RGPD : QU’EST-CE QUE C’EST ?

Le RGPD (Règlement Général sur la Protection des Données) est un cadre juridique européen concernant le traitement et la circulation des données à caractère personnel. Ces informations données par les consommateurs (âge, sexe, habitudes, adresse…) sont utilisées par les entreprises pour proposer des services et des produits. Ce texte concerne l’ensemble des résidents de l’Union européenne.

DÉFINITION D'UNE DONNÉE PERSONNELLE

Une donnée à caractère personnel est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut donc s’agir du nom de la personne, son adresse IP ou bien son adresse postale. Une donnée personnelle est considérée comme sensible dès qu’elle touche à des informations pouvant donner lieu à des préjugés ou discriminations. C’est le cas notamment des préférences sexuelles ou des opinions politiques par exemple.

A savoir : les données sensibles possèdent déjà un cadre juridique particulier. Ce dernier interdit toute collecte sans consentement préalable écrit, clair et explicite, et pour des cas précis, validés par la CNIL (Commission Nationale de l’Informatique et des Libertés), et dont l’intérêt public est avéré.

LES OBJECTIFS DU RGPD

L’objectif principal du RGPD est d’harmoniser le cadre juridique européen en matière de protection des données personnelles.
Le Règlement général sur la protection des données a trois objectifs principaux :

• Renforcer les droits des personnes, grâce, notamment, à la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
• Responsabiliser les acteurs traitant des données
• Crédibiliser la régulation par la mise en place d’une coopération renforcée entre les autorités de protection des données des états membres.

ENTRÉE EN VIGUEUR DU RGPD

Depuis le 25 mai 2018, toutes les entreprises (européennes ou non) doivent respecter les nouvelles règles juridiques pour la collecte, le traitement, la conservation et la sécurisation des données personnelles recueillies auprès des résidents européens.

Depuis cette date, le non-respect du RGPD peut déboucher sur des sanctions, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

LES CONSÉQUENCES DU RGPD SUR LES INTERNAUTES

Objectif principal pour les internautes : donner un accord éclairé pour la collecte et l’exploitation de ses données.

Les mineurs (moins de 16 ans) sont plus protégés, les entreprises doivent demander clairement l’accord des parents pour une inscription, notamment sur les réseaux sociaux. Les droits des internautes sont aussi renforcés, notamment le droit à l’oubli, le droit d’accéder à leurs données, les corriger et les supprimer, ainsi que le droit à la portabilité (récupérer l’ensemble de ses données fournies et les envoyer vers un autre prestataire).

Les internautes doivent avoir des informations claires et précises sur la collecte et/ou l’utilisation des données personnelles.

QUE DOIVENT FAIRE LES ENTREPRISES POUR ÊTRE CONFORME AU RGPD ?

Six étapes incontournables doivent être mises en place par les entreprises concernées par le RGPD.

1. Désigner un délégué à la protection des données
2. Recenser les traitements de données personnelles
3. Identifier les actions à mener pour vous conformer au RGPD
4. Analyse d’impact sur la protection des données susceptibles d’engendrer des risques
5. Mettre en place des procédures internes
6. Regrouper la documentation nécessaire pour prouver votre conformité au RGPD.

L’OPT-OUT ET OPT-IN PASSIF SONT DÉSORMAIS INTERDITS

Depuis le 25 mai 2018, le consentement doit être demandé de manière explicite via l’opt-in uniquement. L’opt-out qui consiste à inscrire d’office à utilisateur à votre base après une inscription à un service, et l’opt-in passif qui consiste à obtenir le consentement d’un utilisateur de manière détournée (par exemple, en pré-cochant la case d’inscription à votre base de données), sont désormais interdits par le RGPD.

CONFORMITÉ RGPG : LES ACTIONS À EFFECTUER SUR GOOGLE ANALYTICS

1 . LA CONSERVATION DES DONNÉES

Dans Administration / Propriété / Informations de suivi, vous devez sélectionner la durée pendant laquelle vous souhaitez conserver les informations sur les utilisateurs (cookies et identifiants). Vous devez ensuite indiquer si vous souhaitez réinitialiser cette durée chaque fois que l’internaute réalise un nouvel événement.

2. LES CONDITIONS DE TRAITEMENT DES DONNÉES

Dans Administration / Compte / Paramètres du compte, vous devez :
• Consulter l’avenant
• Renseigner les coordonnées de la personnalité juridique et du contact puis enregistrer.

INFORMER L’UTILISATEUR DU PROFILAGE

Sachez que le profilage, qui correspond au traitement automatisé des données personnelles, doit désormais faire l’objet d’une information précise auprès des utilisateurs. Ces derniers peuvent également sortir de cette automatisation et/ou s’y opposer. Pensez à mettre à jour vos clauses de confidentialité et vos textes de formulaires pour être conforme au RGPD.

SÉCURISER LES DONNÉES COLLECTÉES

Les entreprises collectant des données, notamment à caractère personnel, doivent prendre les mesures nécessaires pour garantir au mieux leur sécurité. Ces mesures dépendent de la sensibilité des données et des menaces qui pèsent sur les personnes en cas de d’incident. L’objectif étant de minimiser les risques de pertes de données ou de piratage.

Les entreprises doivent penser à mettre à jour les antivirus, les logiciels et changer régulièrement les mots de passe.

RGPD : seule une entreprise sur trois est conforme !

WebSteem vous accompagne pour mettre votre site en conformité et vous propose de mettre en place les fonctionnalités suivantes :

- Mise à jour personnalisée de vos mentions légales
- Création ou mise à jour de la page "Politique de confidentialité"
- Gestion du consentement des traitements des données sur le site (acceptation ou refus des cookies, en lien avec paragraphe spécifique de mentions légales)
- Ajout des demandes de consentement au niveau des formulaires du site + mentions écrites obligatoires (toutes langues)
- Effacement des données clients selon les durées autorisées par le RGPD.

Articles recommandés