Création de sites web à Quimper
ParLaurent
Le RGPD est entré en vigueur le 25 mai 2018. Pourtant fin 2019, des entreprises ne sont toujours pas en conformité avec le Règlement Général à la Protection des Données. Appliquer le RGPD est obligatoire pour toutes les entreprises, même si elles gèrent peu de données. Et vous ? Êtes-vous à jour ?
Il y a de bonnes raisons d’appliquer le RGPD. Vous pouvez :
Cet article est un condensé des principes et de la mise en œuvre du RGPD. Il est basé sur le MOOC de la CNIL, l’Atelier RGPD. Il s’adresse à vous, petite ou moyenne entreprise, gérant peu de données.
J’ai consacré plusieurs heures à suivre ce MOOC et je vous en ai fait un résumé adapté à la taille de votre entreprise. Bonne lecture !
Le RGPD peut paraître comme une contrainte administrative de plus qui nuira à l’activité de votre entreprise. Détrompez-vous…
Son but est de protéger la vie privée de chacun. Les responsables d’entreprises y trouveront leur compte en faisant du ménage dans leurs données et en les sécurisant. Au final, il contribue à établir un climat de confiance entre les entreprises et leurs clients.
Le RGPD est applicable aux organismes européens ou non, agissant sur le territoire européen. Il engage les entreprises, mais aussi leurs sous-traitants et autres partenaires.
Sous peine de sanctions, tout organisme, privé ou non, collectant des données personnelles devra être en mesure de prouver sa mise en conformité et la sécurisation de ses données.
Une donnée personnelle est une information qui permet d’identifier directement ou indirectement un individu. Ce peut être : le nom, le prénom, le pseudo, l’e-mail, l’adresse IP, les données bancaires…
Les entreprises collectent ce type de donnés pour suivre des ventes ou des contrats, prospecter de nouveaux clients, informer leurs clientèles. Elles peuvent être numériques ou physiques (tableurs, dossier papier, fiches clients…)
On doit collecter les données avec consentement (en marketing on utilise le terme d’opt-in). L’individu concerné doit être informé de l’utilisation qui en sera faite et des traitements qui seront effectués.
Le double opt-in est une technique qui consiste à demander la confirmation à un abonnement en cliquant sur un nouveau lien. Ce lien peut être reçu par mail ou par SMS.
La collecte des informations doit correspondre à un besoin particulier et être pertinente. Si un client remplit un formulaire pour être informé sur un produit, il ne s’inscrit pas pour recevoir une news-letter. A moins que la proposition lui ait été faite et qu’il l’accepte.
On s’abstiendra de collecter des informations à titre préventif, « au cas où »…
Toutes ces informations ne pourront pas être transmises à un autre organisme.
Il s’agit de la collecte, de l’enregistrement, de l’organisation… toutes les opérations qui affectent les données jusqu’à leur destruction.
Le RGPD recommande de ne collecter que les données réellement nécessaires. C’est aussi un gain de temps. Le client prendra moins de temps à remplir un formulaire. Ce sera moins d’informations à traiter.
Les données sensibles concernent les origines, les opinions philosophiques ou religieuses, l’orientation sexuelle, la santé…
En cas de collecte, elle doivent faire l’objet d’une protection maximale, ou d’une anonymisation voire d’une pseudonymisation.
Une fois que l’objectif annoncé a été satisfait, les données doivent être effacées, anonymisées ou archivées sous certaines conditions.
Les données doivent être confidentielles. Elles ne peuvent pas être modifiées. Elles ne sont accessibles qu’aux personnes autorisées.
Pour protéger ses données, il y a plusieurs méthodes, physiques ou logicielles. On évitera ainsi de laisser son fichier clients sur une étagère dans un bureau non sécurisé. Dans le cas du numérique, on sera attentif à ses mots de passe. Et si on utilise un prestataire extérieur (comme une plateforme d’e-mailing) on s’assurera de sa conformité.
Tout client d’un magasin, tout visiteur d’un site internet doit être informé de la possible collecte, directe ou indirecte, de données le concernant. Il doit être informé en cas de transformation ou de vol. Il doit aussi pouvoir contacter le responsable du traitement.
Cette information doit être claire, lisible et adaptée au public visé.
Dans le cas d’un site internet une collecte peut se faire à l’aide de « cookies ». Le visiteur doit être prévenu dès sa première visite. Une fenêtre l’invite à accepter l’enregistrement de ces fichiers sur son ordinateur. Il est pour l’instant admis que la poursuite de la la visite d’un site vaut pour acceptation.
Sur un site, on consacre généralement une page pour recenser l’ensemble des informations collectées, leur usage et les droits des usagers. On l’appelle la « politique de confidentialité ».
