RGPD : se mettre définitivement en conformité

RGPD : se mettre définitivement en conformité

RGPD : se mettre définitivement en conformité

RGPD / GDPR, ça se précise !
En effet, le Règlement général sur la protection des données entre en application dans deux mois, le 25 mai 2018. Parlons sans ambages : si la mise en conformité de votre site web et/ou de votre entreprise n'a(ont) toujours pas eu lieu, c'est plutôt mal parti...

Mais tout n'est pas encore perdu ! Il est encore temps de faire quelques petites choses pour limiter la casse.

 

RGPD, oui mais déjà... Pour quoi faire ?

RGPD, le Règlement européen sur la protection des données

Le RGPD est un texte de l'Union Européenne en vigueur depuis mai 2016. Comme il s'agit d'un règlement, et non d'une directive, le texte s'applique au même moment et (quasiment) de manière identique aux 28 états de l'UE. Et cette application arrive deux ans plus tard, donc le 25 mai 2018.

Par définition, le texte vise à harmoniser la protection des données personnelles des citoyens européens et à renforcer cette protection. En effet, les anciens textes européens, et notamment la directive de 1995, avaient été différemment transposés dans les droits de chaque état membre de l'Union. Ainsi, en France, cette directive n'avait modifié le droit français qu'en... 2004, soit 9 ans plus tard ! Mais cet écart est à relativiser. En effet, la législation française "Informatique et Libertés" de 1978, texte fondateur sur le sujet, avait largement inspiré 17 ans plus tard la législation européenne. Il n'y avait donc pas d'urgence à transposer un texte reprenant tous les grands principes du respect des données personnelles.

Mais revenons au RGPD. Le règlement européen renforce donc la protection des données en :

  • réaffirmant les grands principes juridiques,
  • allant plus loin sur ces principes,
  • en créant de nouveaux,
  • assortissant le non-respect à ces derniers de sanctions lourdes.

 

Des sanctions lourdes en cas de non-respect au RGPD dites-vous ?!

Des sanctions lourdes en cas de non-respect au RGPD

Ce n'est pas le cœur du sujet. Mais quand même... Comment passer à côté ? Le Règlement européen instaure à partir du 25 mai 2018 des sanctions administratives et financières pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial total de l'exercice précédent. Fichtre !

D'aucuns rétorqueraient qu'il s'agit d'amendes dignes des GAFAM (et pour les GAFAM). Oui, très clairement, ces montants faramineux ont été imaginés pour eux. Mais ils valent aussi pour les entreprises de moindre importance, les TPE / PME en tête ! Il ne pouvait en être autrement...

 

Mais le RGPD me concerne-t-il vraiment ?

Des sanctions lourdes en cas de non-respect au RGPD

Disons-le : il y a de fortes chances, oui ! Mais pour le savoir précisément, il convient de se baser sur le triptyque suivant :
  • s'il y a une donnée personnelle, le RGPD s'applique.
  • idem s'il y a traitement de cette donnée (transmission, diffusion, collecte, stockage, réutilisation...).
  • et enfin si les données traitées sont celles d'un citoyen de l'Union Européenne traitées par un responsable de traitement ou un sous-traitant établi dans l'Union Européenne, et ce quelque soit sa nationalité de base (les GAFAM sont donc clairement concernés).
    Ces trois critères sont cumulatifs.

 

Ainsi, on voit aisément qu'il y a peu de chances de passer à côté du RGPD lorsque l'on est une entreprise maniant de la data...

 

Bon OK... Donc concrètement, comment fais-je pour me mettre en conformité au RGPD ?

Suivant la taille de l'entreprise, la mise en conformité sera faisable en 2 mois (à peu près...) ou ne sera pas. Il est d'ailleurs inutile que des grands comptes lisent la suite car s'ils n'ont pas déjà commencé, l'affaire est entendue... Mais pour les autres, notamment les TPE / PME, il n'est peut-être pas encore trop tard.

Du moins, concernant la mise en conformité du site internet. Et c'est sur ce point que nous allons axer nos développements.

 

A) Rappel des droits des utilisateurs et des mentions juridiques

La mise en conformité au RGPD des mentions légales d'un site web est un préalable (relativement) simple à mettre en place. Rappelons que ce n'est pas le règlement en soi qui a créé l'obligation à minima de rappel des droits des utilisateurs, ceci existait déjà avant. Comme beaucoup de ce qui va être dit par la suite !

Mentions juridiques et rappel des droits des utilisateurs

Les deux mots-clés à garder en tête sont : loyauté et transparence. Il faut apporter à vos utilisateurs toutes les informations qu'ils ont toujours voulu savoir sans jamais oser le demander sur un traitement de données. Même pour un simple formulaire de contact !

