La protection des données personnelles est un enjeu important dans le domaine du tout numérique actuel. Quatre années de négociations ont été nécessaires avant que le Parlement européen adopte définitivement le RGPD en 2016. Ce dernier, qui entrera en vigueur en mai 2018, est désormais le texte de référence en matière de protection des données personnelles au sein de l’Union européenne. Votre site est-il conforme au RGPD ? Que risquez-vous sinon ? Voici tout ce qu’il faut savoir sur ce règlement.
Qu’est-ce que le RGPD ?
Le RGPD, littéralement Règlement Général sur la Protection des Données, est l’ensemble des normes et des contraintes qui sont relatives à la protection des données à caractère personnel et à la libre circulation de ces données, valable au sein de l’Union Européenne. Il s’appuie sur 6 principes sur lesquels toutes les entreprises doivent s’aligner :
- traitement licite, loyal, transparent des données au regard de la personne concernée;
- limitation des finalités : données collectées pour des fins déterminées, explicites et légitimes. On ne doit bien sûr pas les utiliser ensuite pour une autre fin
- minimisation des données : elles doivent être adéquates, pertinentes et limitées au nécessaire pour les finalités
- exactitude : elles doivent être exactes et tenues à jour si nécessaire. La personne concernée doit avoir la possibilité d’effacer ou rectifier ces données;
- limitation de la conservation : sauf pour traitement à des fins archivistes dans l’intérêt public, ou de recherches scientifiques ou historiques (selon l’article 89, paragraphe 1), la conservation des données doit se limiter à la période nécessaire au regard des finalités pour lesquelles elles sont traitées
- intégrité et confidentialité : garantie d’une sécurité appropriée des données à caractère personnel. Y compris contre le traitement non autorisé ou illicite et contre la perte de ces données
Comment savoir si mon site est conforme au RGPD ?
Les principes évoqués ci-dessus sont régis par des normes. La CNIL (Commission Nationale de l’Informatique et des Libertés) a mis en place des obligations techniques pour que chaque professionnel puisse vérifier sa conformité ou non au RGPD. À noter qu’il lui est important de s’en assurer surtout s’il a confié la création de son site à une agence de communication digitale ou un webdesigner indépendant.
Il y existe plusieurs moyens d’évaluer votre conformité au RGPD, le meilleur étant de consulter directement le RGPD. Celui-ci étant très dense, plusieurs organismes dont le CNIL lui-même ont mis à disposition des documents plus concis afin d’évaluer plus rapidement et simplement la conformité de votre site. Nous vous recommandons notamment le site du service public, qui liste et explique toutes vos obligations concernant la protection des données personnelles. Par exemple, si vous êtes l’exploitant des données personnelles, comme un commerçant en ligne, vous devez respecter certaines obligations, notamment :
- recueillir l’accord des clients
- informer les clients de leur droit d’accès, de modification et de suppression des informations collectées,
- veiller à la sécurité des systèmes d’information,
- assurer la confidentialité des données,
- indiquer une durée de conservation des données.
Le service public fournit également une liste des mentions obligatoires selon votre statut (société, auto-entrepreneur, un non professionnel…). Ainsi, si vous êtes une société à activité commerciale, vous devez par exemple :
- informer les internautes de la finalité des cookies,
- obtenir leur consentement,
- leur fournir un moyen de les refuser,
On vous indique également que la durée de validité du consentement donné dans ce cadre est de 13 mois maximum. Concernant la protection des données personnelles, un certain nombre de mentions sont également obligatoires, parmi lesquelles :
- les destinataires ou catégories de destinataires des données,
- les droits d’opposition, d’interrogation, d’accès et de rectification.
Ces informations ne sont que des extraits des deux pages pratiques que nous venons de vous présenter. Pour vérifier votre degré de conformité, vérifiez simplement que vous respectez les points qui y sont cités. Si vous n’êtes pas encore conforme, que vous voulez enclencher cette démarche mais que vous ne savez pas par quel bout la prendre, rendez-vous au dernier paragraphe de l’article !
RGPD : que risque-t-on si nous ne le respectons pas ?
Il faut savoir que le non-respect du RGPD fait l’objet de sanctions mises en place par la CNIL, selon la gravité de l’infraction. En cas du non respect du RGPD, vous recevrez d’abord un rappel du CNIL (respectant ainsi le droit à l’oubli). En revanche, si rien n’est mis en place à la suite de cela, un rappel à l’ordre accompagné de sanctions pénales et administratives aura lieu. Elles ont surtout un but de dissuasion.
Ces sanctions peuvent atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire de l’entreprise.
À peine deux semaines après la mise en application du RGPD, une première sanction est tombée sur Optical Center pour une « fuite de données conséquente », ce qui lui a valu une amende de 250 000 €. En effet, de simples internautes ont pu accéder à des factures de millions de clients et à des données sensibles, ainsi qu’à des numéros de sécurité sociale, traduisant une grosse faille dans la sécurisation des données.
Dans le même cas de figure, la CNIL a sanctionné la société immobilière Sergic pour avoir insuffisamment protégé les données de ses utilisateurs et proposé des modalités de conservation de données inadaptées. En effet, une simple modification de l’URL sur le navigateur donnait accès à des informations personnelles des clients. Pour ces infractions, la société a écopé d’une amende de 400 000 €.
Comment rendre son site conforme au RGPD ?
Vous mesurez désormais l’importance de la conformité au RGPD ? Vous souhaitez passer à l’action mais vous ne savez pas par où commencer ? Pas de panique ! Le site du CNIL est plutôt pédagogique de ce côté là, il vous explique comment procéder et dans quel ordre. Toutes les étapes sont explicitées et il fournit même des aides pour vous guider. Il existe également un MOOC sur la protection des données personnelles. Si toutefois vous ne souhaitez pas vous lancer seul dans cette démarche, joliPixel peut vous accompagner dans la mise en oeuvre de la conformité RGPD. Alors n’attendez plus, et devenez conforme !
L’accessibilité, la prochaine étape ? N’hésitez pas à jeter un coup d’œil à cet article, pour savoir si votre site est accessible !
