Création de sites web à Quimper

Le RGPD, une obligation pour toutes les entreprises

Avatar ParLors

Le RGPD, une obligation pour toutes les entreprises

Le RGPD est entré en vigueur le 25 mai 2018. Pourtant fin 2019, des entreprises ne sont toujours pas en conformité avec le Règlement Général à la Protection des Données. Appliquer le RGPD est obligatoire pour toutes les entreprises, même si elles gèrent peu de données. Et vous ? Êtes-vous à jour ?

Il y a de bonnes raisons d’appliquer le RGPD. Vous pouvez :

  • être la cible d’attaques informatiques,
  • faire appel à des services extérieurs qui ne sont pas en conformité,
  • être confrontées à des clients, concurrents ou fournisseurs malveillants,
  • collecter des données sensibles, liées à la santé par exemple, c’est le cas des masseurs, naturopathes…
  • enfin, les consommateurs sont de plus en plus méfiants quand à l’utilisation de leurs données.

Cet article est un condensé des principes et de la mise en œuvre du RGPD. Il est basé sur le MOOC de la CNIL, l’Atelier RGPD. Il s’adresse à vous, petite ou moyenne entreprise, gérant peu de données.
J’ai consacré plusieurs heures à suivre ce MOOC et je vous en ai fait un résumé adapté à la taille de votre entreprise. Bonne lecture !

 

Le RGPD c’est quoi ?

Le RGPD peut paraître comme une contrainte administrative de plus qui nuira à l’activité de votre entreprise. Détrompez-vous…

Son but est de protéger la vie privée de chacun. Les responsables d’entreprises y trouveront leur compte en faisant du ménage dans leurs données et en les sécurisant. Au final, il contribue à établir un climat de confiance entre les entreprises et leurs clients.

Le RGPD est applicable aux organismes européens ou non, agissant sur le territoire européen. Il engage les entreprises, mais aussi leurs sous-traitants et autres partenaires.

Sous peine de sanctions, tout organisme, privé ou non, collectant des données personnelles devra être en mesure de prouver sa mise en conformité et la sécurisation de ses données.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une information qui permet d’identifier directement ou indirectement un individu. Ce peut être : le nom, le prénom, le pseudo, l’e-mail, l’adresse IP, les données bancaires…

Les entreprises collectent ce type de donnés pour suivre des ventes ou des contrats, prospecter de nouveaux clients, informer leurs clientèles. Elles peuvent être numériques ou physiques (tableurs, dossier papier, fiches clients…)

 

Les 8 règles d’or du RGPD

1. La collecte et l’utilisation doivent être licites.

On doit collecter les données avec consentement (en marketing on utilise le terme d’opt-in). L’individu concerné doit être informé de l’utilisation qui en sera faite et des traitements qui seront effectués.

Le double opt-in

Le double opt-in est une technique qui consiste à demander la confirmation à un abonnement en cliquant sur un nouveau lien. Ce lien peut être reçu par mail ou par SMS.

2. La finalité du traitement des données

La collecte des informations doit correspondre à un besoin particulier et être pertinente. Si un client remplit un formulaire pour être informé sur un produit, il ne s’inscrit pas pour recevoir une news-letter. A moins que la proposition lui ait été faite et qu’il l’accepte.

On s’abstiendra de collecter des informations à titre préventif, « au cas où »…

Toutes ces informations ne pourront pas être transmises à un autre organisme.

Le traitement

Il s’agit de la collecte, de l’enregistrement, de l’organisation… toutes les opérations qui affectent les données jusqu’à leur destruction.

3. La minimisation des données

Le RGPD recommande de ne collecter que les données réellement nécessaires. C’est aussi un gain de temps. Le client prendra moins de temps à remplir un formulaire. Ce sera moins d’informations à traiter.

4. La protection particulière des données sensibles

Les données sensibles concernent les origines, les opinions philosophiques ou religieuses, l’orientation sexuelle, la santé

En cas de collecte, elle doivent faire l’objet d’une protection maximale, ou d’une anonymisation voire d’une pseudonymisation.

