Ressource

RGPD, pourquoi et comment se mettre en conformité

RGPD (règlement général sur la protection des données).

Cette nouvelle règlementation qui entre en vigueur le 25 mai 2018 encadre la collecte et le traitement des données personnelles sur le territoire de l’Union européenne. Il s’agit d’harmoniser au niveau européen le cadre juridique relatif à la protection des données mais aussi de lutter contre les dangers de la cybercriminalité et de l’exploitation frauduleuse de données personnelles.

Le RGPD concerne les entreprises ou organisations qui collectent des données personnelles de résidents européen via des formulaires de contact de site Internet, des campagnes d’e-mailing, des achats sur un site e-commerce, des commentaires, des e-mails reçus, des réservations…

RGPD, les avantages :

  • Renforcement de la confiance de vos clients grâce à la transparence sur l’utilisation des données
  • Amélioration de votre efficacité commerciale grâce à des bases qualifiées et segmentées pour envoyer des informations personnalisées : les utilisateurs acceptant que vous utilisiez leurs données sont les plus proches de vous
  • Meilleure connaissance des prospects
  • Un référentiel commun pour aider à mieux gérer vos données
  • Une aide pour améliorer la sécurité de vos données collectées et prévenir leur fuite
  • Réduction des spams dans vos boites mail de manière générale

RGPD, ce que je risque :

Tout organisme qui ne respecte pas les diverses obligations du RGPD à partir du 25 mai 2018 peut s’exposer à des sanctions administratives et pénales.

En cas de contrôle et de non-respect du RGPD, l'intervention de la CNIL varie en fonction de la gravité des violations :

  • Avertissement avec une mise en demeure à l’organisme en vue de le contraindre à se mettre en conformité
  • Suspendre temporairement les traitements de données
  • Amende sur le chiffre d’affaires :
    • Jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise ou 10 millions d’euros pour des violations comme le défaut de tenue d’un registre des traitements, le défaut d’annonce suite à une faille décelée ou encore le défaut d’étude d’impact sur la vie privée (en cas de données sensibles)
    • Jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros en cas de refus d’obtempérer face aux injonctions de la CNIL, en cas de traitements de données illégaux, de défaut de consentement, de manque de prudence lors des transferts transfrontaliers de données, de non-respect des droits des personnes.

Si une personne touchée par ces violations porte plainte, il peut s’ajouter des demandes de dommages et intérêts.

En cas de contrôle de la CNIL, vous devez être en mesure de garantir la protection des données personnelles et de démontrer les mesures prises à cet effet.

J’ai un site web (vitrine ou e-commerce) et je collecte des données, comment me mettre en conformité 

rgpd

  • Je nomme un pilote délégué à la protection des données
  • Je constitue et regroupe la documentation nécessaire pour prouver la conformité à la réglementation dans un registre de traitement de données qui doit relater les différents traitements faits aux données personnelles, catégoriser les données personnelles traitées, indiquer les objectifs du traitement de ces données et préciser qui sont les acteurs et prestataires ayant accès à ces données
  • Je fais le tri dans ce registre : n’avoir que les données nécessaires dont j’ai besoin
  • J’assure un suivi des données que je collecte en programmant la suppression des données dont la durée de vie est arrivée à échéance : 5 ans après la dernière commande pour un client inactif, 3 ans pour un abonné-newsletter inactif
  • Je vérifie mes contrats avec tous mes sous-traitants pour m’assurer qu’il leur soit obligatoire de protéger les données personnelles

rgpd protection des données

Sur mon site, vitrine et e-commerce

  • Je ne collecte que les données en rapport avec l’usage final de l’inscription
  • J’ajoute un texte renvoyant à la politique de confidentialité (facilement accessible et claire) sous mes formulaires de contact qui indique ce qui se passe avec les informations recueillies

Exemple :
En validant cet envoi, j’accepte que les informations recueillies sur ce formulaire soient enregistrées afin de rendre le service demandé (ou de livrer le produit) et traitées conformément à notre Politique de confidentialité (lien vers la page ou indication de l’emplacement du texte).

