...
Blog
Blog
Blog
Blog
RGPD : Comment mettre votre site en conformité

A travers nos articles, notre mission est de vous éclairer autour de nos savoir-faire en web et nos connaissances du digital. Raconter nos métiers nous semble être un bon moyen de partager notre passion avec vous. Que vous soyez novice ou expert du web, que vous soyez web friendly ou webophobe, notre ambition est d'intéresser le plus grand nombre et d'apporter des réponses dans chacun de nos articles.

19 août 2021 separateur 118517 Vues separateur 9 MIN DE LECTURE

RGPD : Comment mettre votre site en conformité

Comment mettre en place une gestion des cookies RGPD

Dans une ère où les données personnelles sont omniprésentes et leur protection directement associée aux valeurs d’une entreprise, être à jour au niveau RGPD s’avère donc aujourd’hui primordial quand on se veut éthiquement et légalement irréprochable. Des données sous haute protection et un consentement des personnes concernées sont l’assurance d’être compétitif, responsable et améliore également l’intérêt et la confiance que vos clients et prospects peuvent vous porter. Pour rappel, le Règlement Général sur la Protection des Données mis en application le 25 mai 2018, a pour but d’encadrer le traitement fait des données à caractère personnel recueillies en ligne par les entreprises des États membres de l’Union européenne, quel que soit leurs secteurs, services et activités. Cependant, entre obligations légales sous peine de sanctions, impression de technicité juridique ressentie en interne, il n’est pas simple pour une entreprise de se sentir véritablement concernée et d’établir des plans d’action clairs afin d’être en conformité avec le RGPD. Alors, si c’est votre cas, vous êtes au bon endroit pour avoir les réponses nécessaires à la mise en place du RGPD, en connaître ses finalités, ses avantages mais également les risques encourus en cas de fraude ou négligence.

Pourquoi l’instauration du RGPD ?

La protection des données utilisateurs

Tout d’abord, avant d’aborder le sujet des droits, des libertés ou encore du consentement sur le traitement des données personnelles, nous allons avant toute chose définir concrètement ce qu’est une donnée personnelle dans ce présent paragraphe.  Une donnée personnelle est un élément à caractère personnel permettant d’identifier une personne ou du moins la rendre identifiable. Un individu peut directement être immatriculé par son nom et prénom. De plus, la personne peut être identifiée par des informations indirectes telles que son âge, son adresse, son numéro de téléphone, un numéro client ou en groupe dans le cadre du croisement de ces données.

Le traitement de ces données personnelles doit s’appuyer sur une base “légale”, c’est à dire une base déterminée au préalable et qui justifie de la raison de ce traitement, donnant l’autorisation à votre entreprise de les utiliser. Les données à caractère personnel doivent être conservées dans un environnement de grande sécurité et être recueillies avec un consentement le plus total. Par exemple, certaines entités et notamment les établissements de santé, ont en leur possession des données jugées particulièrement délicates comme l’état de santé physique ou mental de certains individus, et cela ne doit en aucun cas être rendu public. Le traitement des données personnelles relatives à la santé présente un enjeu juridique majeur.

Un traitement détourné

Des informations censées relever du cadre privé sont pourtant récoltées en ligne par les entreprises pour agrémenter leur base de données et parfois être utilisées à des fins commerciales, vendues ou piratées à l’insu de la personne concernée. Avec l’instauration du RGPD par les autorités, les entreprises ont donc dû modifier ou créer des procédures afin d’être en conformité avec ce nouveau règlement européen pour ne pas en subir les sanctions.

Hormis contrer la violation des droits des internautes, le RGPD a également été établi pour harmoniser la législation en soumettant une seule directive à suivre par les professionnels, et cela dans le but d’éviter la distorsion de la concurrence entre une entreprise européenne et une entreprise hors Union européenne. Comme exemple, nous pourrions dire qu’une entreprise hors Union européenne disposant d’une plateforme de vente et ligne, vendant et livrant des produits sur le territoire français a maintenant les mêmes obligations qu’une société française exportant ses produits hors territoire européen.

Un règlement en faveur des utilisateurs

La directive du RGPD s’appuie donc sur 4 points essentiels dans l’intérêt du public européen :

  • Le stockage de leur données à caractère personnel
  • Leur traitement
  • Leur protection
  • Leur diffusion. 

Cette réglementation européenne permet ainsi de protéger les informations personnelles concernant les internautes des états membres de l’UE, en leur laissant le contrôle de leur sécurité et assurant aux entreprises d’affirmer leur légitimité en cas de contrôle, d’incidents et de plaintes en justifiant d’un présent état de conformité. Cela passe notamment par le règlement, la mise en place et le contrôle des cookies que nous aborderons dans la suite de cet article.

RGPD-UE

À qui s’adresse-t-il précisément ?

