Accueil / Communication digitale / RGPD - Pourquoi et comment mettre son site en conformité ?

RGPD - Ce qu’il faut savoir, pourquoi et comment mettre son site en conformité ?

30/10/2018

Le 6 janvier 1978 est votée la loi « informatique et liberté », ayant pour but d’encadrer la collecte, le traitement et la conservation des données personnelles. Trente-huit ans plus tard, le parlement européen vote un texte de loi visant à renforcer la législation existante. Celui-ci est nommé : « Règlement Général sur la Protection des Données » (ou plus couramment appelé RGPD) et est applicable dans tous les états membres.

Qu’est-ce qu’une donnée à caractère personnel ?

D’après la CNIL, est définie comme donnée à caractère personnel « toute information permettant d’identifier directement ou indirectement une personne physique (ex. nom, numéro d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale...) ».

Que dit le RGPD ?

L’objectif du règlement est de protéger au maximum la vie privée. Sans l’accord de l’internaute, l’entreprise n’aura pas la possibilité de collecter et stocker des données relatives à celui-ci. Dans le cas où l’internaute l’y autorise explicitement, l’entreprise ou l’organisation devra respecter de nombreux points ! Voici les étapes qui vous permettront d’être en conformité au RGPD :

Étape 1 : Désigner une personne en charge de la protection des données

Dans une entreprise, de nombreuses données circulent entre les différents services et certaines peuvent s’avérer sensibles lorsqu’elles présentent un caractère personnel. Elles doivent donc être traitées de façon spécifique. En ce sens, de nombreuses entreprises se voient dans l’obligation de désigner un délégué à la protection des données (DPO : Data Privacy Officer). Le rôle du DPO est d’assurer la bonne protection des données personnelles et le respect de la règlementation relative au sein de son entreprise. Il peut d’ailleurs renforcer le travail du réfèrent CIL* si l’entreprise en a un.

Dans quel cas dois-je recruter un DPO ?

  • Vous êtes un organisme public.
  • Vous êtes une entreprise dont l’activité nécessite de suivre régulièrement et systématiquement des données « sensibles » ou « relatives à des condamnations pénales et infractions », sur des personnes, à grande échelle.
  • Vous traitez des données portant sur l’origine raciale, l’orientation sexuelle, les opinions politiques ou religieuses ou encore à la santé.

Notez toutefois que même si vous ne faites pas partie des entreprises concernées, la CNIL conseille vivement de désigner une personne responsable de la protection des données.

Étape 2 : Répertorier les pratiques actuelles

Maintenant que vous avez désigné un DPO, il est nécessaire de faire un point complet sur les différentes méthodes de collecte et de traitement des données. Il est donc important de se poser les questions suivantes : quelles données sont susceptibles d’être à caractère personnel, pourquoi collecter ces données, où sont-elles stockées et pendant combien de temps les conserver. Toutes les réponses devront être organisées et compilées dans un « registre des traitements ».

Étape 3 : Prioriser

À l’aide du registre précédemment établi, il est nécessaire d’encadrer ce processus de collecte et justifier la présence de chaque donnée. Afin de mener à bien cet objectif, le DPO se chargera de trier et nettoyer les données afin que celle-ci soient pertinentes, nécessaires et en accord avec le RGPD et le bon fonctionnement de l’entreprise.

Étape 4 : Gérer les risques

S’il s’avère que certains traitements de données personnelles présentent un risque élevé pour les droits et les libertés des personnes concernées, il est nécessaire de mener une analyse d’impact (relative à la protection des données). Celle-ci a pour objectif d’aider les entreprises à construire un modèle de traitement de données qui respecte la vie privée tout en étant pleinement conforme au RGPD.

Étape 5 : Organiser

Les données contenues dans les différents fichiers de votre entreprise ne peuvent être consultées que par les personnes habilitées. De plus, l’entreprise est tenue de prendre « toutes les mesures de sécurité » nécessaires pour protéger ces fichiers. En effet, chaque stratégie de protection doit être adaptée au niveau de sensibilité de la donnée, et ce, dans le but d’éviter leur divulgation, déformation ou endommagement et adopter une politique de sécurité rigoureuse.

Note : ces exigences sont identiques pour les sous-traitants, sous peine de sanctions (art. 28 du RGPD).

B17 et le RGPD

Avec l’aide d’un cabinet d’avocat, nous avons élaboré une offre pour accompagner nos clients dans la mise en conformité de leurs sites au RGPD et avons ainsi pu intervenir sur de nombreux sites. Vous souhaitez rendre votre site conforme à la nouvelle loi sur la Protection des données personnelles ? N’hésitez pas à nous contacter !

Le tracking des visites et le RGPD

Pour rappel, le RGPD interdit la collecte de données personnelles de tracking via des cookies, sans l’accord explicite de l’internaute. Ainsi, si un internaute refuse les cookies d’analyse de mesure d’audience que nous plaçons sur son navigateur web, nous ne sommes pas en mesure de savoir qu’il a effectivement visité le site. Nous avons ainsi observé une chute du trafic mesuré sur l'ensemble des sites que nous avons mis en conformité… Attention, en réalité, le trafic est probablement similaire à « l’avant RGPD », mais nous ne pouvons pas en mesurer l’étendue exacte.

En partant de ce constat, nous avons fait des tests et des études qui nous ont permis de statuer et mis en place une solution optimale pour perdre un minimum de trafic mesuré !

Vous souhaitez rendre votre site conforme au RGPD ou modifier un site déjà conforme pour réduire la perte de données mesurées ? N’hésitez pas à nous contacter !

Pour aller plus loin...

Une info en plus ? Avez-vous entendu parler du « Cloud Act » ? Il s’agit d’une nouvelle loi votée par le congrès américain, ayant pour but d’éclaircir les règles relatives aux réquisitions des autorités américaines sur les données stockées en dehors de leur territoire. En clair, le Cloud Act vise à exiger des entreprises américaines du numérique à communiquer des informations personnelles sur leurs utilisateurs dans le cadre d'enquêtes, même lorsque les données ne sont pas stockées sur le territoire américain.

Néanmoins, l'article 48 du EU RGPD statuant sur « le transfert ou la divulgation non autorisé par le droit de l’union », précise que "Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert en vertu du présent chapitre".

Pour simplifier, les États-Unis ne peuvent obliger un géant de l’informatique à divulguer les données d’un utilisateur basé en Europe sans que le pays concerné ne donne son accord (sous réserve d'un motif valable).

(*) CIL : Correspondant Informatique et Liberté

Fermer