Le RGPD, Règlement Général pour la Protection des Données personnelles, est un règlement mis en place par l’Union européenne pour protéger les données personnelles de ses citoyens. Il impose le respect, au sein des États membres dont la France, de 4 points : consentement, transparence, droit des utilisateurs et responsabilité.
Le RGPD vient cadrer un usage qui était au-delà régi par la loi informatique et libertés de 1978.
Consentement
Votre entreprise doit obtenir l’approbation de l’utilisateur pour collecter ses données. Le RGPD repose sur une logique d’opt’in : l’internaute doit avoir donné son consentement pour la collecte de ses données personnelles. S’il n’a pas dit “oui”, c’est “non”. Auparavant, la CNIL imposait un fonctionnement “opt’out” : si l’internaute n’a pas dit “non”, c’est “oui” (il fallait cocher une case pour ne pas que nos données soient collectées ou transmises).
Transparence
Informer vos visiteurs à chaque collecte de données : expliquer
- pourquoi vous avez besoin de ces informations,
- l’usage que vous allez en faire (utilisation commerciale, utilisation pour traiter la demande de l’internaute, etc.),
- à qui vous allez les transmettre (quels services au sein de votre entreprises, quels tiers),
- combien de temps elles seront conservées.
Droits des utilisateurs
L’utilisateur a le droit de consulter, modifier ou supprimer ses données personnelles. Il devra pour cela contacter le responsable du traitement des données. Vous devez donc communiquer clairement sur votre site le moyen de joindre ce responsable.
Responsabilité
Tenir un registre interne pour documenter le traitement des données que vous effectuez. Ce document vous donne une vision globale de la collecte de données dans l’entreprise d’une part, prouver votre conformité en cas de contrôle d’autre part.
Enfin, le RGPD instaure les droits suivants :
- Droit à la portabilité de ses données personnelles,
- Droit à notification en cas de piratage des données,
- Droit à recourir à une action groupée,
- Droit à réparation.
Le texte complet est disponible sur le site de l’Union Européenne.
Quelles informations faire figurer sur votre site ?
Depuis la mise en place du RGPD en 2018, sur tous les sites collectant des données personnelles doivent figurer les informations suivantes :
- Comment vous collectez les données (formulaire sur vos landing pages, etc.).
- Quelles sont les données recueillies (nom, prénom, e-mail, téléphone, adresse, etc.).
- Pourquoi vous collectez les données (pour une utilisation marketing, commerciale, de recrutement, etc.).
- Si vous partagez les données à des tiers et le rôle des tiers (par exemple des prestataires marketing, nos amis de Google via les cookies, etc.).
- Combien de temps vous conservez les données (il faut régulièrement purger votre base de données).
- Où ces données sont stockées (il faut que ce soit au sein de l’Union Européenne).
- Le moyen qu’ont les internautes de vous contacter au sujet de leurs droits concernant les données personnelles.
Comment mettre mon site en conformité ?
Mettre en conformité vos formulaires permettant la collecte de données personnelles. Cela tient généralement en 3 étapes :
- Ajouter une case à cocher, non cochée par défaut (logique opt’in) indiquant que l’utilisateur consent à partager ses données personnelles
- Préciser la raison de la collecte de données
- Proposer aux utilisateurs de se désinscrire à tout moment
- Indiquer le moyen de contact le responsable du traitement des données pour que les utilisateurs puissent faire valoir leurs droits.
Déclarer la collecte de vos données à la CNIL.
Retrouvez tous les conseils pour mettre votre site en conformité du RGPD sur le site de la CNIL.
