Sécurité Comment se mettre en conformité avec la loi RGPD ?

Comment se mettre en conformité avec la loi RGPD ?

La loi est claire : toutes les entreprises qui détiennent ou traitent des données personnelles de citoyens européens doivent se conformer au RGPD (Règlement Général sur la Protection des Données) qui est entré en application le 25 mai 2018. C’est un règlement européen, ce qui signifie que son application est immédiate dès son entrée en vigueur dans les Etats membres de l’Union européenne.

Les objectifs de cette nouvelle loi sont :

  1. Uniformiser au niveau européen la réglementation sur la protection des données.
  2. Responsabiliser davantage les entreprises en développant l’auto-contrôle.
  3. Renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.).

Le GDPR (General Data Protection Regulation), aussi désignée sous son acronyme français RGPD (Règlement Général de Protection des Données) est le nouveau texte de référence en matière de protection des données au niveau européen. Le règlement a été publié en mai 2016, après de longues années d’élaboration. La version finale du texte fait plus de 88 pages . Le règlement 679/2016, remplace la directive 95/46/CE (publiée en 1995).

QUI DOIT SE METTRE EN CONFORMITÉ AU RGPD ?

Tous les organismes privés ou publics, de grande ou de petite taille, devront se mettre en conformité au règlement à partir du moment où leur activité touche aux données personnelles de citoyens européens. Ainsi, une PME devra tout comme un organisme public tel qu’un hôpital se mettre en conformité avec le règlement avant le 25 mai 2018.

Quelles données sont protégées?

Les données visées englobent toutes les informations qui permettent d’identifier une personne physique, que ce soit directement ou indirectement. Ça peut donc être son nom, son image (vos photos sur Facebook par exemple), son adresse, son numéro de téléphone… Ce sont des données « privées », qui peuvent directement causer du tort à la personne concernée. Par exemple, toutes les informations permettant de déterminer l’état de santé d’une personne, mais aussi son opinion politique, ou sa sensibilité religieuse.

Que dois-je faire pour être en accord avec le Règlement Général sur la Protection des Données?

La mise en conformité face au RGPD dépend de plusieurs point propres à l’activité de votre entreprise, la cible et le modèle d’affaires de votre site (E-commerce, vitrine, blog…). Néanmoins, voici une liste non exhaustive des quelques points auxquels vous devriez porter un peu d’attention :

  1. Mettez en conformité avec le RGPD, la politique de confidentialité de votre site web qu’il soit sous WordPress ou PrestaShop.
  2. Selon votre modèle de mise en relation, assurez-vous que vos vendeurs professionnels respectent bien le RGPD vis-à-vis des données des acheteurs, c’est un point qui doit être clairement stipulé dans les conditions générales d’utilisation de votre plateforme.
    Assurez-vous que vos clients acheteurs et vendeurs acceptent bien vos conditions générales d’utilisation avant d’utiliser votre site web.
  3. Si vous utilisez des services tiers sur votre site web, assurez-vous que ces derniers respectent bien le RGPD
  4. Si votre modèle s’y prête, assurez-vous d’obtenir le consentement de vos clients pour pouvoir traiter leurs données
  5. Communiquez avec vos clients sur tous changements qui interviendraient au niveau de votre politique de confidentialité ou vos conditions générales de vente
  6. Assurez-vous de pouvoir respecter les droits de vos clients ou visiteurs (consultation, correction, suppression ou exportation de leurs données)

Quelles sont les étapes pour mettre son site Internet en conformité au RGPD ?

Adapter vos formulaires

C’est l’élément qui est le plus impacté par le RGPD. Point de contact (et donc d’échange de données personnelles), vos formulaires doivent être modifiés. Tous les types de formulaire sont concernés :

  1. Demande de rappelle
  2. Inscription Newsletter
  3. Contact
  4. Etc.

Dans ce cadre il est courant de récupérer le nom, l’email, le prénom ou le numéro de téléphone d’un internaute. Pour être conforme au RGPD, 3 points sont à valider :

  1. Rajouter une case à cocher (qui n’est pas cochée par défaut) indiquant que l’utilisateur consent à partager ses données personnelles. « En cochant cette case, j’accepte la politique de confidentialité de ce site ».
  2. Préciser le pourquoi vous récoltez des données« Remplissez le formulaire pour recevoir notre newsletter ».
  3. Proposer aux utilisateurs de se désinscrire à tout moment.

Déclarer vos fichiers au CNIL

Vous devez déclarer vos fichier à la CNIL dès lors que vous réalisez un traitement de données personnelles, c’est-à-dire dès lors que vous collectez un email, un nom, un prénom, une photo, ou toutes données relatives à des personnes. Attention, il ne s’agit pas de déclarer ces données, mais simplement le fait que vous procédez à leur traitement.

Mettre à jour vos mentions légales

Les mentions légales sont obligatoires sur un site Internet, et ce quelle que soit l’activité de ce dernier. Son importance a d’autant plus été renforcée avec la mise en application du RGPD qui fait de la transparence et de l’obligation d’information quelques-unes de ses grandes lignes. Les mentions légales ont un rôle triple : informer, responsabiliser et prouver. Elles permettent à l’internaute d’identifier avec aisance celui à l’origine du contenu d’un site et donc la personne qu’il devra approcher pour exercer son droit de réponse ou qu’il devra poursuivre en cas de litige. Elles doivent en outre être faciles d’accès et permanent. Les changements à envisager dans vos mentions légales se résument en un mot: transparence. En adoptant un comportement totalement transparent vis à vis de vos visiteurs en ce qui concerne le traitement de données, vous serez en total accord avec le RGPD. La transparence c’est à dire ? Très simplement, vous devez réserver une partie voire une page de votre site sur le traitement de données, dans laquelle vous informerez le visiteur de la récolte de données en précisant la finalité, l’utilisation, le temps de conservation ainsi que les droits qu’ils possèdent sur leur données et leur procédure d’application.

Prestaweb vous aide à mettre votre site en conformité au RGPD
Si vous avez des difficultés pour comprendre RGPD, définir et mettre en œuvre les actions nécessaires à la conformité RGPD, nous pouvons vous proposer une prestation pour :

  1. sensibilisation et information RGPD de vos équipes
  2. diagnostic de votre situation actuelle / principes RGPD
  3. cartographie des données à caractère personnel et des traitements associés
  4. sécurisation des données sensibles et analyse d’impacts en cas de perte
  5. proposition de plan d’actions « conformité RGPD »
  6. assistance de votre DPO ou externalisation de cette fonction
  7. assistance pour l’obtention de votre label Cnil « Gouvernance RGPD »

Ces actions seront réalisées par nos soins ou conduites en collaboration avec votre DPO (Data Protection Officer).