Données personnelles – RGPD : 6 étapes à suivre pour votre site Internet

RGPD - Protection des données personnelles sur Internet

RGPD, c’est quoi ?

RGPD pour « Règlement Général pour la Protection des Données ». Il s’agit d’un règlement européen s’appliquant sur l’ensemble des pays membres de l’Union Européen à partir du 25 mai 2018.

En résumé, le RGPD (GDPR en anglais) remplace, en France, le texte de 1995 qui avait servi pour la création de la loi “Informatique et Liberté”.

L’objectif est d’harmoniser le cadre juridique européen sur le traitement des données à caractères personnelles (= toute information qui se rapporte à une personne physique identifiée).

RGPD-CNIL-signification

RGPD, qui est concerné ?

Associations, entreprises, institutions… dès lors qu’une démarche est mise en place pour récolter la moindre donnée personnelle.

Ainsi, dès lors que vous disposez sur votre site Internet d’un formulaire (contact, inscription, espace membre…) dans lequel la personne communique une information personnelle, vous devez vous conformer au RGPD.

Pour résumer, dès qu’on peut identifier la personne via un champ (e-mail, téléphone, adresse, adresse IP…) ou par recoupement de plusieurs champs (en associant par exemple un nom avec une ville), on se trouve dans le contexte de traitement de données personnelles.

Et bien sur, on ne fait pas ce qu’on veut avec les données personnelles… 😉

Que faut-il faire : 6 démarches à garder en tête

1. S’organiser en interne

La première chose à faire est de définir dans votre équipe qui a accès aux données que vous récoltez. Ces données étant par définition à caractère sensible (on ne fait pas ce qu’on veut avec), vous devez savoir qui est habilité à les manipuler.

EXEMPLE

Votre association sportive organise un événement. Pour s’inscrire, vos participants complètent un formulaire en ligne où ils renseignent différentes informations. Dans votre équipe, tout le monde n’a pas à avoir accès à ces données. Désignez concrètement la ou les personnes qui pourront visualiser et traiter ces données.

Pour les grandes organisations, il est d’ailleurs requis de désigner officiellement un « DPO » (Data Protection Officer) : une personne dont la mission est de superviser et de gérer toutes vos actions sur les données personnelles. Le DPO devient votre personne responsable du sujet.

2. Mettre en place un consentement éclairé

Quand vous demandez à une personne de vous communiquer une donnée personnelle, vous devez obtenir son accord sans ambiguité et de façon éclairée.

Qu’est-ce que ça veut dire ? Qu’il faut expliquer à la personne pourquoi vous récoltez ces données (à quelles finalités / quels objectifs serviront les données récoltées), combien de temps vous les garderez.

EXEMPLE

Reprenons le cas de l’association qui met en place un formulaire d’inscription pour son événement sportif. Le participant renseigne son adresse e-mail, son téléphone, son adresse postale.

Vous devez expliquer (via un petit encart texte ou un lien vers une page dédiée) à quoi serviront ces données : l’e-mail pourra être utilisé pour des actions marketing (envoi d’une newsletter, emaling d’informations sur les éditions futures de l’événement…), le téléphone pourra être utilisé pour contacter la personne en direct en cas de problème avec son dossier, l’adresse postale pourra étre utilsée pour lui envoyer par courrier son dossard…

Une fois que la personne a connaissance de toutes ces explications, elle doit pouvoir exprimer clairement son accord sur votre démarche (en cochant par exemple une case comme quoi elle est bien informée et consciente de ce que vous ferez de ses données).

RGPD-consentement-éclairé

3. Permettre à la personne d’accéder à ses données

Si la personne a donné son consentement, cela ne l’engage pas pour autant indéfiniment. En effet, la personne a tout fait le droit de changer d’avis et donc de retirer son autorisation.

Il faut alors clairement lui indiquer comment elle peut manifester ce changement d’avis.

EXEMPLE

Un participant à une édition passée de votre événement sportif ne souhaite plus recevoir de mails de votre part : vous pouvez lui indiquer la procédure en bas de votre message pour qu’elle puisse se désabonner, via par exemple un lien de suppression de ses données ou via des coordonnées à contacter pour engager la démarche de suppression de ses données.

A noter que lorsqu’une personne souhaite voir supprimer ses données, vous avez un mois maximum pour traiter sa demande.

De la même façon, si la personne souhaite modifier l’une de ses données personnelles (par exemple changer son numéro de téléphone), elle doit pouvoir trouver la procédure facilement.