  • J’explique aux utilisateurs dans ma politique de confidentialité, mes conditions générales de vente (pour le e-commerce) et/ou mes conditions générales d’utilisation quelles sont les données que je collecte, pourquoi je les collecte, où je les stocke, ce que j’en fais et quelles mesures de sécurité sont mises en place

Exemple (source modèle site CNIL) :
Les informations recueillies sur ce site sont enregistrées dans un fichier informatisé par NOM DE L’ENTREPRISE pour la gestion de la relation client, la réalisation de nos prestations, l'information de nos prospects et de nos clients. Elles sont conservées pendant 5 ans et sont uniquement destinées à l'équipe de la NOM DE L’ENTREPRISE. Nous ne transmettons ces informations à aucun tiers (partenaires commerciaux, etc) sauf si vous nous y avez autorisé. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant contact@nomdedomaine.com (avec le nom du contact).

Les utilisateurs doivent avoir une information complète sur le traitement des données, exprimée clairement et simplement.

  • Je restreins les accès de mes collaborateurs sur le backoffice du site pour ne laisser la visibilité des données qu’à ceux qui en ont besoin
  • Je protège mon site contre les cyberattaques avec notamment un certificat SSL pour sécuriser les données de mon site (protocole https) > de plus, à partir de juillet 2018, tous les sites en HTTP (sans le S à la fin) seront marqués comme non-sécurisés sur Chrome, Google cherchant à forcer le passage du HTTP au HTTPS
  • Je mets en place un bandeau concernant la gestion des cookies sur mon site, si ce n’est pas déjà fait, avec une explication pour que l’utilisateur les paramètres, il faut qu’il puisse les refuser et il faut qu’il sache comment le faire

Exemple sur le site de la CNIL :

Le bandeau en haut de page
bandeau cookies site web

L’explication des cookies en cliquant sur le bouton Personnaliser
cookies site web

Exemple sur le site de la CCI Rennes :

Le bandeau en bas de page
bandeau cookies site web

L’explication des cookies en cliquant sur le bouton Plus d’informations sur les cookies
cookies site web

Sur mon site e-commerce

Les obligations portent sur l’utilisation, la récolte, le stockage et la sécurisation des données (identité, coordonnées, parcours client, historique d’achat…). Un client doit disposer d’un accès direct à ses informations personnelles, ses téléchargements et bénéficier de son historique d’achat.

Les consommateurs doivent comprendre clairement ce qu’ils acceptent comme traitements sur les sites e-commerce et la portée de leurs consentements. Les techniques de marketing e-commerce (retargeting, suggestions de produits…) doivent être explicitement acceptées.

  • Mon site est sur un CMS Open Source (Wordpress, Prestashop…), j’installe un module pour assurer la conformité de mon activité.
    • Pour Wordpress la nouvelle version 4.9.6 facilite la mise en conformité au RGPD, il existe aussi des extensions de conformité RGPD
    • Prestashop propose des modules comme « RGPS officiel » qui traite les données personnelles collectées par la solution PrestaShop et par les modules installés sur votre boutique, et le module « bandeau cookies conforme rgpd + cms »

En général

  • Je préviens la CNIL en cas de fuite de données
  • Les intégrations via Youtube, TwitterCard, Facebook, Google Map, etc… deviennent illégales tant que ces services collectent des données (et ne sont donc pas conforme au RGPD)

Je fais de l’emailing, comment me mettre en conformité pour le RGPD ?

Sur mon site

  • J’ajoute une case à cocher pour chaque usage des données dans mes formulaires de contact afin d’obtenir un consentement explicite des personnes fournissant leurs données personnelles (un consentement par usage), par exemple pour :
    • Abonnement à la newsletter de l’entreprise
    • Abonnement aux offres de l’entreprise

Exemples :

[ ] J’accepte de recevoir la newsletter de NOM DE L’ENTREPRISE

[ ] J’accepte de recevoir les offres personnalisées (promotions ponctuelles) de NOM DE L’ENTREPRISE

[ ] J’accepte de recevoir les propositions commerciales des partenaires de NOM DE L’ENTREPRISE

  • Je rajoute à la fin du texte sous le formulaire : Vous pouvez vous désinscrire à tout moment en nous adressant un mail et à travers les liens de désinscription.

