Par Anna Didier Publié le 11 avr 2019 (mis à jour le 03 juin 2019)

Le RGPD fait beaucoup parler de lui ces derniers temps ! Cependant même si la CNIL nous aiguille bien à son sujet, nous sommes tous un peu perdus quant aux actions concrètes à mettre en place.
Si c’est aussi votre cas, cet article est fait pour vous !

 

Sommaire

  • Qu’est-ce que le RGPD ?
  • Les grands principes du RGPD
  • Les 6 obligations du RGPD
  • En pratique
  • Conseils et bonnes pratiques
  • Quel intérêt à être en conformité ?

 

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données est une mesure de l’Union Européenne entrée en vigueur le 25 mai 2018 et applicable à tous les états membres. Il remplace la directive sur la protection des données personnelles datant de 1995. L’objectif est d’harmoniser et de renforcer la protection des données à caractère personnel des individus de l’Union Européenne et de sensibiliser les différents acteurs. Le conseil européen parle de « redonner aux citoyens le contrôle de leurs données, tout en simplifiant l’environnement règlementaire des entreprises ».

 

Les grands principes du RGPD

A l’ère du Big Data et avec un volume mondial de données qui double tous les 3 ans, le principe fondamental de ce nouveau règlement repose sur la minimisation. En effet, il convient de récolter le moins de données possible en se limitant à ce qui est nécessaire. Ces informations doivent être récupérées de la manière la plus transparente et explicite et l’internaute doit être informé de la finalité de leur utilisation. Pour ce faire, diverses mesures doivent être mises en place. Mais concrètement, il faut faire quoi ?

 

Les 6 obligations du RGPD

1. Le consentement explicite et positif

Le premier axe à prendre en considération est celui du consentement explicite et positif. Cela signifie que l’objectif d’utilisation des données personnelles doit être rédigé de la façon la plus claire et précise possible. A chaque fois que l’utilisateur transmet des données, il doit cocher une case « j’accepte » et avoir accès à un lien renvoyant vers la politique de confidentialité du site.

Attention, la durée de validité du consentement s’élève à 13 mois et il est interdit de proposer des cases pré-cochées !

 

 

Focus sur les cookies

Le principe du consentement explicite et positif s’applique également pour les cookies, qu’ils collectent des données à caractère personnel ou non. Il est donc important de prévenir les internautes avant l’insertion des traceurs sur le site (via un bandeau présent sur la page d’accueil). Ils doivent avoir la possibilité de refuser ces cookies et même éventuellement de personnaliser leurs choix s’il y en a plusieurs. Votre bandeau doit également contenir un lien vers votre politique de confidentialité. La CNIL précise que « ce bandeau ne doit pas disparaitre et que la poursuite de la navigation vaut un accord au dépôt des cookies ».

NB : Les cookies et traceurs expressément demandés par l’utilisateur sont exemptés de consentement (exemple : panier d’achat, authentification, choix de la langue…)

Focus sur les newsletters

Lors de l’envoi d’un email marketing, il faut veuillez à ce que les listes de diffusion se composent uniquement de contacts double opt-in. Cela signifie que les personnes ont demandé de recevoir le message et qu’elles ont conforté leur volonté d’inscription en cliquant sur le lien d’un email de confirmation. De plus, chaque email doit comporté un lien de désabonnement visible afin que l’utilisateur puisse retirer son consentement à tout moment.

NB : Il ne faut jamais utiliser les listes de diffusion pour d’autres usages que ceux pour lesquels les personnes ont donné leur consentement, de même qu’il ne faut ni les vendre, ni les partager sans leur accord. 

2. Le droit à la modification, à l’effacement et à la portabilité

Le RGPD impose l’implémentation de solutions visant à modifier son consentement de manière simple.

L’utilisateur doit aussi avoir la possibilité de demander l’effacement de ses données personnelles. Pour chaque demande de retrait, il faudra bien penser à effacer toutes les données stockées.

Le site doit également fournir un moyen de récupérer ses données rapidement.

Il est important de répondre aux demandes de modification, suppression et consultation dans les meilleurs délais (1 mois légal).

 

3. Les mesures de protection

L’entreprise doit mettre en place des mesures de protection des données (chiffrement, cryptage, pseudonymisation…). On parle de « privacy by design », principe selon lequel chaque entité qui traite des données doit garantir le niveau de sécurité le plus élevé possible.

NB : il est possible de valoriser les bonnes pratiques des entreprises via des procédures de certification au niveau français et européen et l’octroi de labels par la CNIL.