Le RGPD dit explicitement que les mentions juridiques doivent être fournies "au moment où les données sont obtenues". C'est-à-dire que, par exemple, avant qu'un visiteur clique sur le bouton "Envoyer" d'un formulaire, il doit savoir précisément tout ce qui découle de cette action anodine et le devenir des données transmises et collectées à partir de ce clic. Par exemple :

  • Les finalités du traitement : pourquoi ces données sont collectées ? A quelles fins ? Pour en faire quoi ?
  • L'identité du responsable de traitement qui va collecter et stocker ces données.
  • Leur durée de conservation. Car le droit à l'oubli empêche que les données soient détenues par le responsable de traitement ad vitam æternam.
  • Le rappel des droits des utilisateurs : droit d'interrogation, d'accès, d'opposition, de modification et de suppression des données de l'utilisateur auprès du responsable de traitement.
  • Les personnes susceptibles de prendre connaissance de ces données en plus du responsable de traitement.
  • L'identité du DPO, le data protection officer, s'il est obligatoire dans l'entreprise.
  • etc.

 

B) La minimisation des données collectées

Ce fait est à mettre en corollaire des finalités d'un traitement. Reprenons l'exemple du formulaire de contact. Les données sont collectées à des fins de réponse aux interrogations, questions et/ou remarques des utilisateurs / clients.

Ainsi, il est interdit pour un responsable de traitement de demander des informations (comprenez, des données personnelles) supplémentaires inutiles à l'accomplissement de la finalité. Traduction : pour pouvoir répondre à mes visiteurs, je n'ai à la limite besoin... Que de leur mail ! Peut-être en plus leur genre pour personnaliser un mail de réponse automatique avec une variable "Madame" ou "Monsieur" en en-tête. Leur nom aussi, surtout si ce sont des clients.

Mais il est clair qu'on ne demande pas des données personnelles comme cela, pour le plaisir. La minimisation est un impératif du RGPD de collecte de données strictement nécessaires. Retenons que ceci ne vaut pas seulement que pour le site web mais pour toute forme de traitement de données au sein de l'entreprise !

 

C) Un consentement "éclairé" à partir d'un acte "positif, clair et univoque"

Le RGPD exige un consentement éclairé

Les mots sont forts. Mais ici encore, le RGPD ne fait que remettre sur le devant de la scène un concept fondamental du droit des données personnelles, le consentement.

En effet, à partir du 25 mai 2018, il ne doit y avoir aucune ambiguïté sur le consentement donné par une personne après avoir été préalablement informée d'une opération de traitement sur ses données. A chaque collecte de données par exemple, l'utilisateur doit être clairement conscient de ce qui va se passer et doit pouvoir s'y opposer ou y consentir.

Notamment pour le "bandeau cookies". Celui-ci doit informer très clairement l'utilisateur final que des cookies vont être déposés sur son terminal. Et notamment certains d'entre eux, intrusifs pour la vie privée, nécessitent une formulation claire dénuée d’ambiguïté. Ils concernent par exemple :

  • la publicité ciblée (Google Adsense),
  • les mesures d'audience (Google Analytics),
  • les réseaux sociaux (boutons de partage),
  • l'embbed de vidéos (Youtube, Viméo), ...

 

Enfin, le RGPD exige que le consentement donné puisse être retiré à tout moment. Ce n'est pas le tout de consentir à un traitement de données et cliquer sur "Oui, j'accepte" une première fois, il faut pouvoir à tout moment revenir sur sa décision. Cliquer sur "Non" ou "Je refuse" pour que les cookies déposés soient supprimés ! Bien évidemment, tant que la personne n'a pas accepté ou effectué une action marquant son consentement, aucun cookie ne doit être déposé. L'information seule ne suffit pas.

Mais qu'est-ce qu'une action valable pour recueillir le consentement ? Ou encore un acte positif clair et univoque ? Ce peut-être :

  • une case à cocher,
  • un clic sur un bouton dont l'intitulé est là encore sans ambiguïté.

 

D) Le droit à la portabilité des données, une innovation présente dans le RGPD

L'article 20 du Règlement européen sur la protection des données énonce que "les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement".

Le format structuré dont parle le texte correspond par exemple à un langage XML. Ainsi, le RGPD souhaite redonner une entière maîtrise des données personnelles à ses utilisateurs.

 

E) La sécurisation, pierre angulaire de la protection portée par le RGPD

La sécurisation, portée par le RGPD

Enfin, concernant la mise en conformité du site web, un dernier point reste à éclaircir : sa protection globale. Et plus précisément sa protection informatique et réseau.

