Alteo, Agence web à Paris, Lille, Lyon et Dijon : création de site internet, e-commerce, extranet, intranet
  • Paris
    13bis Avenue de la Motte-Picquet
    75007 Paris
    2 mail des Cerclades
    95000 Cergy
    Contact
  • Lille
    33 rue du Metz
    59800 Lille
    Contact
  • Lyon
    15 boulevard Vivier-Merle
    69003 Lyon
    Contact
  • Dijon
    10 avenue Foch Immeuble Le Mazarin - LBA
    21000 Dijon
    Contact

RGPD : quelles dispositions adopter pour les entreprises ?

RGPD (ou « GDPR » en anglais pour General Data Protection Regulation) est le nouveau règlement européen qui remplace la loi « Informatique et libertés » et fixe une nouvelle manière de traiter les données personnelles pour tous les acteurs du numérique.

Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne. Il impose de nouvelles contraintes et règles, fixe des vraies sanctions et détermine finalement un cadre réglementaire ordonné et harmonisé pour tous les pays membres de l’UE.

1. La sécurité des données avant tout

En tant que citoyen utilisateur ou comme professionnel, nous générons des données en très grand nombre. De la moindre connexion au paiement en ligne en passant par l’échange de courriel, nous laissons des traces, intentionnellement ou non :

Sur l’immense majorité des sites visités, vous trouvez encore un bandeau à propos des cookies (ce fameux bandeau que les utilisateurs ne voient même pas) ou autres tracker ; ce bandeau qui précise qu’en navigant sur le site, vous acceptez la collecte de vos informations.

Un exemple de ces mentions parmi d’autres :

« Les cookies assurent le bon fonctionnement de notre système de mesure d'audience. Certaines données sont donc communiquées à des tiers. En utilisant ce site, vous acceptez l'utilisation de ces cookies. »

Manipuler ces données ne doit pas être pris à la légère ; il ne s’agit pas d'entrer dans la paranoïa à tout prix, mais à cause des problèmes d’usurpation d’identité, de doxxing, ou de perte de données que rencontrent même certaines grosses sociétés, la sécurité et la maîtrise de ces données est une nécessité.

La maîtrise des flux d'informations personnelles laissées sur les sites est une activité à risque qui peut se répercuter dans la vie courante (comme la revente de données personnelles au risque d’être spammé sur votre téléphone).

La CNIL comme les autorités européennes l'ont bien compris, et c'est dans ce cadre qu'est né le RGPD. Le but est de réguler et de sécuriser les flux d'informations personnelles laissées sur les sites et normaliser les usages en responsabilisant les éditeurs de site.

Aussi, des mesures doivent être prises tant au niveau de vos infrastructures que pour les traitements et la récupération des données personnelles des utilisateurs de votre/vos site(s) afin d'adhérer à la logique de conformité du RGPD.

 

Qui est concerné ?


Les entreprises, les prestataires, les associations et sous-traitants sont concernés par le RGPD.

  • En tant qu’entreprise, vous êtes le responsable de traitement ;

Si vous faites appel à une agence web pour sous-traiter tout ou partie de votre activité, elle vous doit conseil et aide ainsi que sécuriser les données que vous lui confiez.

Le RGPD entraîne un changement dans la responsabilité face aux données, car le sous-traitant est à présent co-responsable du traitement des données.

 

Quelles données personnelles ?


Le traitement des données à caractère personnel :

Cela concerne la collecte, l’enregistrement, la structuration, la modification, l’extraction, la mise à disposition et transmission de données utilisateurs (données se rapportant à une personne physique identifiée ou identifiable).

Ces données peuvent être des données sensibles que détient l’entreprise, telles que :

  • les données personnelles (identité, adresse, photo, etc.) figurant dans des fichiers numériques (y compris les données concernant ses salariés) ;
  • le numéro IBAN (compte bancaire) ;
  • les numéros de téléphone ;
  • les numéros individuels (ex : numéro de Sécurité Sociale, n° de TVA intracommunautaire, numéro contrat de complémentaire santé, etc.) ;
  • les identifiants, code d'accès, mots de passe (enregistrés en base de données) ;
  • les données biométriques qu'elle détient ;
  • les données de géolocalisation GPS et IP (y compris celles des véhicules) ;
  • les enregistrements de caméras qu'elle détient ;
  • les pièces justificatives personnelles (photocopie de carte d'identité, passeport, justificatif de domicile, relevé bancaire, carte vitale...) ;
  • Données de santé ou concernant la vie ou l’orientation sexuelle d’une personne ;

Les données peuvent donc être physiques (documents papiers) comme immatérielles (base de données, tableurs…).

 

Où ? Champ d’application du règlement


Le RGPD offre un cadre harmonisé aux 28 états membres européens.

Il s’applique à tout traitement de données d’utilisateurs européens situé sur le territoire de l'Union européenne, mais également à toute entreprise hors UE qui fournirait des biens et services accessibles à un utilisateur européen.

Peu importe donc que le traitement ait lieu ou non dans l'Union Européenne ; même pour des traitements réalisés à l’autre bout du Monde ;

Une application extra-territoriale : le règlement s'appliquera aux entreprises établies en dehors de l'UE qui traitent les données relatives aux activités des organisations de l'UE.

 

C’est pour Quand ?


Définitivement adopté par le Parlement européen le 4 avril 2016, publié le 4 mai 2016 dans le Journal officiel de l'Union européenne, il entre en application le 25 mai 2018.

Toute entreprise devra au plus tard à partir de cette date garantir et prouver, en cas de contrôle, qu'elle a protégé de manière appropriée les données sensibles qu'elle détient (voir la liste non-exhaustive).

2. Les exigences du RGPD : la mise en conformité des professionnels


Si vous avez une activité Web comme un site e-commerce ou même un site vitrine ou d’informations, vous devez respecter les points suivants pour vos utilisateurs :

 

Pour les internautes et vos clients, l’information pour une collecte licite

  • Le consentement explicite et positif de chaque internaute est nécessaire pour que des données personnelles soient collectées et exploitées légalement.

Les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées. Le traitement des données est valide si l’utilisateur du site accepte le traitement de ses données. Pour cela, l’entreprise DOIT recueillir le consentement de ses utilisateurs en ligne, consentement qui doit être donné dans un cadre spécifique très clair qui ne laisse pas de place à l’ambiguïté sur le traitement de ces données.

Exemple : Les CGU/CGV ne doivent pas être cochées par défaut et ne doivent pas entraîner la validation d’un formulaire d’inscription (une action spécifique et volontaire à cette validation est nécessaire).

  • Le droit à l’accès, l’utilisateur doit pouvoir savoir quelles données sont collectées, où elles sont collectées, à quel usage/finalité, et pouvoir en obtenir une copie ;
  • Le droit à l’effacement (ou droit à l’oubli), dans les meilleurs délais, des données à caractère personnel d’un demandeur par le responsable du traitement.
  • Le droit à la limitation du traitement, toute personne impactée par un manquement au GDPR est en droit de demander l'accès aux données, leur rectification ou leur effacement au responsable du traitement. Les utilisateurs ont également le droit de s'opposer au traitement.
  • La portabilité des données : chaque utilisateur peut exiger de l’entreprise de recevoir ses données personnelles le concernant, dans un format structuré, couramment utilisé et lisible par toute machine, et ont le droit de transmettre ces données à un autre responsable du traitement.
  • Profilage : toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé.
  • La durée de conservation des données : elle doit être limitée aux différents objectifs et doit tenir compte des éventuelles obligations légales à conserver certaines données.

Enfin, toute personne peut retirer son consentement à tout moment et peut entamer une réclamation auprès de la CNIL.

Dans les faits, toutes ces mentions doivent être présentes sur votre site.

Mais il ne s'agit pas seulement de gonfler vos mentions légales : un formulaire de contact doit être disponible afin que toute personne puisse demander l'accès à ses données, puisse fournir son accord ou bien le retirer, et des éléments de sécurité doivent être mis en place si votre site brasse des données utilisateurs sensibles (certificat SSL par exemple dès qu'il y a un moyen de paiement et/ou collecte de données sensibles)

La mise en conformité via la sécurisation des données est plus que jamais de rigueur.

Voyons maintenant les obligations en tant que professionnels.

 

3. Pour les professionnels, les obligations et la responsabilité partagée


  1. Responsabilité conjointe
    : En termes de responsabilité, le GDPR précise que la responsabilité est appliquée à tous les partis concernés : chacun doit démontrer qu’il respecte le règlement européen.