5. La conservation limitée des données

Une fois que l’objectif annoncé a été satisfait, les données doivent être effacées, anonymisées ou archivées sous certaines conditions.

6. L’obligation de sécurité

Les données doivent être confidentielles. Elles ne peuvent pas être modifiées. Elles ne sont accessibles qu’aux personnes autorisées.

Pour protéger ses données, il y a plusieurs méthodes, physiques ou logicielles. On évitera ainsi de laisser son fichier clients sur une étagère dans un bureau non sécurisé. Dans le cas du numérique, on sera attentif à ses mots de passe. Et si on utilise un prestataire extérieur (comme une plateforme d’e-mailing) on s’assurera de sa conformité.

7. La transparence

Tout client d’un magasin, tout visiteur d’un site internet doit être informé de la possible collecte, directe ou indirecte, de données le concernant. Il doit être informé en cas de transformation ou de vol. Il doit aussi pouvoir contacter le responsable du traitement.

Cette information doit être claire, lisible et adaptée au public visé.

Dans le cas d’un site internet une collecte peut se faire à l’aide de « cookies ». Le visiteur doit être prévenu dès sa première visite. Une fenêtre l’invite à accepter l’enregistrement de ces fichiers sur son ordinateur. Il est pour l’instant admis que la poursuite de la la visite d’un site vaut pour acceptation.

Sur un site, on consacre généralement une page pour recenser l’ensemble des informations collectées, leur usage et les droits des usagers. On l’appelle la “politique de confidentialité”.

Les cookies

Les cookies ne sont pas des gâteaux. Ce sont de petits fichiers qui sont déposés sur votre ordinateur lors de la visite d’un site. Ils servent à mémoriser des informations comme votre identifiant de connexion, le contenu de votre panier d’achat… D’autres peuvent suivre votre navigation à des fins statistiques ou publicitaires…

8. Le droit des personnes

Le RGPD confirme le droit jusqu’ici en vigueur, notamment les dispositions de la CNIL. Toute personne a droit d’accès aux données la concernant. Elle peut demander à les faire rectifier ou à les faire effacer si l’objectif a été accompli. Elle peut aussi s’opposer à la collecte d’informations qu’elle juge non nécessaires.

Le RGPD accorde aussi de nouveaux droits.

Le droit à la portabilité consiste à pouvoir récupérer ses données pour pouvoir les réutiliser chez un autre fournisseur.

Le droit de ne pas faire l’objet d’une décision automatique est plus difficile à appréhender pour une petite entreprise qui dispose de moyens marketing limités. Mais n’oublions pas qu’elle a des droits à l’égard de ses fournisseurs, des administrations et des puissants acteurs du monde numérique. Concrètement, il peut s’agir de contester une amende, un exclusion, une offre commerciale ou un tarif inappropriés.

Le profilage

Le profilage est une technique qui permet de prédire les préférences ou les réactions d’une personne sur la base d’informations collectées.

Vos responsabilités d’entrepreneur

Les entreprises, mais aussi les associations, doivent se mettre en conformité et le démontrer.

Elles doivent :

  • désigner un délégué à la protection des données (DPO),
  • tenir un registre des activités de traitements,
  • appliquer une politique de confidentialité,
  • réaliser une analyse d’impact sur la vie privée,
  • informer la CNIL et les personnes concernées en cas de viol des données.

 

Les outils de la conformité

Le DPO

C’est la personne référente dans l’entreprise. Elle met à jour le registre, informe, conseille, sensibilise et répond aux questions venant de l’extérieur. Ses coordonnées doivent être rendues publiques.

Le registre

Ce document doit être sous forme écrite, numérique ou papier. Il contient entre autres la description des données collectées, de la finalité de leur traitement, la désignation des parties prenantes.

Un modèle de base est disponible sur le site de la CNIL, le registre basique des activités de traitement.