Le RGPD s’applique à l’ensemble des organisations, qu’elles soient publiques ou privées, traitant les données personnelles à des fins commerciales ou non dès lors qu’elles ont été établies sur les territoires de l’UE, ou que leur cible soit résidente de l’UE. Pour votre société, il est donc crucial d’être à jour sur votre traitement sous peine d’être vite rattrapé par les autorités. De plus, le RGPD implique également la responsabilité des sous-traitants dans le cadre du traitement des données à caractère personnel à votre place. 

Comment entamer votre mise en conformité avec ce règlement ?

Maintenant que nous avons défini le contexte et les objectifs du présent RGPD, il s’agira dans cette seconde partie de vous donner les clefs afin que vous puissiez l’appliquer avec conformité et efficacité au sein de votre société, et de vous exposer l’intérêt que cela pourrait avoir pour vos activités.

Recensez vos fichiers existants

Afin d’avoir une vision globale et hiérarchisée comprenant l’intégralité des données que vous avez en votre possession, il s’agira d’établir la liste des principales activités de votre entité nécessitant la collecte ou le traitement des données. La CNIL, Commission Nationale de l’Informatique et des des Libertés, à créé des modèles de registre afin de vous permettre de hiérarchiser correctement vos informations. En effet, pour être en conformité avec cet acquittement, cela implique de fournir une documentation à caractère détaillé des opérations liées aux différents traitements de données, en ne négligeant aucune information. Ces registres vous permettront donc de déterminer l’objectif attendu (ex : convertir un lead en client), de catégoriser vos données par groupe (leur origine et catégorie), de répertorier les différentes personnes physiques qui ont accès aux données (collaborateurs, services, prestataires, sous-traitants, etc..), de mentionner la durée de conservation de ces données. Ce présent registre devra être transmis à la CNIL quand elle en fera la demande, et devra être tenu par un responsable ou délégué de la protection des données (DPO) qui aura comme rôle de le mettre à jour régulièrement (texte, modalités, données collectées).

Hiérarchisez vos informations

Après avoir recensé toutes les informations concernées par ces données à caractère personnel, il s’agira ensuite de vous garantir que celles-ci ont un véritable intérêt pour votre activité. Il faudra également vous assurer que vous ne traitiez pas de données jugées “sensibles” comme l’état de santé d’un individu évoqué plus haut, ou seulement si vous exercez vos activités dans un cadre médical, sous peine de subir les sanctions des autorités. De plus, il faudra vérifier que les personnes concernées par vos données aient le droit d'y avoir accès dès lors qu’elles en manifestent le besoin. Ce présent tri pourra vous permettre de redéfinir votre méthodologie de collecte et de traitement en instaurant une ligne directrice, avec des règles et process à suivre, définissant les personnes physiques attribuées à la collecte et les actions nécessaires à mener par type de traitement de données à caractère personnel. Cela vous amènera ainsi à optimiser l’organisation de votre entreprise.

Les droits des personnes comme directive

Après ce tri, il faudra mettre en place des mesures sur le traitement de vos données collectées afin de respecter le droit des personnes concernées. Ces procédures devront permettre aux personnes d’avoir accès, de pouvoir rectifier ou de retirer à tout moment les données en question afin de leur offrir un total contrôle de leur droit. il s’agira donc d’informer un internaute via un questionnaire, formulaire ou autre, l’utilisation qui va être faite de ses données : la raison de la collecte, le fondement juridique et l’intérêt légitime qui vous autorise à les collecter, la personne en interne qui aura accès aux donnés, les moyens mis à disposition des personnes pour faire valoir leurs droits, si les données vont être transférées en dehors des états membres de l’Union européenne, etc. En effet, l’atteinte au droit d’un citoyen européen est fortement préjudiciable. Par exemple, la CNIL irlandaise est à l’heure actuelle en conflit avec le géant Facebook, l’accusant de ne pas avoir respecté ses services en matière de protection des données tandis qu’un de ses fichiers avec 500 millions d’informations à caractère personnel sur des utilisateurs était publié sur un groupe de hackers. 

datasecurity

Assurez vous de la protection de vos données entreprises

Suite à cela,  il s’agira de garantir la protection de votre patrimoine de données en minimisant les risques d’abandon, de fuite ou de piratage de celles-ci. Les mesures à prendre devront être proportionnelles au degré de sensibilité des données et aux risques et sanctions infligés par l'autorité relative à la fraude (CNIL) qui planent en cas d’incident. En ce sens, vous devrez mettre régulièrement à jour vos antivirus et mots de passe de logiciels. Vous pourrez également miser sur un système de chiffrement qui rendra la lecture des documents impossible à chaque personne n’ayant pas de clé secrète, et donc définir de manière sécurisé les personnes physiques de votre entreprise qui auront accès à ces données, sans forcément inclure l’intégralité de vos salariés.

