Le vendredi 25 Mai entrera en vigueur la nouvelle réglementation relative au  règlement général sur la protection des données (RGPD). Il incombe donc à tous les webmasters de mettre leur site en conformité avec la nouvelle réglementation. Mais concrètement en quoi cela consiste t-il précisément ?

Les principaux objectifs du RGPD sont d'accroître à la fois la protection des internautes concernant le traitement de leurs données à caractère personnel et la responsabilisation des webmasters vis à vis de celles-ci.  L’objectif de ce nouveau règlement est donc de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ».

 

Auditez le rapport de votre site vis à vis des données personnelles

Tout d'abord, rassurez vous : si les données personnelles ne sont pas au cœur de votre activité, les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants. 

A l'inverse, si vos traitements de données répondent à au moins 2 des 9 critères énumérés ci-dessous, vous devez, a priori, conduire une analyse d’impact sur la protection  des données. Nous vous conseillerons donc dans ce cas, de vous rapprocher de nos services analytics  afin que nous puissions vous conseiller au mieux sur la démarche à suivre.

Lorsque votre traitement a pour objet ou pour effet :

  • 1. l’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier);
  • 2. une prise de décision automatisée;
  • 3. la surveillance systématique de personnes (exemple : télésurveillance);
  • 4. le traitement de données sensibles (exemple : santé, biométrie, etc.);
  • 5. le traitement de données concernant des personnes vulnérables (exemple : mineurs);
  • 6. le traitement à grande échelle de données personnelles;
  • 7. le croisement d’ensembles de données;
  • 8. des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté);
  • 9. l’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple  : liste noire).

 

Certaines données ou certains types de traitements nécessitent une vigilance particulière :

 Lorsque vous traitez certains types de données à risque c'est à dire les données dites « sensibles » :

  • révélant l’origine prétendument raciale ou ethnique;
  • portant sur les opinions politiques, philosophiques ou religieuses;
  • relatives à l’appartenance syndicale;
  • concernant la santé ou l’orientation sexuelle;
  • génétiques ou biométriques.

 

Un devoir d'information 

Si vous n'êtes pas concernés par les différents points énumérés ci-dessus, il vous suffira à chaque fois que vous collectez des données personnelles d'informer les internautes et de faire figurer sur le support utilisé (formulaire, questionnaire, etc.) les mentions d’information suivantes :

 

  • pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur);
  • ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime »);
  • qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.);
  • combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle »);
  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié);
  • si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

 

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité/ page vie privée sur votre site internet. À l’issue de cette étape, vous avez répondu à votre obligation de transparence.

 

Permettre aux personnes d’exercer facilement leurs droits.

Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont des droits sur leurs données, qui sont d’ailleurs renforcés par le RGPD : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Vous devez leur donner les moyens d’exercer effectivement leurs droits.

Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée.

Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits à partir de leur compte.

 

Respecter ces premières consignes, vous permettra donc de mettre votre site en conformité avec les exigences du RGPD dans la plupart des cas. En revanche si votre rapport aux données personnelles est un peu plus poussé ou sensible, nous vous recommandons de nous contacter afin que l'on puisse répondre au mieux à votre problématique de mise en conformité.