RGPD 2018 : la réglementation

En mai 2018, la RGPD (Règlement Général sur la Protection des Données) va entrer en vigueur, êtes-vous prêts? Vous avez précisément jusqu’au 25 mai 2018 pour vous mettre en règle.

RGPD : objectif, portée

L’objectif de cette directive est de rendre aux citoyens de l’Union Européenne, le contrôle sur leurs données personnelles. Elle intervient dans un but d’uniformisation des pratiques à l’échelle européenne.

Il s’agit ici d’une réponse aux nouvelles problématiques soulevées par le big data.

Et si vous êtes comme la grande majorité des français (90%) vous êtes très certainement sensible et préoccupé par cette question de la protection des données.

Nos données circulent auprès des GAFA (Google, Apple, Facebook et Amazon), et de nombreuses autres entreprises qui en tirent profit.

Les nouvelles règles s’appliquent à toutes entreprises ciblant le marché européen, récoltant, utilisant ou stockant des données personnelles.

Qu’est-ce qu’une donnée personnelle? Une donnée personnelle permet d’identifier directement ou indirectement un individu via un ensemble de critères.

Vous retrouverez notamment : une adresse IP, une adresse e-mail, les coordonnées postales, le numéro de téléphone, le numéro de sécurité sociale, le nom et prénom, …

Ainsi que des données dites “sensibles” : génétique, biométrie, …

Notez par exemple le cas suivant : un internaute qui laisse un commentaire sur votre site WordPress (avec enregistrement de son adresse e-mail, son adresse IP et son nom).

Quels sont les supports concernés? Tous les fichiers manipulant des données personnelles.

Ce peut-être par exemple votre fichier Excel répertoriant votre liste de prospection, votre base de données clients, …

Les nouveaux droits des internautes

  • La portabilité de leurs données pour faciliter la bascule à la concurrence (ex. export JSON, XML, …)
  • Le droit à l’oubli, c’est à dire, sur demande, la suppression des données personnelles stockées
  • Le droit d’accès et de modification de ses données personnelles. Ainsi que la possibilité d’interdire l’utilisation de certaines données sensibles.

L’accord préalable devra également être obtenu afin d’utiliser ces données, l’internaute devra de plus avoir été préalablement informé concernant la nature des données collectées, la finalité et la durée de conservation (dans la limite de 13 mois).
Le consentement devra être explicite (ex. “J’accepte que mes informations personnelles saisies soient exploitées dans le cadre de ma demande de devis.“) et la demande la plus simple possible, pour permettre une bonne compréhension par tout type de public (enfant / adulte).

La notion de consentement préalable existait déjà, notamment pour l’usage des cookies (bandeau d’information) et des services tels que Google Analytics, pixel Facebook, …

A noter donc, que dans le cadre du consentement explique, les messages type “En poursuivant votre navigation, vous acceptez l’usage des cookies” ne seront plus conformes.

De même que toutes les pratiques permettant de recueillir de façon illicite un consentement (ex. opt-in passif – case pré-cochée, …).

Les services concernés ne devront être activés, que sur obtention de ce consentement, et la trace / l’archive (ex. log) devra être conservé pour faire office de preuve.

Ce consentement devra pouvoir être modifiable.

Il vous faudra également veiller à appliquer une minimisation des données exploitées, ce sera par exemple le cas dans vos formulaires (ex. Contact Form 7 sous WordPress).

Toute donnée n’étant plus exploitée, devra être systématiquement supprimée (ex. compte client inactif).

Du côté des entreprises …

Les entreprises deviennent responsables des données personnelles manipulées, le plus haut niveau de sécurité et de confidentialité des données devra être activé par défaut.

La CNIL ne disparaît pas

Sauf exceptions les formalités de déclaration CNIL (Commission Nationale Informatique et Libertés) seront maintenant caduques, la RGPD venant en remplacement de la loi Informatique et Libertés de 1978. Un auto-contrôle prendra le pas.

La CNIL agira comme organisme de contrôle au niveau national.

En cas de non respect, les sanctions pourront atteindre jusqu’à 4% du chiffre d’affaire mondial annuel de la société fautive, ou jusqu’à 20 millions d’euros pour les groupes. Avec une échelle progressive de sanction (avertissement, mise en demeure de l’entreprise, …).

Les bases de données non opt-in

Vous avez acheté des bases de données dans le but de réaliser de la prospection? Sachez qu’à partir du 25 mai 2018, ces dernières ne pourront plus être utilisées à des fins de démarchage massif (ex. envoi de newsletters).

Faites donc le tri.

Traçabilité des traitements

Tout événement de type piratage, perte de données, … devra faire l’objet d’un communiqué à l’autorité de contrôle, sous 72 heures.

A noter que toute entreprise sera garante des données qu’elle manipule et devra tout mettre en place pour éviter le vol, l’altération ou la destruction de ses dernières (tant dans l’aspect matériel que logiciel).

La mise en place d’un certificat SSL (HTTPS) sur toutes les pages de votre site qui manipulent des données personnelles sera bien évidement plus que recommandé. Ainsi qu’une sauvegarde régulière, cryptée.

Pour les entreprises de plus de 250 salariés, ou dans certains cas (ex. manipulation de données sensibles), la tenue d’un registre des données sera une obligation légale. Il devra notamment inventorier le traitement des données, la structure de base de données, … (documentation).

DPO : nouvel emploi

Chaque entreprise qui manipule des données sensibles, à grande échelle, devra nommer un DPO (Data Protection Officier). Cette démarche sera d’ailleurs obligatoire dans le secteur public.

Mais quelque soit le type de données exploitées, chaque entreprise devra avoir à disposition une personne (interne ou externe) nommée déléguée à la protection des données (“correspondant informatique et libertés“).

Que ce soit le DPO ou le délégué, il sera en charge de faire respecter la RGPD, notamment en sensibilisant / formant ses collaborateurs, en assurant la mise en place des nouveaux process, …

Compatibilité avec les sites WordPress

Quelques outils peuvent être mis en place sur votre site WordPress afin d’assurer les premiers leviers de mise en conformité.

C’est le cas de l’extension WP GDPR qui créée une page à partir de laquelle les utilisateurs vont pouvoir accéder à leurs données personnelles.
L’extension permettra également à l’administrateur WordPress de lister les extensions (WooCommerce, Gravity Forms, Contact Form 7, commentaires WordPress) qui collectent des données personnelles et nécessitent la mise en place d’une case à cocher de demande de consentement.

Un autre outil : l’extension WP GDPR Compliance.


A noter que la CNIL met à disposition un logiciel PIA (Privacy Impact Assessment) qui vous accompagnera dans la création du document du même nom permettant de prouver votre conformité RGPD.


PS : je ne suis pas avocat, n’hésitez pas à compléter / corriger mes propos.

  • Avis des lecteurs
  • Rated 4 stars
    4 / 5 (7 )
  • Votre avis


Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.