Dans le cadre de mon étude sur le nouveau Règlement Général sur la Protection des Données (le RGPD) qui sera mis en application dès le 25 mai 2018, il m’a semblé nécessaire de partager la synthèse que j’en ai faite.
Données personnelles : Définition
Voici la définition qu’en fait le RGPD :
(on entend par) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Source : Article 4 du RÈGLEMENT (UE) 2016/679 du 27 avril 2016
Vos obligations
La CNIL met en avant 5 grands principes définissant vos obligations en tant que responsable de traitement informatique de données personnelles:
Principe 1 : la Finalité
Définir les objectifs du fichier
Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, appelés « finalités », doivent respecter les droits et libertés des individus. Ils limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur.
Principe 2 : La pertinence
Vérifier la pertinence des données
Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées : c’est le principe de minimisation de la collecte. Le responsable de traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin. Il doit également faire attention au caractère sensible de certaines données.
Principe 3 : La Conservation
Limiter la conservation des données
Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées. Cette durée de conservation doit être définie au préalable par responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données.
Principe 4 : Les droits
Respecter les droits des personnes
Des données concernant des personnes peuvent être collectées à la condition essentielle qu’elles aient été informées de cette opération. Ces personnes disposent également de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient ces données le concernant : un droit d’accéder à ces données, un droit de les rectifier et enfin un droit de s’opposer à leur utilisation.
Principe 5 : La Sécurité
Sécuriser les données
Le responsable de traitement doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’il a collectées mais aussi leur confidentialité, c’est-à-dire s’assurer que seules les personnes autorisées y accèdent. Ces mesures pourront être déterminées en fonction des risques pesant sur ce fichier (sensibilité des données, objectif du traitement…).
Extrait du site de la CNIL https://www.cnil.fr/fr/comprendre-vos-obligations/les-principes-cles
Qu’en est-il de vos obligations en tant que propriétaire d’un site internet ?
Concernant vos obligations en matière de protections des données personnelles, certains points sont à vérifier sur votre site internet, et notamment :
- Identification des outils de collecte des données personnelles, et présence d’un texte d’avertissement à côté de chacun d’eux indiquant votre politique de confidentialité,
- Présence de vos Mentions légales,
- Présence de votre Politique de confidentialité (intégrée à vos mentions légales ou à part) dans laquelle vous listez les différents outils de collecte présents sur votre site, et les conditions de leur utilisation : pour quelles finalités ? à qui sont-elles destinées ? combien de temps vous les stockez, etc…
- Présence d’un bandeau d’avertissement sur l’utilisation de cookies (cookies à lister dans vos mentions légales) si vous intégrez des publicités, des activités de vos réseaux sociaux, ou encore des outils de mesure d’audience tels que Google Analytics.
En cas de vente en ligne :
- Présence de vos conditions générales de vente,
- Présence d’un formulaire de rétractation en PDF, dans vos CGV ou sur l’espace client, en vertu des articles L. 121-21 et suivants du Code de la Consommation.
Si vous utilisez des services-tiers (outil de mailing, sous-traitants, y compris votre hébergeur et les services techniques qui ont en charge la sauvegarde et le stockage de ces données), ils doivent être clairement identifiés, et un lien vers leur propre Politique de confidentialité doit apparaitre sur vos Mentions légales.
A noter que le RGPD vise l’ensemble des données stockées par votre structure, qu’elles soient liées à vos clients, à vos fournisseurs, sous-traitants, ou encore à vos salariés. Les fichiers de données sont variés (carnet d’adresses utilisé pour vos communications markéting, liste d’abonnés à votre newsletter, formulaires de contact et de demande de devis, base de données etc…).
Pour tous ces usages, la loi précise que les personnes concernées doivent avoir donné leur consentement sur la collecte, l’usage et le stockage de leurs données. Si nécessaire, il faut renouveler cette demande de consentement.
Par ailleurs, vous devez être en mesure de fournir aux personnes concernées les moyens d’exercer leurs droits : droit d’accès, de rectification, d’effacement, droit à la limitation du traitement (Article 18 du RGPD) et à la portabilité des données (Article 20 du RGPD).
Sources d’information
Pour vous aider à rédiger vos textes et à vous conformer au RGPD, voici quelques liens utiles :
- Consulter le RGPD dans son intégralité sur le Journal officiel de l’Union européenne : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
- Guide de la CNIL pour préparer son entreprise au RGPD en 6 étapes-clés : https://www.cnil.fr/sites/default/files/atoms/files/pdf_6_etapes_interactifv2.pdf (PDF)
- Dossier complet de la CNIL sur la sécurité des données : https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf (PDF)
- Une synthèse fort bien faite sur le RPDG par WEBMARKETING&CO’M qui diffuse un guide à télécharger en PDF : https://www.webmarketing-com.com/2018/03/28/79126-guide-conformite-rgpd
- Un article sur le site WPMarmitecom pour les utilisateurs de WordPress notamment : https://wpmarmite.com/rgpd-wordpress/
Mirobolus est à votre disposition pour faire le point sur la conformité de votre site internet avec le RGPD et pour vous aider à mettre en place ces textes et outils d’avertissement. N’hésitez pas à me contacter !