Les cookies ne sont pas des gâteaux. Ce sont de petits fichiers qui sont déposés sur votre ordinateur lors de la visite d’un site. Ils servent à mémoriser des informations comme votre identifiant de connexion, le contenu de votre panier d’achat… D’autres peuvent suivre votre navigation à des fins statistiques ou publicitaires…
Le RGPD confirme le droit jusqu’ici en vigueur, notamment les dispositions de la CNIL. Toute personne a droit d’accès aux données la concernant. Elle peut demander à les faire rectifier ou à les faire effacer si l’objectif a été accompli. Elle peut aussi s’opposer à la collecte d’informations qu’elle juge non nécessaires.
Le RGPD accorde aussi de nouveaux droits.
Le droit à la portabilité consiste à pouvoir récupérer ses données pour pouvoir les réutiliser chez un autre fournisseur.
Le droit de ne pas faire l’objet d’une décision automatique est plus difficile à appréhender pour une petite entreprise qui dispose de moyens marketing limités. Mais n’oublions pas qu’elle a des droits à l’égard de ses fournisseurs, des administrations et des puissants acteurs du monde numérique. Concrètement, il peut s’agir de contester une amende, un exclusion, une offre commerciale ou un tarif inappropriés.
Le profilage est une technique qui permet de prédire les préférences ou les réactions d’une personne sur la base d’informations collectées.
Les entreprises, mais aussi les associations, doivent se mettre en conformité et le démontrer.
Elles doivent :
C’est la personne référente dans l’entreprise. Elle met à jour le registre, informe, conseille, sensibilise et répond aux questions venant de l’extérieur. Ses coordonnées doivent être rendues publiques.
Ce document doit être sous forme écrite, numérique ou papier. Il contient entre autres la description des données collectées, de la finalité de leur traitement, la désignation des parties prenantes.
Un modèle de base est disponible sur le site de la CNIL, le registre basique des activités de traitement.
Les entreprises privées ne doivent pas le rendre public. En revanche, il doit être transmis à la CNIL à sa demande.
Le RGPD impose une information concise et transparente auprès des personnes concernées. Elle se fait au moment de la collecte de données. Ce peut être à l’entrée sur un site si on utilise des cookies ou sur chaque formulaire.
Pour maximiser la confiance, dans le cas d’un site, il n’est pas inutile de rédiger une page entière où l’ensemble des traitements sont décrits.
L’analyse d’impact est facultative dans la plupart des cas. Elle devient obligatoire lorsque le traitement des données peut engendrer un risque élevé pour les droits des personnes.
C’est le moment de se poser les bonnes questions. Vous aviez probablement l’habitude de récupérer des noms et des adresses. Commencez par supprimer celles que vous avez obtenues sans accord, ou de trop longue date. Supprimez aussi les informations qui n’ont aucun rapport avec vos besoins et objectifs.
Il y a beaucoup de méthodes pour gérer ses fichiers, de la simple fiche cartonnée au CRM professionnel, en passant par le tableur. Réorganisez vos fichiers en prenant soin de bien distinguer les prospects des clients.
Les formulaires de contact sont destinés à des objectifs précis, recevoir une news-letter, poser une question, passer commande. Qu’ils soient numériques ou sur papier, évitez les champs inutiles.
Si vous possédez un site, cette page décrira l’ensemble des traitements de données que vous effectuez. Elle mettra en confiance vos visiteurs.
Le registre simplifié est téléchargeable sur le site de la CNIL. D’autres informations utiles y sont aussi disponibles, ainsi que des exemples concrets concernant l’application du RGPD.
Choisir un DPO dépend de la taille de l’entreprise. C’est obligatoire dans certains cas, mais la plupart du temps conseillé.
Votre site peut déposer des cookies chez vos visiteurs, sans que vous le sachiez… Il existe plusieurs techniques pour les lister. L’important est d’informer vos visiteurs soient de leur présence dans votre politique de confidentialité.
Des plug-ins permettent aux internautes de faire le choix de refuser certains cookies. Là, c’est la cerise sur le gâteau…
C’est peut être l’opération la plus compliquée si on a peu de connaissances techniques. Il est possible de greffer des modules sur la majorité des sites Internet. Ils sont pratiques. Pas de panique… Chez Ho Pongo ! On sera ravi de vous aider à vous mettre en conformité avec le RGPD. Contactez-nous !
Un grand choix de modules de mise en conformité RGPD pour WordPress
C’est un protocole de transfert sécurisé. Le https protège la confidentialité des données de votre site. C’est indispensable si on collecte des informations via des formulaires… Passer son site en https est une tâche très technique mais importante. N’hésitez-pas à nous consulter.
En fonction de la taille de votre entreprise, plusieurs méthodes sont à votre disposition. Cela va de l’octroi d’autorisations d’accès à la sécurisation des locaux et du matériel informatique.
Appliquer le RGPD comporte plusieurs volets ; technique, logiciel, humain. Cela est plus simple qu’il n’y parraît. La CNIL dispense de très nombreux outils et conseils.
Mais si toutefois, vous manquez de temps ou de ressources humaines, l’agence Ho Pongo! est là pour vous aider à vous mettre en conformité avec le RGPD. N’hésitez pas à prendre contact !
À propos de l’auteur