Le RGPD, pour Règlement Général sur la Protection des Données est entré en application le 25 mai 2018. Il implique des mises en conformité sur tous les sites Internet, bien que ce ne soient pas les seuls cibles de la réglementation : dès lors qu'il y a collecte d'une manière ou d'une autre de données permettant d'identifier une personne, vous devez être en conformité avec les règles imposées par le texte.
J'ai terminé mon cursus relatif au RGPD avec une formation prise en charge par ARCOLIB, où Maître Cédric DONNARS dispensait une partie de ses connaissances. Il est avocat et délégué à la protection des données (DPO). J'ai souhaité faire une synthèse de ce qu'il faut savoir , afin que vous puissiez vérifier où en est votre propre site Internet :
Quel impact en matière de protection des données personnelles ?
Qui est concerné ?
Quels informations devez-vous apporter à l'internaute ?
Comment vous mettre en conformité ?
Etc.
En suivant les demandes de devis de porteurs de projet de mise en conformité avec ce règlement européen N° 2016/679, et en testant les réponses des prestataires indépendants, je le suis aperçu que pratiquement tout le monde s’attarde sur la collecte des datas. Par contre personne ne parle des obligations légales liées aux fichiers des traitements des données. Or il y a un gros travail à fournir sur ce plan : audit du site, développements de sécurité, etc. J’aborde ces seconds aspects dans mon article dédié à la mise en conformité.
L'origine du RGPD comment en 1973, avec le projet SAFARI. La réaction du public a été négative quant au traitement des données personnelles.
En 1978 naît la CNIL.
Il faut attendre 1995 pour voir un premier socle européen commun, reprenant tous les concepts de la loi française. La directive laisse toutefois beaucoup de liberté aux états membres.
En 2004, la loi 2004-801 transpose la directive en France. Elle réforme la loi informatique et liberté, mais ne concerne que les fichiers papier. C'est également à cette date qu'il est attribué à la CNIL un pouvoir de sanction.
Face à l'explosion du développement technologies et de l’exploitation des données, le RGPD est travaillé dès 2016. Il est finalisé et entre en application en mai 2018.
Il existe d'autres réglementations, notamment sur pour le commerce électronique, ais aussi tout ce qui concerne le transit d'informations d'un navigateur à l'autre, par Skype, par e-mailing, Whatsapp, Facebook, etc. Une prochaine directive va bientôt impacter le commerce électronique : le règlement e-privacy. De même pour la réglementation sur le cookies.
J'ai interrogé cet avocat sur l'application du RGPD, et contrairement à certains écrits, son discours est sans appel : le RGPD s’applique à tous les sites Internet avec une offre de biens ou de services, dont les utilisateurs sont des personnes se trouvant sur le territoire de l’UE. Vous exploiteriez un site Internet en Suisse, dont une partie de la clientèle est en Europe, l'outil digital doit protéger leurs données. Il entre donc dans le cadre de la directive, bien que l'entreprise ne soit pas sur le territoire de l'UE. La faire appliquer semble une autre entreprise toutefois, mais comme la responsabilité des prestataires est engagée, il suffit que l'un d'eux soit en UE pour qu'il ait à rendre compte de sa responsabilité.
Dès lors qu'il existe une collecte d'informations se rapportant à une personne physique identifiée ou identifiable, la mise en conformité de votre site Internet est nécessaire. Peut importe que l'information soit rendue publique ou qu'elle reste confidentielle, qu'elle soit utilisée à but professionnelle ou privé.
La CNIL considère que « toute information se rapportant à une personne physique identifiée ou identifiable » est une donnée personnelle. Cette information peut permettre une identification :
Directe (nom, prénom, etc.)
Indirecte (identifiant, numéro, etc.). La jurisprudence reconnaît l'adresse IP comme une donnée personnelle.
Encore une fois, la conformité de votre site Internet au RGPD doit être effective dès lors qu'il y a collecte, peut importe comment, pour combien de temps et pourquoi.
L'identification, ou la possibilité d'identifier, peut être écrite comme un nom dans un commentaire, une adresse mail ou un N° de téléphone dans une annonce, une photo ou une vidéo, etc. Autrement dit, tous les supports sont concernés. Il en est de même pour les devis que vous rédigez ou les factures émises. Et peut importe comment vous les stockez, et où.
Lorsqu’une opération ou un ensemble d’opérations portent sur au moins une de ces données personnelles, le législateur considère qu’il s’agit de traitement de données personnelles. Pour illustrer, un commentaire sur votre site est laissé par un internaute qui remplit un champ lui demandant 1 seule donnée considérée comme personnelle : il faut recueillir son consentement en lui expliquant clairement et sans ambiguïté ce que vous relevez et à quelle fin.
La première surprise est qu'il doit pouvoir refuser sans être entravé dans sa démarche. Autrement dit, le système de votre site ne peut pas refuser l'accès à celui-ci ou à une fonctionnalité au motif qu'il refuse la collecte d'une donnée personnelle.
De 2018 à 2019, la CNIL a effectué 400 contrôles spontanés et 11 000 plaintes pour infraction au RGPD ont été déposées.
Dès lors que vous collectez au moins une donnée personnelle, vous devez :
Tenir un registre de vos traitements de données (description du traitement, acteur, finalité du traitement, catégorie de données personnelles concernées, etc.)
Il est obligatoire. Si votre site Internet n'est pas prêt sur ce critère, c'est un développement à mettre en place après avoir audité le site à des fins de conformités au RGPD.
