Définition du RGPD
« Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Ce nouveau règlement européen […] renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. »
CNIL
« Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs. »
Qu’est-ce qu’une donnée personnelle ?
La CNIL, considère comme donnée personnelle toute information permettant d’identifier un individu, soit directement (nom et prénom par exemple), soit indirectement (numéro de téléphone, adresse IP, ou tout élément d’ordre physique, physiologique, génétique, culturel ou social).
Il est important de souligner que toutes informations, qui, croisées ensembles, permettent de remonter jusqu’à une personne physique, sont également considérées comme données personnelles.
Qui est concerné ?
La CNIL précise que tout organisme, publique ou privé, qui traite des données personnelles, pour son compte ou non, est concerné dès lors qu’il est établi sur le territoire de l’Union Européenne, ou dès lors que son activité cible directement des résidents européens.
Quelques grands principes
Ne collecter que les données vraiment nécessaires
Parmi les bons réflexes à adopter, vous pouvez commencer par vous poser les bonnes questions :
- Quel objectif souhaitez vous atteindre ?
- Quelles données sont indispensables pour atteindre cet objectif ?
- Avez-vous le droit de collecter ces données ?
- L’utilisateur a-t-il donné son accord ?
Informer l’utilisateur
« Une information claire et complète constitue le socle du contrat de confiance qui vous lie avec les personnes dont vous traitez les données. »
CNIL
Cela peut, dans l’exemple d’un site vitrine, être réalisé par le biais d’une politique de confidentialité dûment complétée et explicite quant à l’utilisation qui sera faite des données collectées.
Obtenir son consentement
Il s’agit d’obtenir le consentement de l’utilisateur en cas de récolte de ses données. Cela s’applique à tout composant recueillant des informations personnelles tel qu’un formulaire de contact ou encore lors de l’utilisation de cookies de mesure d’audience par exemple.
Obtenir le consentement nécessite généralement une action positive de la part de l’utilisateur. Si dans un exemple donné, le consentement peut être recueilli par le biais d’une case à cocher, alors l’action de cocher cette case constitue la preuve de consentement. La case doit être décochée par défaut afin que l’action soit considérée comme positive.
Respecter le droit des personnes
Il est important de répondre dans les meilleurs délais aux demandes de consultation, de rectification ou de suppression des données.
Sécuriser les données
« Les mesures de sécurité, informatiques mais aussi physiques, doivent être adaptées en fonction de la sensibilité des données et des risques qui pèsent sur les personnes en cas d’incident. »
CNIL
Penser à la durée de conservation
36 mois est la durée maximum de conservation des données. Cela signifie que toutes les données personnelles relatives à un individu inactif depuis 3 ans devront être supprimées. Cela peut s’appliquer par exemple aux clients qui n’ont pas commandés sur votre e-commerce depuis cette période.
Sanctions en cas de non respect
« A l’issue de contrôles ou de plaintes […] la CNIL peut prononcer des sanctions à l’égard des responsables de traitements qui ne respecteraient pas ces textes. […] Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. »
CNIL
Quelques exemples concrets
Formulaires
Afin de se conformer au RGPD, vous devez désormais récolter des informations de manière justifiée par rapport à votre objectif. Vous ne pouvez demander à vos utilisateurs uniquement les informations nécessaires à l’atteinte de votre objectif.
Vous devez également obtenir le consentement éclairé de l’utilisateur à la récolte et à l’utilisation des données personnelles collectées. Ce consentement doit être obtenu via une action positive. Dans le cadre d’un formulaire, cela s’obtient typiquement par le biais d’une case à cocher accompagnée par exemple de ce type de mentions :
« J’accepte que les informations saisies soient utilisées [le but de la collecte] et j’affirme avoir pris connaissance de notre politique de confidentialité. »
La politique de confidentialité doit être facilement accessible, idéalement sous forme de lien au sein de la mention précédente.