En effet, à l'heure où les hackers du monde entier testent, attaquent, investissent et soutirent des informations issues des systèmes de traitement automatisé de données (STAD), les données personnelles des utilisateurs n'ont jamais autant été menacées.
Menacées d'être "dumpées", qu'une base entière se retrouve ainsi en libre accès sur Internet sans aucun avertissement ou après avoir exigé une rançon pour ne pas le faire. Et, dans certains cas, avec des conséquences extrêmes, comme la mise en libre accès par les pirates informatiques de données personnelles d'un site de rencontres... Adultérines !

En conséquence, le RGPD prend la mesure d'un tel niveau de risques en rappelant un principe clair et logique : les entreprises doivent tout mettre en oeuvre pour sécuriser les données de leurs utilisateurs. C'est une obligation de moyens, et non de résultat, car (malheureusement) le risque zéro en matière de sécurité informatique n'existe pas.

Mais l'enjeu est trop important laisser le renforcement de la sécurité au bon vouloir desdites entreprises. C'est pourquoi le RGPD assortit ce principe d'une obligation de notification à la gardienne française des données personnelles, la CNIL, en moins de 72 heures d'un piratage d'une base de données. Cette dernière pourra alors obliger les responsables de l'entreprise à communiquer à chaque utilisateur victime le piratage en question. Ambiance...

 

F) Registre de conformité et PIA ("Privacy Impact Assessment")

Dépassons à présent le cadre du site internet.

Plus généralement, le RGPD se dessine autour de la notion d' "accountability". Ce terme anglais est difficilement traduisible littéralement mais on peut l'interpréter par le terme de "responsabilisation". Clairement, ce concept met fin au système actuel de démarches et déclarations préalables à effectuer auprès de la CNIL.

Ainsi, plus besoin de demander à l'institution l'autorisation d'effectuer tel ou tel traitement, en général dangereux pour la vie privée des personnes. Comme par exemple l'utilisation des données sensibles, en principe interdit. Les entreprises sont libérées de ces procédures, mais ceci ne veut pas dire qu'elles peuvent faire n'importe quoi ! D'ailleurs, n'oublions pas les sanctions faramineuses du RGPD (cf. supra)...

Plusieurs mesures sont donc à mettre en oeuvre dans tous les process de l'entreprise pour arriver à une mise en conformité au texte européen :

  • Tenue d’un registre de traitements qui compile toutes les opérations de données effectuées par l'entité professionnelle. C'est le moment d'inventorier et de cartographier tous les traitements de données. L'idée finale est que ce registre soit consultable par l'autorité de contrôle, la Commission Nationale Informatique et Libertés.
  • Création d'une analyse d'impact (PIA, Privacy Impact Assessment) qui servira d'unité de mesure des risques potentiels à traiter tel ou tel type de données. Et notamment les données sensibles :
    • données biométriques et/ou génétiques
    • orientation sexuelle ou politique,
    • origine ethnique,
    • opinions politiques, philosophiques ou religieuses,
    • appartenance syndicale.

 

Pour conclure, le RGPD demande à ce que les entreprises intègrent la question des données personnelles dans l'ensemble de leur process et traitements, existants ou à venir ! Ceci s'appelle le "Privacy by design".

 

Tout ceci me semble très compliqué... Un peu d'aide ne serait pas du luxe ?

La CNIL est là pour accompagner les entreprises à cette transformation. Une visite de courtoisie sur leur site web s'impose.

Mais le RGPD a tout prévu : le Règlement impose aux entreprises maniant de la data à grande échelle, et a fortiori de la donnée sensible, de nommer en leur sein un délégué à la protection des données (DPO, data protection officer). C'est justement le profil support et ressource pour aider les gérants d'une société à respecter le RGPD et à assurer la conformité. Alors autant en profiter !

Attention tout de même, cette fonction créée par le RGPD n'est pas obligatoire partout. Donc il faudra peut-être savoir s'en passer...

 

 

L'agence A Vos Sites Pros intègre les préceptes du RGPD et bâtit ses sites web en fonction, satisfaisant au principe du "Privacy by design". Le Pack "Sur-mesure" est totalement conforme au RGPD.

Enfin, l'agence propose également d'agir sur vos sites web WordPress actuellement en ligne pour qu'ils deviennent conformes au Règlement général sur la protection des données.

 

VOTRE SITE WEB DÉJÀ EN LIGNE "RGPD COMPATIBLE"

Votre site web actif  WordPress n'est probablement pas en accord  avec les règles du RGPD, le Règlement général sur la protection des données.

Ainsi, l'agence web A Vos Sites Pros vous propose de regarder votre site et d'agir dessus  pour le mettre en conformité avec le RGPD en application à partir du 25 mai 2018 :

- audit global du site internet,
- maximisation de la sécurité,
- mise à jour du "bandeau cookie",
- mises à jour des mentions juridiques,
- ...

 

Pour aller plus loin :