Le cadre général du RGPD
Le Règlement Général à la Protection des Données s’applique à toutes données collectées et traitées permettant l’identification d’une personne physique de façon directe (email, photo, nom, prénom, …) ou indirecte (par recoupement d’information) et ce quelque soit la méthode employée (sites internet, formulaires papiers, etc.. ). Dans cet article, nous nous intéresserons à la collecte et au traitement de ces données personnelles depuis un site internet. Celui-ci a pour but de donner une vision globale d’une mise en conformité RGPD et ne sera donc pas aussi précis que les articles de références produits par la CNIL.
Avant de pouvoir mettre votre site en conformité il faut connaître la liste des données personnelles que vous collectez et traitez. Pour se faire, il faut cartographier l’ensemble des données collectées et lister l’ensemble de leurs usages (un ‘usage’ sera appelé par la suite une ‘finalité de traitement’).
La cartographie se fait sur l’ensemble des données collectées par votre entreprise et aboutira à la réalisation d’un registre :
- registre du responsable de traitement (Celui qui détermine les finalités et les moyens de traitement des données à caractère personnel)
- registre du sous-traitant (Celui qui traite les données à caractère personnel uniquement pour le compte du responsable du traitement)
Remarque : si vous êtes à la fois responsable de traitement et sous-traitant vous devrez réaliser ces deux registres.
Les 3 principes de la mise en conformité RGPD de votre site Internet
Fonctionnellement, un site internet affiche et collecte des données dans la plupart des cas. On distingue deux grandes étapes de mise en conformité : les formulaires de votre site Internet et la gestion des cookies & traceurs au sens large du terme. Pour mettre en conformité RGPD votre site Internet, il faut garder à l'esprit les trois grands principes de la loi suivants :
Exercice des droits de la personne
Toute personne ayant eu des données personnelles collectées sur votre site peut demander à exercer ses droits :
- droit de rectification (Article 16)
- droit à l’effacement ou plus connu sous le nom de “droit à l’oubli” (Article 17)
- droit à la limitation du traitement (Article 18)
- droit à la portabilité des données (Article 20)
- droit d’opposition (Article 21)
Remarquons que la personne n’est pas obligée de fournir une pièce d’identité pour exercer ses droits (Article 12 - §2).
L’obligation de transparence :
Avant toute collecte de données personnelles, l’obligation de transparence consiste à informer l’internaute des différents usages de ses données personnelles collectées (finalités de traitements), de leurs durées de conservation, des destinataires, et s’il y a lieu, des transferts hors union européennes des données avec les garanties de sécurité mises en place. (Article 13).
Licéité du traitement :
Pour qu’il y ait collecte de données personnelles, il faut que le traitement des données soit licite. Dans le cas de la collecte de données personnelles depuis les formulaires de notre site internet, la méthode de demande de consentement a été choisie parmi les 6 bases juridiques prévues par RGPD pour rendre un traitement licite. (Article 6 §1 a).
Un autre aspect de la loi est à prendre en compte : la collecte de la preuve de consentement. Le règlement ne précise pas comment cette preuve doit être collectée. Nous proposons néanmoins d’enregistrer le ‘contexte’ de la collecte du consentement à savoir
- l’identité de celui qui a consenti,
- ce à quoi la personne a consenti,
- le moment ou la personne a consenti.
Actions RGPD #1 : mise en conformité des formulaires
Cette étape consiste à mettre en conformité l’ensemble des formulaires de votre selon les 3 principes évoqués ci-dessus.
Voici un exemple de formulaire de contact fictif avec l'ajout de cases à cocher indiquant les finalités de traitement des données et exigeant le consentement de l'internaute :
L’obligation de transparence :
doit se matérialiser de manière “concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ”. Noyer l’internaute avec 5 pages fera perdre le côté ‘transparence’. C’est pourquoi il est recommandé d’échelonner l’information sur plusieurs niveaux et de la donner au moment opportun !