Un développeur devra donc intervenir pour mettre en œuvre les recommandation du prestataire réalisant l'audit. Car le plus simple est d'automatiser ces opérations.
Faire le tri dans vos données
Avez-vous besoin de collecter toutes les données comme vous le faites aujourd'hui ? Vont-elles vous servir dans les 3 ans ?
Respecter le droit des personnes en matière de consultation, de rectification ou de suppression des données
J'ai connu une plateforme mettant en relation des professionnels avec des porteurs de projets, dont la politique commerciale était trop pesante à la fois pour les clients comme les prestataires, ce qui m'a fait la quitter définitivement. J'ai pris soin de supprimer mon compte. 4 ans plus tard, un employé revient vers moi avec un motif peut clair, dont la finalité était de me faire réactiver mon compte. Il suffisait que je rentre les accès qu'il me communiquait pour que je récupère tous les éléments tels qu'ils étaient au moment de ma demande de suppression. Ce n'est pas RGPD, cette pratique est interdite. La suppression est un effacement complet des données, et non juste une annulation de l'affichage avec conservation des données.
Sécuriser vos données
L'audit peut toucher également l'analyse des risques, comme l'accès illégitime aux données, à leurs modifications ou à leurs disparitions. Ce qui signifie est protégé contre les attaques SQL, les injections, avoir pratiqué le salage de votre base de données, etc.
Votre responsabilité peut être engagée si un tiers accède aux données de vos utilisateurs.
L'article 4.7 du RGPD définit que la personne qui détermine les finalités et les moyens du traitement engage sa responsabilité. S'il existe un sous traitant agissant sur les instructions du responsable du traitement, il ne fait qu'agir sur instructions, sauf s'il apporte un conseil ou qu'il met en œuvre quelque chose d'autre.
L'article 4.8 du RGPD dispose que le décideur effectuant le choix du sous traitant en supporte la responsabilité. Mais le sous traitant reste responsable vis à vis de l'entreprise cliente. A titre d'illustration, Google avec Analytics est un sous traitant. En d'autres termes, pratiquement tous les sites Internet sont concernés par le RGPD dès lors que vous travaillez avec la Search Console ou l'équivalent, un script Analytics quelconque, etc.
Concrètement, vous avez un sous-traitant dès lors que vous demandez à quelqu'un de faire quelque chose. Voici des exemples de sous-traitance :
Vous avez une solution de paiement sur votre site Internet
Vos utilisateurs peuvent réserver en ligne, depuis une application tierce
Votre site envoie des SMS de rappel ou de confirmation
Vous avez un tchat web et vous utilisez une API, ce qui est le cas de tous les sites avec ce service
Etc.
Bien sûr, la clause de consentement ne peut pas être dans les CGV, mais sur la clause relative au traitement de données au moment ou au moins une des données de l'internaute est sur le point d'être collectée. Vous avez l'obligation de démontrer que le consentement a été récolté, et de prouver qu'il l'a été dans le respect de 4 critères fondamentaux :
L'objectif de finalité
L'utilisateur doit être informé pour quel objectif vous collectez quelles données. Le registre également. Vous ne pouvez faire autre chose de ces données, où vous êtes dans le détournement de finalité.
Le principe de licéité
La collecte comme le traitement ne sont pas interdit, mais chaque élément doit être fondé. Il doit y avoir soit un consentement, soit une nécessité pour l'exécution d’un contrat ou d'une fonctionnalité).
Quand consentement, la personne doit pourvoir le retirer
L'utilisateur doit être libre de refuser de donner son accord. Cet accord ne peut pas conditionner le refus à une conséquence négative, à savoir qu'il ne peut pas être bloqué dans sa navigation s'il refuse un cookie.
Avant de donner son consentement, son choix doit être éclairé : les explications doivent être données avant de demander le consentement.
Le principe de durée de limitation
Les données ne peuvent pas être collectées de manière indéfinie. La durée doit être déterminée en cohérence avec la finalité. La durée peut être fixe ou selon une durée objective, comme la durée du contrat par exemple. Dès que la finalité est atteinte, les données doivent être supprimées ou archivées. Dans ce dernier cas, le registre est également une obligation.
Une précision quant au registre des activités de traitement : vous devez en remplir 1 pour chacune de vos activités. Un site Internet possède plusieurs activités de traitement des données, ce qui implique de tenir à jour plusieurs registres. Voici pour exemple un site web ordinaire où les internautes peuvent s'inscrire pour recevoir une newsletter ou des alertes par mail, visiter des fiches produits pour se faire une idée avant d'éventuellement commander, il vont constituer un panier, voire l'annuler en cours de route ou valider les éléments pour la livraison. Après réception des produits, ils reçoivent un mail les invitant à donner leur avis sur le site et sur les produits, ce qui va compléter l'information des autres utilisateurs.
Dans mon exemple, vous avez au minimum 4 activités, donc 4 registres à tenir à jour :
La gestion de la navigation à des fins de statistiques
La gestion du comportement de l'utilisateur à des fins commerciales
La vente en ligne
La gestion de la communauté
Vous pouvez télécharger le document proposé par la CNIL : le registre RGPD basique.
Je n'ai fait ici que survoler la conformité d'un site au RGPD, il y aurait encore beaucoup à dire si vous avez des applications en liant avec un réseau social, si vous intégrez des vidéos (même Youtube), etc. Le vôtre est prêt ?