Enfin, la RGPD introduit, pour la personne, une nouveauté sur l’accès à ses données : leur portabilité. La personne est tout à fait en droit de vous demander à récupérer les informations qui la concernent sous un format qu’elle puisse réutiliser.

Ce qui veut dire que vous devez pouvoir lui fournir un fichier exploitable réunissant l’ensemble des données qu’elle vous avait communiquées.

4. Ne récolter que les données nécessaires

Ou principe du « Privacy by Design ». L’objectif est de renforcer la sécurité autour du traitement des données personnelles.

En effet, plus vous récoltez de données personnelles différentes, plus cette masse d’informations est sujette à des failles de sécurité (manipulation hasardeuse, fuites…).

Ainsi, lorsque vous demandez des informations à une personne, ces informations doivent être en lien direct avec les besoins de votre service ou de votre produit. Vous ne devez pas solliciter des données que vous n’exploiterez pas.

EXEMPLE

Pour votre événement sportif, votre formulaire d’inscription prévoit plusieurs champs à renseigner : nom, téléphone, adresse, date de naissance… Informations indispensables pour le traitement du dossier du participant. Par contre, vous ne devez pas lui demander sa profession ou la marque de sa voiture si vous n’exploitez pas ces données dans le cadre de votre manifestation…

5. Assurer la sécurité des données

Vous avez récolté des données personnelles que vous stockez sur un poste de travail (ordinateur local ou en réseau, serveur web…). Vous devez tout mettre en oeuvre pour en assurer leur sécurité.

Vous devez ainsi prévenir des accès frauduleux, l’exécution de virus, la prise de contrôle à distance… Mais aussi anticiper l’atteinte à la sécurité des données suite à un vol / cambriolage ou lors d’un échange avec un autre organisme.

En outre, si vos données sont amenées à être traitées par un nouvel intervenant, par exemple à des fins d’études statistiques, vous devez assurer l’anonymisation de ces données (en recoupant par exemple plusieurs techniques de cryptage).

EXEMPLE

Un institut de statistiques réalise un profil des participants de votre événement sportif (pour connaitre par exemple les tendances d’âges ou la provenance géographique).

L’institut ne doit pas pouvoir reconnaître l’identité individuelle des personnes. Pour cela, vous aurez au préalable masqué certaines informations (par exemple en supprimant une partie du nom des personnes, en mélangeant les numéros de téléphone…).

Sécuriser les données, c’est aussi sécuriser l’accès qu’un utilisateur peut avoir à ses propres informations. Par exemple, lorsque vous proposez un espace membres sur votre site Internet où l’utilisateur peut renseigner un profil en ligne.

La façon dont parvient la personne à son compte doit être totalement fiable et ne doit pas laisser la possibilité à un autre utilisateur d’y accéder.

Cela passe généralement par une connexion privée via identifiant et mot de passe. C’est une première étape. Mais vous devez également vous assurer que la personne utilise un mot de passe le plus fort possible (en la contraignant par exemple à utiliser un minimum de caractères ou à intégrer des symboles…).

6. Créer un registre des traitements des données

Récolter les données : c’est fait ! 🙂

Mais vous ne devez pas vous arrêtez là. Récolter ne suffit pas : vous devez historiser toutes les actions en rapport avec ces données.

Vous devez ainsi créer / rédiger un document qui relate tout ce qui concerne leur traitement : date d’acquisition, méthode d’acquisition, modifications, type de stockage… Ce document s’appelle le « Registre des Traitements des Données ».

EXEMPLE

Votre formulaire d’inscription récolte différentes informations au sujet des participants de votre événement sportif. Vous pouvez créer votre registre sous la forme d’un tableau excel où vous indiquerez la date de collecte, le nombre de champs, le stockage (ex : dans une base de données sécurisées sur un serveur), la personne responsable, la date prévue de destruction…

A noter que ce document peut prendre la forme que vous voulez (document manuscrit, tableur…). Mais il doit pouvoir être présenté facilement lors d’un contrôle (audit) de la CNIL…

 


 

Pour conclure, cela fait beaucoup de choses à digérer et à mettre en place, parfois même pour une simple récolte d’e-mail pour une newsletter. Mais en s’organisant bien et avec un peu de rigueur, rien n’est insurmontable.

Ce qu’il faut surtout garder en tête, c’est que cette réglementation vise à renforcer un meilleur traitement des données à caractère personnel… …afin d’assurer une protection optimale des libertés et droits fondamentaux des citoyens. Et ça, c’est primordial. 😉