OPT-IN newsletter
Simple Opt-in
La plupart des formulaires d’inscription à une lettre d’information suivent une procédure appelée l’Opt-in simple :
- L’utilisateur rempli votre formulaire d’inscription
- Il clique sur le bouton d’envoi
- L’utilisateur est inscrit
Dans le cas d’un OPT-IN simple, les conditions de mise en conformité des formulaires s’appliquent également à vos formulaires d’inscription. C’est à dire que vous devez informer l’utilisateur quant à l’utilisation qui sera faite des données personnelles collectées, obtenir son consentement éclairé et répondre au mieux à ses demandes de consultation, de modification ou de suppression.
Double Opt-in
La procédure appelée le double opt-in comporte une étape supplémentaire par rapport au simple opt-in.
- L’utilisateur rempli votre formulaire d’inscription
- Il clique sur le bouton d’envoi
- L’utilisateur reçoit un mail présentant un lien de confirmation et l’informant de la finalité du traitement de ses données personnelles
- L’utilisateur, uniquement s’il clique sur le lien de confirmation, est inscrit
Si elle présente une étape de validation supplémentaire, l’avantage de cette méthode est qu’elle vous permet d’obtenir des e-mails valides et des utilisateurs très qualifiés qui ont manifesté un réel désir de recevoir votre newsletter. Cela va généralement de pair avec un taux d’engagement bien élevé, un taux de plainte plus faible et améliore donc la délivrabilité de vos compagnes.
Commentaires
Si votre site permet le dépôt de commentaires, deux options s’offrent à vous.
La première option consiste à n’autoriser cette fonction qu’aux utilisateurs qui disposent d’un compte sur votre site (utilisateur connecté). Dans ce cas, la preuve de consentement pourra être recueillie lors du processus d’inscription en lui demandant notamment de confirmer qu’il a lu et accepté votre politique de confidentialité.
La seconde option consiste en l’ajout d’une case à cocher sur le formulaire de dépôt de commentaires respectant les mêmes conditions que la mise en conformité des formulaires.
Cookies
Certains cookies nécessitent le consentement préalable de l’utilisateur. Cette obligation concerne notamment :
- les cookies liés aux opérations relatives à la publicité ciblée
- certains cookies de mesure d’audience
- les cookies des réseaux sociaux générés notamment par leurs boutons de partage lorsqu’ils collectent des données personnelles sans consentement des personnes concernées
Source : CNIL.
Afin de respecter cette mesure, vous devez notamment informer le visiteur de l’utilisation de ce type de cookies et préciser l’objectif associé à leur utilisation. Vous devez également lui demander son consentement et ce, dès sa première visite. Vous devez enfin lui donner la possibilité de s’y opposer. Bien-sûr, son opposition ne doit en rien l’empêcher de naviguer sur votre site.
On utilisera généralement à ces fins un bandeau cookie conforme à la réglementation. C’est à dire que les cookies en question ne seront pas activés et ce, tant que l’utilisateur n’aura pas donné son consentement.
Par ailleurs, la CNIL estime nécessaire de limiter dans le temps la durée de conservation d’un cookie. Ainsi la durée de vie maximale d’un cookie ne doit pas excéder 13 mois.
Mesure d’audience
L’utilisation d’outils de statistique et de mesure d’audience nécessite généralement le recueil du consentement de l’utilisateur. La procédure est la même que dans le cadre du dépôt de cookie puisque ce sont généralement des cookies qui sont utilisées par ces différents outils.
Dans le cas de Google Analytics, il faudra donc ne pas oublier de paramétrer l’outil afin que la durée de conservation n’excède pas la durée de vie maximale d’un cookie. Enfin, il sera nécessaire d’activer une fonction permettant d’anonymiser les adresses IP de vos visiteurs.
Extensions
Si vous utilisez des extensions sur votre site il est nécessaire que ces dernières soient également conformes. Attention donc aux extensions qui, par exemple, à des fins de ciblage, collecteraient les adresse IP des visiteurs de votre site sans leur accord.
Procédure de modification / suppression des données
Vous devez donner la possibilité à vos utilisateurs de demander la modification et/ou la suppression de leurs données personnelles. Vous pouvez par exemple créer un formulaire dédié à cet usage ou encore mettre à disposition une adresse e-mail de contact.
Durée de conservation des comptes
Afin de se conformer à la réglementation en matière de durée de conservation, pensez à paramétrer la suppression automatique des comptes utilisateurs inactifs depuis 3 ans.