Le RGPD c’est quoi ?
A partir d’aujourd’hui 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) entre en vigueur. Autrement dit, si vous n’êtes pas aux normes, il est grand temps de le faire, n’hésitez pas à faire appel à un prestataire, pour être en règle. Mis en place par l’Union Européenne, le RGPD vise à augmenter la protection des données privés sur internet.
Cet objectif se traduit à travers 4 grand points
- Obligation d’avoir le consentement explicite lors de l’acquisition de données personnelles
- Limiter la récolte de données personnelles qui n’ont pas d’utilité directe pour le service proposé
- Assurer la sécurité des données lors de leur acquisition et de leur conservation
- Limiter le temps de conservation des données
Données considérées comme personnelles :
- Le nom et prénom
- L’adresse email
- Le numéro de téléphone
- L’adresse postale
- L’adresse IP et les données GPS (c’est-à-dire les données de localisation)
- Les Cookies
- Le numéro d’identification ou identifiants
- Les données sensibles : informations relatives à l’identité physique, psychique, génétique ou économique
Quelles sont les modifications à mettre en œuvre ? (Rapidement)
De manière générale
- Créer et mettre à jour un registre des activités de traitement des données
- Les autorités de contrôle devront être alertées immédiatement en cas de violation des données à caractère personnel
- Obligatoirement demander clairement aux utilisateurs leurs consentements pour le traitement de leurs données personnelles
(ex : pour les cookies, fini les « en poursuivant la navigation, vous acceptez…. » )
- Garder une preuve du consentement
- Indiquer la durée et la finalité des données (juste dans « mentions légales » ou directement sur un formulaire si particulier)
- Permettre aux utilisateurs de consulter, rectifier ou supprimer les données conservées
- Sécuriser les données conservées (gestion stricte des habilitations, traçabilité des accès, sécurisation du réseau et des échanges avec les tiers)
- Identifier et inscrire dans des documents légaux les conditions de transfert et de traitement de la data par des tiers, ainsi que pour tout transfert de la donnée vers un pays extérieur à l’UE.
Pour les sites vitrines
- Des « mentions CNIL » en bas du formulaire de contact. Des modèles sont proposés par la CNIL sur son site internet.
- Un moyen de contact pour que les personnes puissent exercer leurs droits par voie électronique.
- Des mentions légales identifiant l’éditeur du site.
Pour les sites E-commerce
- Parcours de vente en https
- Imposer mot de passe complexe à la création d’un compte client
- ne pas transmettre de données personnelles par email (exemple : mot de passe, coordonnées personnelles)
- ne conservez pas les coordonnées bancaires de vos clients
- sécurisez la transaction bancaire
- Informer les clients sur l’utilisation de leurs données (création d’une page dédiée facile d’accès et compréhensible).
- Laisser une possibilité de contact aux clients, pour qu’ils aient accès à leurs données.
Résumé
Cette nouvelle réglementation va permettre le renforcement de la sécurité des données sur internet, et nécessite donc des mesures importantes. Elles sont d’autant plus importantes que les sanctions en cas de non-respect du RGPD ont de quoi dissuader, avec notamment des amendes pouvant se monter à 4% de votre chiffre d’affaire annuel.