L’option de la sous traitance

Si vous n’avez pas la possibilité de désigner une personne physique en interne en qualité de responsable des données, vous avez le droit de passer par la sous-traitance, c'est-à-dire en externalisant vos traitements de données à caractère personnel. Cependant, reporter ces traitements comporte un risque de fuite pour les données traitées, qu’il y ait volonté de nuire ou non de la part de la personne externe responsable. En ce sens, l’Article 28 du RGPD oblige votre entreprise à reporter sur la personne physique ou l’entité concernée une partie des obligations de protection à votre charge. Il s’agira donc de sceller le consentement mutuel des deux parties (vous et votre sous-traitant) à travers un contrat au texte définissant concrètement les enjeux, règles et finalités des risques encourus et donc de la responsabilité des membres. La mise en application de ce présent contrat est nécessaire afin d’assurer la sécurité de votre entreprise et que vous ne soyez pas tenu comme responsable en cas de violation des données. Si vous envisagez d’engager plusieurs sous-traitants, constituez vous une base de modèles de contrats adaptables à chacun afin de suivre une seule et même directive et d’avoir une organisation optimale.

La mise en place des cookies

La Commission nationale de l’informatique et des libertés avait fixé le 31 mars 2021 comme date butoire pour les entreprises la mise en place les bandeaux cookies. Une évolution des règles applicables jugée nécessaire pour faire valoir le droit d’information et de sécurité des internautes. En effet, ceux-ci peuvent maintenant être clairement informés des finalités des usages de leurs données grâce à ces cookies. Une courte description des objectifs de la collecte se présente d’abord à eux à travers le bandeau cookies dès leur arrivée sur un site web ou une application. À cet instant, les utilisateurs sont dans leur plein droit d’accorder ou non leur consentement avec les fameux "j'accepte" ou “je refuse”. La CNIL considère que ces deux paramètres doivent faire état d’une parfaite égalité et qu’il doit donc être aussi simple d’accepter que de refuser, et qu’il est préjudiciable de dissuader un internaute d’un potentiel refus

Les risques encourus en cas de violation du RGPD

Des informations à la répercussion juridique 

Après avoir déterminé comment se mettre en conformité, il est nécessaire d’aborder les risques encourus en cas de non-respect du texte RGPD. Face à l’inflation et aux débordements, les autorités européennes relatives à la protection de l’information ont instauré des sanctions et pénalités aux réfractaires. L’autorité principale de contrôle s’avère être la CNIL, et son intervention varie en fonction du degré de gravité des violations constatées. Cela peut aller du simple avertissement, d’une amende plus ou moins conséquente ou encore de la suspension de la collecte des données pouvant ainsi avoir de très mauvaises répercussions sur une entité. 

Amende

L’amende, une note qui peut vite s’avérer salée

Que vous soyez un grand groupe ou une petite entreprise, vous devez être en mesure de respecter le RGPD. En effet, le responsable qui a enfreint le RGPD peut avoir une amende. Pour des faits comme la non présence d’un registre des données à caractère personnel, pour une faille décelée dans les différents traitements de vos données ou encore en cas de collecte injustifiée de données sensibles, l’amende peut atteindre 2% du chiffre d’affaires mondial de votre entreprise et 4% si il y a un refus de votre part de collaborer aux injonctions de l’autorité de la CNIL. Cette amende peut également s’ajouter à une demande de dommages et intérêts si la personne concernée par la violation décidait de porter plainte. Il serait donc regrettable de prendre ce risque quand on a conscience des répercussions qu’il peut y avoir. Chaque entreprise qui a un site internet (site vitrine ou e-commerce) doit se sentir concernée par la mise en conformité de son site au RPGD.

Des dommages collatéraux moraux

En dehors de l’amende encourue, la non conformité avec le RGPD peut avoir des répercussions sur les relations que vous entretenez avec votre groupe de clients et prospects. Effectivement, une perte de confiance et de contrats pourrait se faire sentir ainsi qu’un taux de rebond chez la concurrence. Vous pouvez proposer des produits ou services d’une très haute qualité, si vous n’êtes pas à jour à ce niveau là, cela peut refroidir une grande partie de votre public. 

Pour conclure, chaque personne est concernée par le RGPD. Le règlement général sur la protection des données consiste à sécuriser le grand public à propos des données à caractère personnel, il s’adresse aux entreprises, aux autorités physiques et administratives et de manière générale aux états de l'Union européenne. En effet, ce règlement œuvre en faveur du grand public qui est en droit de maintenir ses données personnelles privées. Ce ne sont pas des choses à caractère physique, c’est pourquoi un tel règlement a été mis en place au moment où internet se place au centre de nos vies. Ainsi, les autorités et états de l’union européenne doivent être garants de ce grand principe de droit : le droit à la vie privée.

Vous cherchez des collaborateurs de confiance pour vous accompagner dans votre démarche RGPD ? Les experts de Kwantic sont là pour vous aider et vous conseiller sur la marche à suivre. N’attendez plus pour nous contacter afin que nous discutions ensemble de votre projet.