d’autorisation si l’utilisation de ces dernières est exclusif aux obligations légales.

Ne gardez pas les données plus longtemps que nécessaire

Le RGPD fait évoluer les règles; les données ne peuvent être conservées indéfiniment, la durée étant proportionnelle à la finalité des traitements nécessaires. En d’autres mots, une donnée récoltée dans un but précis avec un délai défini ne pourra être conservée sans raison valable. Ainsi, si une donnée a été recueillie dans un processus A pour un temps de traitement donné, il n’est pas possible de l’utiliser ultérieurement dans un processus B si cela n’a pas été explicitement prévu au départ.

Le temps de conservation sera à définir au préalable dans tous vos process et gardant à l’esprit que ce temps doit être le plus court possible, mais qu’il doit également répondre à certaines conservations ou exigences légales. Voici quelques exemples données par la CNIL:

36 mois est le nombre de mois au delà duquel vous ne pourrez plus conserver les données des personnes inactive.

13 mois est le nombre de mois au delà duquel vous devez renouveler le consentement des personnes à l’utilisation des cookies.

1 mois est le nombre de mois maximum de conservation pour des données de vidéo-surveillance

Protection des données dans le RGPD

Le RGPD formalise aussi certaines bonnes pratiques liées à la sécurité des données :

  • Crypter les communications entre machine
  • Crypter les bases de données où les données utilisateurs sont stockées
  • Crypter vos backups
  • Pseudonimiser les données en tests
  • Tenir un journal des modifications de données personnelles
  • Logger les accès aux données privées, attention toutefois à ne pas écrire dans les logs de données personnelles

Ce qu’il ne faut surtout pas faire

Il faut absolument respecter certaines règles pour être conforme aux règles de le RGPD:

  • Ne jamais utiliser de données utilisateurs sans demander d’autorisation explicite quel que soit l’objectif final
  • Ne pas mettre de données personnelles dans les logs
  • Ne récupérer les données que si elles sont nécessaires dans vos formulaires
  • Vérifier que les parties tierces respectent également le RGPD, l’application principale est responsable des données transmises à ces tierces parties
  • Être ISO 27001 ne veut pas dire respecter la GPDR, certes le gros du travail est déjà fait, mais cela n’est pas suffisant

Les sous-traitants ne sont pas responsable de la bonne application du RGPD

D’une manière générale, une entreprise est responsable de l’ensemble de ces outils informatiques même si ces derniers sont développés et maintenus par un tiers!

Pour finir

Avoir connaissance des grandes lignes de cette nouvelle régulation est important.

D’abord, vous pourrez en parler à votre utilisateur/client afin de savoir s’il a conscience des changements de régulation à venir et éviter une amende potentielle.

Ensuite, les obligations du RGPD vous donnent les grandes lignes pour une mise en place d’une gestion de données sensibles, chose que beaucoup de petites sociétés sont souvent incapables de faire, par manque de compétence, au sein de l’entreprise.

Enfin pour les utilisateurs, cette réglementation va obliger les entreprises à plus de transparence sous peine de se voir sanctionnées. Cette transparence permettra à l’utilisateur de reprendre, un peu, le contrôle de ces données.

Chez Webdigit

A chaque démarrage de projets, nous sensibilisons le client à la mise en conformité de son site web, avec la règlementation européenne. Cela passe par les textes légaux, les différents formulaires ainsi que le droit à l’effacement,

Bonjour, puis-je vous aider ?
Webdigit
Chatbot Image Bonjour, je suis SmartSearchWP, comment puis-je vous aider ?

Doté d'une intelligence artificielle, le robot peut faire des erreurs. Pensez à vérifier les informations importantes.