Votre site est-il vraiment conforme au RGPD ?

 

Votre site est-il vraiment conforme au RGPD ?

Votre site est-il vraiment conforme au RGPD ?

 

Le RGPD, pour Règlement Général sur la Protection des Données est entré en application le 25 mai 2018. Il implique des mises en conformité sur tous les sites Internet, bien que ce ne soient pas les seuls cibles de la réglementation : dès lors qu'il y a collecte d'une manière ou d'une autre de données permettant d'identifier une personne, vous devez être en conformité avec les règles imposées par le texte.

 

J'ai terminé mon cursus relatif au RGPD avec une formation prise en charge par ARCOLIB, où Maître Cédric DONNARS dispensait une partie de ses connaissances. Il est avocat et délégué à la protection des données (DPO). J'ai souhaité faire une synthèse de ce qu'il faut savoir , afin que vous puissiez vérifier où en est votre propre site Internet :

 

 

Evolution de la protection des données, jusqu'à la naissance du RGPG

L'origine du RGPD comment en 1973, avec le projet SAFARI. La réaction du public a été négative quant au traitement des données personnelles.

 

En 1978 naît la CNIL.

 

Il faut attendre 1995 pour voir un premier socle européen commun, reprenant tous les concepts de la loi française. La directive laisse toutefois beaucoup de liberté aux états membres.

 

En 2004, la loi 2004-801 transpose la directive en France. Elle réforme la loi informatique et liberté, mais ne concerne que les fichiers papier. C'est également à cette date qu'il est attribué à la CNIL un pouvoir de sanction.

 

Face à l'explosion du développement technologies et de l’exploitation des données, le RGPD est travaillé dès 2016. Il est finalisé et entre en application en mai 2018.

 

Il existe d'autres réglementations, notamment sur pour le commerce électronique, ais aussi tout ce qui concerne le transit d'informations d'un navigateur à l'autre, par Skype, par e-mailing, Whatsapp, Facebook, etc. Une prochaine directive va bientôt impacter le commerce électronique : le règlement e-privacy. De même pour la réglementation sur le cookies.

 

J'ai interrogé cet avocat sur l'application du RGPD, et contrairement à certains écrits, son discours est sans appel : le RGPD s’applique à tous les sites Internet avec une offre de biens ou de services, dont les utilisateurs sont des personnes se trouvant sur le territoire de l’UE. Vous exploiteriez un site Internet en Suisse, dont une partie de la clientèle est en Europe, l'outil digital doit protéger leurs données. Il entre donc dans le cadre de la directive, bien que l'entreprise ne soit pas sur le territoire de l'UE. La faire appliquer semble une autre entreprise toutefois, mais comme la responsabilité des prestataires est engagée, il suffit que l'un d'eux soit en UE pour qu'il ait à rendre compte de sa responsabilité.

 

 

La collecte d'informations et conformité au RGPD

Dès lors qu'il existe une collecte d'informations se rapportant à une personne physique identifiée ou identifiable, la mise en conformité de votre site Internet est nécessaire. Peut importe que l'information soit rendue publique ou qu'elle reste confidentielle, qu'elle soit utilisée à but professionnelle ou privé.

 

La CNIL considère que « toute information se rapportant à une personne physique identifiée ou identifiable » est une donnée personnelle. Cette information peut permettre une identification :



Encore une fois, la conformité de votre site Internet au RGPD doit être effective dès lors qu'il y a collecte, peut importe comment, pour combien de temps et pourquoi.

L'identification, ou la possibilité d'identifier, peut être écrite comme un nom dans un commentaire, une adresse mail ou un N° de téléphone dans une annonce, une photo ou une vidéo, etc. Autrement dit, tous les supports sont concernés. Il en est de même pour les devis que vous rédigez ou les factures émises. Et peut importe comment vous les stockez, et où.



Le traitement des données personnelles

Lorsqu’une opération ou un ensemble d’opérations portent sur au moins une de ces données personnelles, le législateur considère qu’il s’agit de traitement de données personnelles. Pour illustrer, un commentaire sur votre site est laissé par un internaute qui remplit un champ lui demandant 1 seule donnée considérée comme personnelle : il faut recueillir son consentement en lui expliquant clairement et sans ambiguïté ce que vous relevez et à quelle fin.

 

La première surprise est qu'il doit pouvoir refuser sans être entravé dans sa démarche. Autrement dit, le système de votre site ne peut pas refuser l'accès à celui-ci ou à une fonctionnalité au motif qu'il refuse la collecte d'une donnée personnelle.

 

De 2018 à 2019, la CNIL a effectué 400 contrôles spontanés et 11 000 plaintes pour infraction au RGPD ont été déposées.



Tenir un registre très précis des données et des objectifs de chaque traitement

Dès lors que vous collectez au moins une donnée personnelle, vous devez :

 



Le responsable de traitement et le sous traitant

L'article 4.7 du RGPD définit que la personne qui détermine les finalités et les moyens du traitement engage sa responsabilité. S'il existe un sous traitant agissant sur les instructions du responsable du traitement, il ne fait qu'agir sur instructions, sauf s'il apporte un conseil ou qu'il met en œuvre quelque chose d'autre.

 

L'article 4.8 du RGPD dispose que le décideur effectuant le choix du sous traitant en supporte la responsabilité. Mais le sous traitant reste responsable vis à vis de l'entreprise cliente. A titre d'illustration, Google avec Analytics est un sous traitant. En d'autres termes, pratiquement tous les sites Internet sont concernés par le RGPD dès lors que vous travaillez avec la Search Console ou l'équivalent, un script Analytics quelconque, etc.

 

Concrètement, vous avez un sous-traitant dès lors que vous demandez à quelqu'un de faire quelque chose. Voici des exemples de sous-traitance :

 

 

Les conditions de mise en œuvre doit respecter 4 fondamentaux

Bien sûr, la clause de consentement ne peut pas être dans les CGV, mais sur la clause relative au traitement de données au moment ou au moins une des données de l'internaute est sur le point d'être collectée. Vous avez l'obligation de démontrer que le consentement a été récolté, et de prouver qu'il l'a été dans le respect de 4 critères fondamentaux :

 

 

 

Un registre par activité

Une précision quant au registre des activités de traitement : vous devez en remplir 1 pour chacune de vos activités. Un site Internet possède plusieurs activités de traitement des données, ce qui implique de tenir à jour plusieurs registres. Voici pour exemple un site web ordinaire où les internautes peuvent s'inscrire pour recevoir une newsletter ou des alertes par mail, visiter des fiches produits pour se faire une idée avant d'éventuellement commander, il vont constituer un panier, voire l'annuler en cours de route ou valider les éléments pour la livraison. Après réception des produits, ils reçoivent un mail les invitant à donner leur avis sur le site et sur les produits, ce qui va compléter l'information des autres utilisateurs.

 

Dans mon exemple, vous avez au minimum 4 activités, donc 4 registres à tenir à jour :

 

 

Vous pouvez télécharger le document proposé par la CNIL : le registre RGPD basique.

 

 

Je n'ai fait ici que survoler la conformité d'un site au RGPD, il y aurait encore beaucoup à dire si vous avez des applications en liant avec un réseau social, si vous intégrez des vidéos (même Youtube), etc. Le vôtre est prêt ?

 

Commentaires

Votre Pseudo :
Votre E-Mail :
Votre Message :