Dans mes campagnes

  • J’envoie ma campagne email ou sms uniquement aux abonnées qui ont consenti à recevoir mes informations
  • Je vérifie qu’il y ait un lien de désabonnement dans mes prospections qu’elles soient par email ou sms

Dans ma base de donnée déjà collectée

Toute donnée déjà collectée doit bénéficier de cette nouvelle législation, il faut donc prévenir toutes les personnes présentes dans vos listes qui n’auraient pas déjà donné un consentement pour recevoir telle ou telle information. L’absence de consentement fera figure de refus et il faudra retirer les personnes concernées des listes.

Vous pouvez envoyer à vos listes un email (newsletter, information, explication du RGPD, inscription officielle à votre liste de diffusion…) avec un lien vers un formulaire en leur demandant s’ils souhaitent continuer à recevoir vos informations.

Exemple de texte : Nous détenons des informations personnelles vous concernant (nom, prénom, adresse e-mail …) et mettons à jour nos fichiers pour nous conformer aux obligations légales liées du RGPD. Cliquez sur ce lien si vous souhaitez continuer à recevoir nos newsletter / nos offres / les offres de nos partenaires…

Exemple du formulaire d’inscription au informations d’Impulsion (fait sur Mailchimp), accessible via un post sur la page Facebook et via un lien envoyé par email :

rgpd formulaire

Suite au clic pour s’abonner à la liste, l’utilisateur reçoit un email pour confirmer sa demande d’abonnement

rgpd formulaire
 

Après avoir cliqué sur « Oui, je m’abonne à cette liste », l’utilisateur arrive sur une page web de confirmation

rgpd formulaire

L’utilisateur reçoit un email confirmant son inscription

rgpd formulaire

Dans la base de donnée, vous avez la preuve du consentement de la personne avec la source de l’inscription et la date

rgpd base de données
 

RGPD, ce qui est interdit

  • Avoir des cases d’inscription pré-cochée
  • Avoir des cases à cocher indiquant « je ne souhaite pas recevoir… »
  • Inscrire d’office l’utilisateur à sa liste de prospection (message du type « En vous inscrivant / En validant ce formulaire, vous acceptez de recevoir les offres… »)
  • Inscrire un utilisateur à sa base de donnée pour l’envoi d’e-mailing s’il n’a pas donné son consentement : quelqu’un vous envoie un mail pour une demande de devis / d’information et il n’a pas coché la case « J’accepte de recevoir les offres », vous pouvez répondre à l’objet de sa demande mais vous ne pouvez pas l’ajouter à votre liste de diffusion

RGPD, la check-list de mise en conformité en 10 points

Pour résumé, voici les points essentiels devant être mis en place pour être conforme au RGPD :

  1. J’ai désigné un pilote, référent de la protection des données de mon entreprise
  2. J’ai supprimé de mes données les personnes qui n’ont pas donner leur consentement pour l’utilisation de leurs données
  3. J’ai la preuve du consentement de mes abonnés pour chaque utilisation de leurs données
  4. Je tiens un registre de traitement des données
  5. J’ai un système de protection des données et peux le prouver en cas de contrôle de la CNIL
  6. Mon site a un bandeau pour parler des cookies et data récoltée et indique comment les refuser
  7. Ma politique de confidentialité est clairement expliquée et facile d’accès et indique les coordonnées du pilote (voir exemple plus haut)
  8. Mes formulaires de contact ne demandent en données que ce dont j’ai besoin, soit le strict nécessaire
  9. Si j’utilise les données récoltées via les formulaires, je demande le consentement des utilisateurs avec des cases à cocher
  10. J’ai un lien de désabonnement dans toutes mes campagnes emailing ou sms