Le premier niveau serait celui des cases à cocher (1) et de la mention d’information (2). Dans ce niveau, il faut indiquer le responsable de traitements, les finalités et les droits des personnes. Les cases à cocher permettent le listing des finalités (une case à cocher par finalité !). La mention d’information permet d’indiquer le responsable de(s) traitement(s) et un texte expliquant les droits de l’internaute ainsi qu’un lien pour les exercer..
La licéité du traitement par consentement :
se manifeste par le biais de case(s) à cocher (1). Concrètement, tant que l’internaute n’a pas coché l’ensemble des cases à cocher nécessaires à la réalisation du traitement, celui-ci ne pourra pas s’effectuer car son consentement n’aura pas été donné.
Par ailleurs, vous devez conserver quelque part (en général en base de données) le consentement que l’internaute vient de donner.
L’exercice des droits se manifeste dans notre cas par un formulaire de contact du responsable de traitement. C’est pour cela que nous mettons un lien vers ce dernier dans la mention d’information (2).
Actions RGPD #3 :
Création de la page des "Données personnelles" et traitement des spécificités
La page de données personnelles (autrement dit ‘politique de protection des données’) a pour vocation de centraliser les informations dans un espace dédié afin d’en faciliter l’accès et ce, de manière lisible et compréhensible. La CNIL recommande “d’utiliser un lien renvoyant directement vers la politique de protection des données, clairement visible sur chaque page du site, intitulé de manière claire”.
Nous avons fait le choix de découper cette page en 2 parties :
- données collectées et traitées par les formulaires du site ;
- cookies stockés par le site.
Dans la partie ‘données collectées et traitées par les formulaire du site’, nous mettons aussi un lien pour contacter le responsable du traitement ou du délégué à la protection des données, afin de permettre l’exercice des droits de la personne.
Source : https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence
Les spécificités des sites de commerce électronique
Le RGPD encadre le traitement des données des mineurs. En effet, en-dessous de 15 ans (l’âge oscille entre 13 et 16 ans selon le pays européen. En France, il est fixé à 15 ans), le consentement doit être donné par les parents, sans quoi il ne sera pas recevable.
Concrètement, sur un site e-commerce vendant des produits, il faut s’assurer que l’internaute a bien au moins 15 ans. Cela peut se manifester simplement par une case à cocher, “j’atteste sur l’honneur avoir au moins 15 ans”. lors de la création du compte client ou la présence d’un Pop’in dès l'entrée sur le site pour valider l’âge du visiteur.
Envoyer des newsletter en respectant RGPD
Trois principes permettent de mieux comprendre la loi :
- L’inscription à la newsletter doit désormais se faire avec un double consentement (double opt-in). En d’autres termes, après avoir donné son mail et son consentement dans un formulaire d’inscription à la newsletter, l’internaute doit recevoir un email lui demandant de confirmer son inscription.
- Si vous envoyez une campagne de mails avec une liste de personnes, toutes les personnes présentes dans cette liste doivent au préalable avoir donné leur accord. Dans le cas contraire, le traitement “envoi d’un email” n’est pas licite. Il est aussi important de conserver une preuve de leur consentement.
- Utiliser sa liste d’email pour une autre newsletter (ou la diffuser à une personne tiers) est illicite, sauf si le consentement portait aussi sur cette autre newsletter.
L'agence ID Interactive propose un accompagnement complet pour votre mise en conformité RGPD :
Grâce à son pôle Sécurité et avec la présence d'un délégué à la protection des données, notre agence experte RGPD met en conformité vos services Internet et réalise les prestations suivantes :
- Création du registre de traitement de votre entreprise
- Audit et transposition des principes de traitement de votre registre sur votre interface web
- Mise en conformité des formulaires de votre site Internet
- Détection et normalisation des cookies et mise en place d'une gestion transparente
- Création de votre page "Données Personnelles" et d'un formulaire de contact de votre Délégué à la Protection des données
- Mise en place de certificat de cryptage des données (certificat SSL/TLS)
Pour toute question, vous pouvez joindre la déléguée à la protection des données d'ID Interactive :
Alexia COQUET
dpo @ id-interactive.fr
02 97 69 07 43