Les entreprises privées ne doivent pas le rendre public. En revanche, il doit être transmis à la CNIL à sa demande.

La politique de confidentialité

Le RGPD impose une information concise et transparente auprès des personnes concernées. Elle se fait au moment de la collecte de données. Ce peut être à l’entrée sur un site si on utilise des cookies ou sur chaque formulaire.

Pour maximiser la confiance, dans le cas d’un site, il n’est pas inutile de rédiger une page entière où l’ensemble des traitements sont décrits.

L’analyse d’impact relative à la protection des données (AIPD)

L’analyse d’impact est facultative dans la plupart des cas. Elle devient obligatoire lorsque le traitement des données peut engendrer un risque élevé pour les droits des personnes.

 

Et concrètement… je fait comment ?

1. Faites un état des lieux de vos données

C’est le moment de se poser les bonnes questions. Vous aviez probablement l’habitude de récupérer des noms et des adresses. Commencez par supprimer celles que vous avez obtenues sans accord, ou de trop longue date. Supprimez aussi les informations qui n’ont aucun rapport avec vos besoins et objectifs.

2. Structurez vos fichiers

Il y a beaucoup de méthodes pour gérer ses fichiers, de la simple fiche cartonnée au CRM professionnel, en passant par le tableur. Réorganisez vos fichiers en prenant soin de bien distinguer les prospects des clients.

3. Rédigez vos formulaires de contact

Les formulaires de contact sont destinés à des objectifs précis, recevoir une news-letter, poser une question, passer commande. Qu’ils soient numériques ou sur papier, évitez les champs inutiles.

4. Rédigez votre politique de confidentialité

Si vous possédez un site, cette page décrira l’ensemble des traitements de données que vous effectuez. Elle mettra en confiance vos visiteurs.

5. Complétez votre registre et nommez votre DPO

Le registre simplifié est téléchargeable sur le site de la CNIL. D’autres informations utiles y sont aussi disponibles, ainsi que des exemples concrets concernant l’application du RGPD.

Choisir un DPO dépend de la taille de l’entreprise. C’est obligatoire dans certains cas, mais la plupart du temps conseillé.

6. Listez vos cookies

Votre site peut déposer des cookies chez vos visiteurs, sans que vous le sachiez… Il existe plusieurs techniques pour les lister. L’important est d’informer vos visiteurs soient de leur présence dans votre politique de confidentialité.

Des plug-ins permettent aux internautes de faire le choix de refuser certains cookies. Là, c’est la cerise sur le gâteau…

7. Mettez à jour votre site

C’est peut être l’opération la plus compliquée si on a peu de connaissances techniques. Il est possible de greffer des modules sur la majorité des sites Internet. Ils sont pratiques. Pas de panique… Chez Ho Pongo ! On sera ravi de vous aider à vous mettre en conformité avec le RGPD. Contactez-nous !

La conformité RGPD avec WordPress

Un grand choix de modules de mise en conformité RGPD pour WordPress

8. Passez en https

C’est un protocole de transfert sécurisé. Le https protège la confidentialité des données de votre site. C’est indispensable si on collecte des informations via des formulaires… Passer son site en https est une tâche très technique mais importante. N’hésitez-pas à nous consulter.

9. Sécurisez vos données

En fonction de la taille de votre entreprise, plusieurs méthodes sont à votre disposition. Cela va de l’octroi d’autorisations d’accès à la sécurisation des locaux et du matériel informatique.

 

Et pour conclure…

Appliquer le RGPD comporte plusieurs volets ; technique, logiciel, humain. Cela est plus simple qu’il n’y parraît. La CNIL dispense de très nombreux outils et conseils.
Mais si toutefois, vous manquez de temps ou de ressources humaines, l’agence Ho Pongo! est là pour vous aider à vous mettre en conformité avec le RGPD. N’hésitez pas à prendre contact !

 

Partagez cet article sur Facebook

À propos de l’auteur

Avatar

Lors administrator

Laisser un commentaire