100
24 avril 2018

Le RGPD – Règlement Général pour la Protection des Données

Extraits de l'article du site wpmarmite. Merci !!! 

 

Qu’est ce que le RGPD

Le Règlement Général pour la Protection des Données est une réglementation européenne qui prend application très prochainement, le 25 mai pour être exact. Votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.

Le but de cette réglementation, qui va venir secouer les pratiques des professionnels et particuliers sur le web : assurer à tout individu le contrôle et la protection des données à caractère personnel qu’il dissémine lors de ses navigations sur la toile.

Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu

 

Champs d’application du RGPD

  • L’amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel. Que ce soit via des formulaires, ou bien vis-à-vis des cookies, le visiteur doit être informé qu’il partage ses données, et savoir explicitement à quelles fins.
  • La traçabilité et la haute sécurité des données des utilisateurs. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
  • Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.

Si vous collectez, utilisez ou stockez des données à caractère personnel vous êtes dans la cible de cette législation quels que soient le secteur d’activité ou la taille de votre structure.

 

Sanctions

Fondamentalement cette nouvelle réglementation impose des sanctions très importantes : jusqu’à 20 millions d’euros d’amende pour le TPE/PME et 4% du CA global du groupe pour les grandes entreprises. Soit entre 3 et 5 MILLIARDS d’euros de risque de sanctions pour des entreprises comme Google, Amazon…).

Avec des montants aussi importants, ce qui va se passer le 25 mai 2018 c’est que des conflits ordinaires (salarié, client) vont se transformer dans des conflits GDPR avec de vrais risques de sanctions pour les entreprises. Vous avez un client non satisfait ? Comme par hasard, il va évoquer le fait que vous avez traité ses données personnelles sans son consentement. Ce sera à vous de prouver que vous aviez obtenu son consentement si vous voulez vous éviter les sanctions…

Qui est concerné

Les personnes les plus concernées sont :

  • les gros utilisateurs de solutions marketing – CRM avec plusieurs milliers de clients par exemple
  • les éditeurs de logiciels et outils en ligne
  • les entreprises qui ont de grosses bases de données clients

Si vous avez centaines/milliers de clients/prospects (B2C) ou des clients B2B qui ont de gros volumes de clients finaux que vous conseillez, vous allez devoir vous confronter très sérieusement au GDPR et à la mise en conformité de vos solutions.


 

Modifications et/ou mise en oeuvre concrete du RGPD

Objectifs

  • prouver que vos prospects ont consenti à ce que vous traitiez leurs données
  • informer tous les clients qui sont dans un CRM du fait que vous traitez leurs données
  • créer un registre qui recense l’ensemble des applications informatiques que vous avez et à quoi elles servent
  • renforcer sérieusement la sécurité informatique
  • ne pas utiliser des solutions de retargeting sans pouvoir prouver que les personnes y ont consenti
  • etc.

Dans les contrats

Éléments à ajouter à vos contrats, dans une partie spécifique à l’utilisation que vous faites de vos données

  • Le nom et les coordonnées de votre Délégué à la Protection des Données (DPO) (pas besoin d’en nommer un si vous ne brassez pas une masse de data quotidiennement) ;
  • La méthode que vous utilisez pour récolter, stocker et utiliser vos données ;
  • Vos méthodes de sécurisation des données ;
  • Vos éventuelles relations à d’autres sous-traitants, qui utiliseraient ces mêmes données ;
  • Votre méthode de notification de faille de sécurité, et éventuellement votre processus de rectification ou suppression des données à la demande des utilisateurs (tout le monde est concerné !).

 

Sur vos formulaires de prise de contact ou prospection web

1. Rédaction de la page des politiques de confidentialité ou mise à jour de la page des Conditions Générales d’Utilisation

2. Lien bas de page

3. Formulaire

  • Rajouter une case à cocher indiquant que l’utilisateur consent à partager ses données (“J’autorise l’entreprise X à enregistrer mes données”)
  • Spécifier la raison de la récolte des données (“Entrez votre adresse email pour recevoir notre newsletter”)
  • Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment

à noter qu’à chaque fois que vous ajouterez une case à cocher quelque part, celle-ci ne devra pas être pré-cochée ! L’objectif est que l’utilisateur donne à voir un consentement clair, et l’acte de cocher la case compte comme tel.

4. Newsletter

Modifier Newsletter comme ci-dessous :

 

Instaurer un registre interne de traitement des données

Plus d’infos 

si vous vous n’exploitez pas des données personnelles à grande échelle, félicitations : vous êtes dispensés de cette étape. Créateurs de petits sites e-commerce, de blogs à trafic moyen, ou de sites-vitrines récoltant 50 contacts par mois : pas besoin de vous en préoccuper.

Si vous en gérez plus, contactez nous.

 

Procédure de suppression

Page spécifique de suppression

mettre en place une procédure simple qui permette à vos utilisateurs de :

  • Retirer leur consentement
  • Accéder à leurs données
  • Les modifier
  • Demander à les effacer
  • Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)

Il nous faudra donc créer une page spécifique dédiée à cette procédure sur votre site, contenant un formulaire de demande précis.

Linker cette page  à tous les points de contact où vos utilisateurs sont susceptibles de vouloir retirer leur consentement.

 

Boite mail spécifique

Créer une boîte email spécifique, type protectiondedonnees@votresite.com, qui vous permettra de recevoir toutes les demandes d’exercice du droit des personnes.
Puis, à réception de chaque demande :

  • De retrait de consentement, il vous faudra supprimer ou modifier les données personnelles de l’internaute au plus vite et sur l’ensemble de vos lieux de stockage (y compris dans les fichiers de sauvegarde de votre site WordPress).
  • De portabilité des données, vous devrez exporter toutes les données que vous possédez dans un format lisible par une machine, afin que la personne puisse transmettre ses données à une autre entité sans avoir à les ressaisir. Le format n’étant pas défini, ni la structure, tout est à ce jour possible… (cela dit il y a de grandes chances pour le format CSV soit celui qui soit privilégié).

 

Boutique en ligne

Cas des paniers abandonnées

Anti RGPD : collecte quand même des données, et ce sans qu’il ait eu le temps de cocher la case sur les Conditions Générales de Vente.

La solution, qui contourne un peu le problème mais le résout temporairement : rajouter un petit texte invitant l’utilisateur à consulter votre Politique de Confidentialité, juste en-dessous du champ où il doit laisser son adresse email.

 

Webmarketing

Pour clients ayant déjà accepté de recevoir vos newsletters ou de s’inscrire à votre forum :
Vous devrez leur re-demander leur consentement, explicite et spécifique, sous peine d’être hors la loi si vous utilisez leurs données de quelque manière que ce soit.

À faire : préparez-leur un bel email, très transparent, que vous leur enverrez avant le 25 mai, pour le leur demander

 

Résumé

Pour l’heure, l’objectif premier est de montrer sa bonne volonté à la CNIL face au RGPD, malgré le flou artistique qui règne encore autour de ces pratiques. La législation e-Privacy, qui va venir augmenter les directives RGPD à l’horizon 2020, nous en dira sans doute plus, notamment sur l’utilisation des cookies…