Focus sur la désignation d’un Délégué à la Protection des Données

Un délégué à la protection des données (Data Protection Officer en anglais) doit être obligatoirement désigné dans les 3 cas suivants :

  • Collecte de données à grande échelle
  • Administrations publiques
  • Récolte de données sensibles (santé, informations bancaires, infractions pénales…)

Si votre entreprise ou administration fait partie des cas précédents, elle devra également réaliser une étude d’impact sur la vie privée (Privacy Impact Assessment en anglais) et avertir les utilisateurs et la CNIL dans un délais de 72 heures en cas de fuite d’information.

Formations Peexeo Webmarketing

Réseaux sociaux, Référencement naturel, Google Analytics, Google Ads, Sponsoring Réseaux sociaux…
Découvrez nos formations assurées par un webmarketeur professionnel !

 

4. La mise à jour de sa politique de confidentialité / Ajout d’une page « vie privée »

Pour être en conformité, il est important de mettre à jour sa politique de confidentialité ou d’ajouter une page de gestion des données personnelles. Celle-ci doit impérativement contenir les informations suivantes :

  • Vos coordonnées, celles de l’éditeur du site, celles de l’hébergeur
  • Le type de données récoltées
  • Pourquoi vous collectez ces données
  • Combien de temps vous les stockez
  • Les mesures de sécurité mises en place afin d’assurer leur protection

 

5. Rédaction d’un registre des activités de traitement

La rédaction d’un registre des activités de traitement est impérative pour toutes les entreprises de plus de 250 salariés. Il s’agit d’un document basé sur les techniques utilisées pour récolter, stocker et utiliser les données des utilisateurs (en savoir plus ici).

Selon les informations de la CNIL, les entreprises de moins de 250 salariés doivent uniquement mentionner les informations suivantes :

  • Traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.)
  • Traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
  • Traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.)

 

6. Responsabiliser les sous-traitants

Ce dernier point concerne les organismes qui exploitent des données personnelles pour le compte d’autres entreprises. Ils devront tenir un registre des activités de traitement effectuées pour le compte de leurs clients (en savoir plus ici).

 

En pratique

  • Cookies : proposer au minimum les boutons « j’accepte » et « je refuse » + un lien vers votre politique de confidentialité.
  • Formulaires : proposer une case à cocher « j’accepte » + un lien vers votre politique de confidentialité.
  • Newsletters : les contacts doivent être en double opt-in + présence d’un lien de désabonnement.
  • Politique de confidentialité : doit contenir à minima une adresse email, à contacter pour toute demande de modification, effacement ou récupération des données personnelles (si aucun autre moyen n’est mis en place).

 

Conseils et bonnes pratiques

La version WordPress 4.9.6 dispose d’outils favorisant une mise en conformité rapide. En complément, nous vous recommandons les plugins suivants : Cookie notice et Axeptio.

Aujourd’hui, certains aspects du RGPD demeurent encore assez flous. Afin de pallier ce manque de précision, nous vous conseillons de suivre les bonnes pratiques ci-dessous :

  • Clarifier au maximum vos demandes de consentement avec une possibilité d’acceptation, de refus et même de personnalisation :

Bandeau cookies Axeptio

 

  • Proposer des formulaires conformes avec une case d’acceptation et un lien vers la politique de confidentialité :

Formulaire de contact Peexeo

 

  • Mettre à disposition un moyen pour récupérer facilement ses données personnelles :

Exportation des données Facebook

 

Quel intérêt à être en conformité ?

En cas de contrôle de la CNIL, Le RGPD impose d’être capable de démontrer sa conformité à tout moment, sous peine de lourdes sanctions pouvant aller jusqu’à 4% du chiffre d’affaires annuel.
Il est donc recommandé d’actualiser et d’améliorer les procédures internes en continu.

Attention :

  • Ce règlement concerne également les entreprises extérieures à l’Union Européenne qui traitent des données relatives aux résidants européens.
  • Le RGPD s’applique sur vos clients mais doit aussi être mis en place au niveau de vos employés. 

 

Outre les sanctions envisageables, aujourd’hui les internautes sont de plus en plus sensibles au regard de la protection de leurs données personnelles et travailler sa politique RGPD permettra de gagner leur confiance ! De plus, cela favorisera une meilleure qualité des bases de données et donc une optimisation de vos campagnes marketing.

Vous désirez vous faire accompagner au sujet du développement de votre stratégie RGPD ?
N’hésitez pas à contacter notre équipe.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *