Le cadre général du RGPD

Le Règlement Général à la Protection des Données s’applique à toutes données collectées et traitées permettant l’identification d’une personne physique de façon directe (email, photo, nom, prénom, …) ou indirecte (par recoupement d’information) et ce quelque soit la méthode employée (sites internet, formulaires papiers, etc.. ). Dans cet article, nous nous intéresserons à la collecte et au traitement de ces données personnelles depuis un site internet. Celui-ci a pour but de donner une vision globale d’une mise en conformité RGPD et ne sera donc pas aussi précis que les articles de références produits par la CNIL.

Avant de pouvoir mettre votre site en conformité il faut connaître la liste des données personnelles que vous collectez et traitez. Pour se faire, il faut cartographier l’ensemble des données collectées et lister l’ensemble de leurs usages (un ‘usage’ sera appelé par la suite une ‘finalité de traitement’).

La cartographie se fait sur l’ensemble des données collectées par votre entreprise et aboutira à la réalisation d’un registre :

  • registre du responsable de traitement (Celui qui détermine les finalités et les moyens de traitement des données à caractère personnel)
  • registre du sous-traitant (Celui qui traite les données à caractère personnel uniquement pour le compte du responsable du traitement)

Remarque : si vous êtes à la fois responsable de traitement et sous-traitant vous devrez réaliser ces deux registres.

Au préalable, réaliser le registre des données personnelles de votre entreprise

Nous n’allons pas réinventer la roue car la CNIL a bien répondu à la problématique (voir l’article), néanmoins nous allons rappeler l’idée principale qui pourrait aider à rédiger son registre.

Que ce soit pour un registre du responsable de traitement ou du sous-traitant, l’idée est de recenser tous les traitements de données que réalise votre entreprise (sur vos employés, vos clients, vos sous-traitants, bref sur toutes les parties prenantes) en les regroupant par activité de traitement. (gestion de la paie, gestion des prospects, vente en ligne, etc..)

Puis, dans un document (donc votre futur registre), vous allez devoir créer une fiche par activité de traitement, comprenant 8 points listés par la CNIL. La CNIL vous propose également un modèle de registre.

Après avoir réalisé ce travail :

  • Vous aurez cerné les données à caractère personnel non utilisées, ou inutiles à vos traitements. Et selon le principe de minimisation des données, vous devrez en stopper la collecte et les supprimer (Dans notre exemple de formulaire, le champ "profession" devra être supprimé car c’est une donnée personnelle inutile à notre traitement de données "prise de contact avec l’entreprise" )
  • Vous aurez déterminé pour chaque traitement de données une durée d’utilité administrative (DUA), autrement dit, une date de conservation de données.

Les 3 principes de la mise en conformité RGPD de votre site Internet

Fonctionnellement, un site internet affiche et collecte des données dans la plupart des cas. On distingue deux grandes étapes de mise en conformité : les formulaires de votre site Internet et la gestion des cookies & traceurs au sens large du terme. Pour mettre en conformité RGPD votre site Internet, il faut garder à l'esprit les trois grands principes de la loi suivants : 

Exercice des droits de la personne

Toute personne ayant eu des données personnelles collectées sur votre site peut demander à exercer ses droits :

  • droit de rectification (Article 16)
  • droit à l’effacement ou plus connu sous le nom de “droit à l’oubli” (Article 17)
  • droit à la limitation du traitement (Article 18)
  • droit à la portabilité des données (Article 20)
  • droit d’opposition (Article 21)

Remarquons que la personne n’est pas obligée de fournir une pièce d’identité pour exercer ses droits (Article 12 - §2).

L’obligation de transparence :

Avant toute collecte de données personnelles, l’obligation de transparence consiste à informer l’internaute des différents usages de ses données personnelles collectées (finalités de traitements), de leurs durées de conservation, des destinataires, et s’il y a lieu, des transferts hors union européennes des données avec les garanties de sécurité mises en place. (Article 13).

Licéité du traitement :

Pour qu’il y ait collecte de données personnelles, il faut que le traitement des données soit licite. Dans le cas de la collecte de données personnelles depuis les formulaires de notre site internet, la méthode de demande de consentement a été choisie parmi les 6 bases juridiques prévues par RGPD pour rendre un traitement licite. (Article 6 §1 a).
Un autre aspect de la loi est à prendre en compte : la collecte de la preuve de consentement. Le règlement ne précise pas comment cette preuve doit être collectée. Nous proposons néanmoins d’enregistrer le ‘contexte’ de la collecte du consentement à savoir 

  • l’identité de celui qui a consenti,
  • ce à quoi la personne a consenti,
  • le moment ou la personne a consenti.

Actions RGPD #1 : mise en conformité des formulaires

Cette étape consiste à mettre en conformité l’ensemble des formulaires de votre selon les 3 principes évoqués ci-dessus.

Voici un exemple de formulaire de contact fictif avec l'ajout de cases à cocher indiquant les finalités de traitement des données et exigeant le consentement de l'internaute  :

L’obligation de transparence :

doit se matérialiser de manière “concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ”. Noyer l’internaute avec 5 pages fera perdre le côté ‘transparence’. C’est pourquoi il est recommandé d’échelonner l’information sur plusieurs niveaux et de la donner au moment opportun !
Le premier niveau serait celui des cases à cocher (1) et de la mention d’information (2). Dans ce niveau, il faut indiquer le responsable de traitements, les finalités et les droits des personnes. Les cases à cocher permettent le listing des finalités (une case à cocher par finalité !). La mention d’information permet d’indiquer le responsable de(s) traitement(s) et un texte expliquant les droits de l’internaute ainsi qu’un lien pour les exercer..

La licéité du traitement par consentement :

se manifeste par le biais de case(s) à cocher (1). Concrètement, tant que l’internaute n’a pas coché l’ensemble des cases à cocher nécessaires à la réalisation du traitement, celui-ci ne pourra pas s’effectuer car son consentement n’aura pas été donné.
Par ailleurs, vous devez conserver quelque part (en général en base de données) le consentement que l’internaute vient de donner.

L’exercice des droits se manifeste dans notre cas par un formulaire de contact du responsable de traitement. C’est pour cela que nous mettons un lien vers ce dernier dans la mention d’information (2).

Actions RGPD #2 :  la gestion des cookies

Qu'est-ce qu'un cookie au sens de la loi ?

La CNIL défini un cookie comme étant “un petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéos connectée à Internet, etc.).”

Il est à noter que ce terme est à prendre au sens large, c’est-à-dire qu’on ne parle pas uniquement de cookie HTTP mais aussi des pixel de tracking ou autres identifiants stockés.

Ce que dit RGPD ?

Les 3 principes généraux vu plus haut s’appliquent aussi aux cookies, cependant on note des variations ainsi que des précisions concernant le consentement et sa durée de validité notamment.

Concernant le consentement :

  • (1) Tout cookie, avant d’être déposé sur le terminal de l'utilisateur doit faire l’objet au préalable d’un consentement, avant le stockage de l’information ou avant l’accès à des informations déjà stockées. Le consentement est valable 13 mois, après quoi, il faut le demander de nouveau.
  • (2) La poursuite de la navigation sur votre site est considérée comme un consentement. Par “poursuite de la navigation”, la loi entend :

    -- se rendre sur une autre page du site depuis celui-ci ;
    -- cliquer sur un élément du site.

  • (3) Le consentement n’est pas requis si et seulement si les actions sont strictement nécessaires pour la délivrance d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.

En pratique,  afficher un bandeau “En poursuivant la navigation sur ce site, vous acceptez l’utilisation de cookies. Ceux-ci sont requis pour le bon fonctionnement du site. En savoir plusne suffit plus!
En effet, il faut ‘retenir’ le stockage du cookie jusqu’au consentement. Autrement dit,
aucun cookie nécessitant le consentement ne devrait être stocké lors de l’affichage de ce bandeau informatif avant qu’un consentement explicite de la part de l’utilisateur ne soit donné.

Actions RGPD #3 :
Création de la page des "Données personnelles" et traitement des spécificités

La page de données personnelles (autrement dit ‘politique de protection des données’) a pour vocation de centraliser les informations dans un espace dédié afin d’en faciliter l’accès et ce, de manière lisible et compréhensible. La CNIL recommande “d’utiliser un lien renvoyant directement vers la politique de protection des données, clairement visible sur chaque page du site, intitulé de manière claire”.

Nous avons fait le choix de découper cette page en 2 parties :

  • données collectées et traitées par les formulaires du site ;
  • cookies stockés par le site.

Dans la partie ‘données collectées et traitées par les formulaire du site’, nous mettons aussi un lien pour contacter le responsable du traitement ou du délégué à la protection des données, afin de permettre l’exercice des droits de la personne.

Source : https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence

Les spécificités des sites de commerce électronique

Le RGPD encadre le traitement des données des mineurs. En effet, en-dessous de 15 ans (l’âge oscille entre 13 et 16 ans selon le pays européen. En France, il est fixé à 15 ans), le consentement doit être donné par les parents, sans quoi il ne sera pas recevable.

Concrètement, sur un site e-commerce vendant des produits, il faut s’assurer que l’internaute a bien au moins 15 ans. Cela peut se manifester simplement par une case à cocher, “j’atteste sur l’honneur avoir au moins 15 ans”. lors de la création du compte client ou la présence d’un Pop’in dès l'entrée sur le site pour valider l’âge du visiteur.

Envoyer des newsletter en respectant RGPD

Trois principes permettent de mieux comprendre la loi :

  • L’inscription à la newsletter doit désormais se faire avec un double consentement (double opt-in). En d’autres termes, après avoir donné son mail et son consentement dans un formulaire d’inscription à la newsletter, l’internaute doit recevoir un email lui demandant de confirmer son inscription.
  • Si vous envoyez une campagne de mails avec une liste de personnes, toutes les personnes présentes dans cette liste doivent au préalable avoir donné leur accord. Dans le cas contraire, le traitement “envoi d’un email” n’est pas licite. Il est aussi important de conserver une preuve de leur consentement.
  • Utiliser sa liste d’email pour une autre newsletter (ou la diffuser à une personne tiers) est illicite, sauf si le consentement portait aussi sur cette autre newsletter.

ID Interactive propose un accompagnement complet pour votre mise en conformité RGPD :

Grâce à son pôle Sécurité et avec la présence d'un délégué à la protection des données, l'agence met en conformité vos services Internet et réalise les prestations suivantes :

  • Création du registre de traitement de votre entreprise
  • Audit et transposition des principes de traitement de votre registre sur votre interface web
  • Mise en conformité des formulaires de votre site Internet
  • Détection et normalisation des cookies et mise en place d'une gestion transparente
  • Création de votre page "Données Personnelles" et d'un formulaire de contact de votre délégué à la Protection des données
  • Mise en place de certificat de cryptage des données (certificat SSl/TLS)

Pour toute question, vous pouvez joindre le délégué à la protection des données d'ID Interactive :
Nicolas BERJAMIN
dpoatid-interactive.fr
02 97 69 07 43

Eric

William

Anne-Marie

Un projet,

un devis ?

Contactez notre équipe !

Demande de devis

  • Les informations recueillies à partir de ce formulaire sont enregistrées et transmises aux personnels de notre entreprise chargés du traitement de votre message. Voir notre politique de protection des données personnelles

    Vous disposez d'un droit d'accès, de rectification et d'opposition aux données vous concernant, que vous pouvez exercer en vous rendant sur cette page : Formulaire de contact responsable de traitement