C’est le principe de la responsabilité conjointe : les prestataires et sous-traitants, comme les agences Web, deviennent co-responsables, avec le représentant légal, des obligations à respecter en matière de sécurité

En outre, un délégué à la protection des données (DPD, ou DPO pour Data Protection Officer en anglais) est un référent nécessaire à désigner en cas :

  • d’activité brassant des données sensibles (médicales par exemple, ethniques, sexuelles, religieuses, etc.) ;
  • d’activité nécessitant un suivi important des données (type bancaires) ;
  • d’organisme public.
  1. Principe de protection des données personnelles dès la conception : obligation d'inclure la protection des données dès la conception des produits/services. La « sécurité par défaut » (ou « privacy by design ») impose de disposer d’un système d’information sécurisé.
  2. Tenir un registre des activités : tous les traitements de données doivent être consignés (inventaire, objectifs de traitements, durée de conservation, obligations légales…)

Exemple : pour la gestion de votre personnel ou la gestion de vos clients).

Un modèle de registre est disponible auprès de la CNIL.

 

  1. Notifier la CNIL dans un délai de 72h s’il y a eu fuite/violation de données (fuite de données, vol, violations graves de données). En outre, et en cas de vol, l'entreprise doit veiller à ce que ces données soient inexploitables et donc incomplètes ou cryptées.

La notification doit comprendre les informations suivantes :

  • la nature des données dérobées et si possible, les personnes (catégories et nombre) concernées par la violation et les enregistrements de données concernés toujours catégories et nombre) ;
  • les répercussions potentielles du vol de données ;
  • les mesures prises pour palier à la fuite de données ;
    les coordonnées du DPO.
  1. Procédures internes de protection des données en entreprise : toute entreprise doit garantir la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement.

Cas spécifiques : sachez également que selon l'activité, la sensibilité et le nombre de données, la CNIL demande la mise en place de mesures techniques plus poussées de sécurisation.

Les responsables de traitement pourront utiliser le PIA, un outil open source fourni par la CNIL, pour déterminer le risque encouru par les données (de Négligeable à Maximal) et faire ses déclarations sur les fonctionnalités concernées.

 

Obligations pour les sous-traitants


Outre la mise en place des procédés de sécurisation des données en interne et l’obligation, tout sous-traitant intervenant sur les données de son client doit :

  • Adapter les contrats clients : ils doivent mentionner entre autres le type de données, la durée et la nature du traitement, vos obligations et droits dans le cadre du règlement ainsi que ceux de votre client.
  • Tenir un registre des traitements effectués pour le compte des clients.

 

4. Respect du cadre et risques encourus


Grande nouveauté de la réglementation, les autorités de protection se sont données les moyens de sanctionner efficacement les manquements au règlement européen, avec des contrôles et sanctions qui ont été très largement renforcés :

Dans le cas d‘une entreprise, il y a 2 principaux cas de sanctions :

1/ Sanction jusqu’à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent (ou 10 millions d’euros) en cas :

  • Défaut de consentement de la personne concernée ;
  • Défaut de rendre anonyme des données personnelles en fin de traitement ;
  • Défaut de documentation (privacy by default, registre, etc.) ;
  • Manquement à la sécurité ou à la documentation sur la sécurité ;
  • Défaut d’analyse d’impact lorsque nécessaire.

2/ Sanction jusqu’à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent (ou 20 millions d’euros) en cas de :

  • Infraction aux principes de base du GDPR ;
  • Violation des droits des personnes concernées ;
  • Transfert non conforme vers un pays étranger ;
  • Non-respect d’une injonction de la CNIL.

Avec la possibilité de suspendre, rectifier, limiter ou effacer des données ou flux de données.

Ainsi, être RGPD compliant ou en conformité «by design» est une nécessité pour tous les professionnels du Web actuellement.


Dans un second article, nous aborderons les méthodes et dispositions à prendre en vue de respecter la réglementation RGPD.

 

Sources :

Aides :

 

Vulnérabilité et dérobage des données personnelles :

 

Retour à la liste

Méthodes, rigueur et réactivité pour réaliser et suivre votre projet de site internet.
Création on line ou off line, nous réalisons les projets graphiques qui reflètent votre image.
Rentabilisez votre site web grâce au référencement naturel, à l'emailing ou d'autres actions de création de trafic.
Notre savoir-faire en hébergement nous permet de conseiller nos clients et concevoir des projets à fort trafic.

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés.

En savoir plus