Mettre son site Internet en conformité au RGPD, comment faire ?

Suite à l’entrée en vigueur de la nouvelle législation européenne sur la protection des données personnelles (RGPD), l'agence ID Interactive aide les entreprises et les institutions dans la réalisation et la formalisation du registre des traitements de données personnelles et à sa mise en place sur votre site Internet quelle que soit la technologie utilisée pour le site Internet.

Le Règlement Général sur la Protection des Données a été mis en place afin de protéger les données personnelles des personnes physiques. Il impose certaines obligations qui ont pour but d’assurer la transparence des entreprises et accorde aux utilisateurs de nouveaux droits.

Au-delà du respect de l’obligation légale, la tenue du registre permet de recenser, comprendre et maîtriser son patrimoine de données personnelles. Sa constitution et sa tenue sont l’occasion de se poser les bonnes questions et de limiter les risques au regard du RGPD. Il s’agit donc d’une étape essentielle vers la mise en conformité RGPD. D’une entreprise à l’autre, les traitements sont souvent proches (gestion des candidats, des clients, des prospects, etc.). C’est pourquoi nous pouvons vous fournir un registre de l’agence type complété par nos soins dans lequel vous pouvez reprendre et adapter des mentions qui pourraient vous concerner également.

Une fois l'étape du registre réalisée, il s'agit de mettre en pratique sur le site Internet, les principes et les règles définies. Cette réglementation impose 5 points clé expliqués plus précisément ci-dessous :

1/ Informer sur la collecte des données

Avec le RGPD, vous devrez informer clairement le visiteur de votre site internet de la collecte de données que vous effectuez : données collectées, finalité de la collecte et durée de conservation.

Toute donnée permettant d’identifier une personne que ce soit de manière directe ou indirecte, constitue une donnée personnelle. On différencie les données sensibles (origine raciale, opinions politiques, convictions religieuses…), des données non-sensibles.

Au moment de la collecte de données, l’utilisateur doit comprendre clairement les raisons de cette collecte (par exemple, pour entrer en contact avec l’entreprise, ou encore pour assurer la gestion d’un achat en ligne), ce qui vous autorise à traiter ces données, le fondement juridique. Vous devez également indiquer qui peut accéder aux données (services internes de l’entreprise, sous-traitants…), la durée de conservation des données, et si elles seront transférées hors de l’Union Européenne (si oui, précisez le pays et l’encadrement juridique qui permet de maintenir le niveau de protection juridique).
Vous devez également faciliter l’exercice des droits des utilisateurs, c’est-à-dire leur indiquer par quel moyen ils peuvent s’opposer à l’utilisation de leurs données personnelles (envoi d’un e-mail, par courrier postal…).

2/ Recueillir et disposer d'un consentement explicite

Le RGPD nous indique que « le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ».
Une simple case pré-cochée n’est pas acceptable pour exprimer le consentement de l’utilisateur, il doit être récolté par le biais d’une action positive. Le traitement n’est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

Par ailleurs, le droit à l’oubli ou « droit à l’effacement » implique que l’utilisateur d'un site Internet doit disposer d'un droit d’accès permanent, et de contrôle sur ses propres données afin de demander quand il le souhaite la suppression définitive de ses données personnelles collectées.

3/ Durée du consentement

L’internaute peut à tout moment retirer son consentement concernant la collecte de ses données personnelles. Concernant les cookies, le consentement ne peut excéder une durée maximale de 13 mois.

4/ Protéger la transmission des données personnelles

Il s'agit ici de sécuriser les échanges d'informations entre l'ordinateur d'un internaute et le site Internet d'une entreprise ou d'une institution ou éventuellement de leurs sous-traitants. Pour cela, la mise en place d'un chiffrement des données sous la forme d'un certificat TLS (SSL/HTTPS) est nécessaire. Cela permet aussi de disposer d'une légère prime en référencement naturel auprès de Google, ce qui n'est pas négligeable dans un monde toujours plus concurrentiel.
Le RGPD introduit la notion de responsabilité solidaire, ce qui signifie qu’une donnée collectée par vous ou par un de vos sous-traitants est sous votre responsabilité.

5/ Les mentions légales obligatoires de votre site internet

Pour respecter le RGPD, les mentions légales de votre site doivent être modifiées pour remplir un objectif de transparence. Vous devez réserver une page complète de votre site aux traitements de données définis dans votre registre. Cette nouvelle page souvent nommée "Données personnelles" informe l'internaute sur la collecte de données réalisée sur le site en précisant la finalité, c’est-à-dire l'objectif de l'enregistrement. La page précise aussi l’utilisation qui pourra être faite des données, le temps de conservation (voir point précédent) ainsi que les droits que les visiteurs possèdent sur leurs données et les différentes procédures d’application. Tout cela semble assez compliqué, mais quand le registre des données personnelles de l'entreprise est correctement réalisé, la page est très facile à mettre en œuvre.

Les étapes à suivre pour assurer la mise en place de vos mentions de protection des données personnelles

Vous devez déterminer la finalité de votre traitement de données personnelles, la raison pour laquelle vous collectez ces données. Selon l’article 13.1.c du règlement « le responsable du traitement lui fournit, au moment où les données en questions sont obtenues, toutes les informations suivantes (…) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ».

Ensuite, définissez la base légale sur laquelle repose votre traitement de données : le consentement des personnes, l’exécution d’un contrat, ou de mesure pré-contractuelle, une obligation légale, la sauvegarde des intérêts vitaux d’une personne, une mission d’intérêt public/autorité publique, les intérêts légitimes du responsable du traitement.

Puis, vous devez indiquer à qui sont destinées les données personnelles. Le RGPD diffère ici de la réglementation antérieure, puisqu’il exige de détailler précisément les destinataires ou les catégories de destinataires autorisées à avoir accès aux données personnelles collectées (sous-traitants…). Selon le RGPD, le sous-traitant est une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. Si vous travaillez avec des sous-traitants et qu’ils ont accès aux données personnelles que vous traitez, vous devez obligatoirement les lister, indiquer leur rôle et si les données sont stockées en Union Européenne ou hors Union Européenne.

Il est primordial de définir la durée de conservation des données personnelles lorsque vous les collectez sur votre site. Dans le cas où la durée ne serait pas possible à déterminer, vous devez expliquer les critères utilisés pour la déterminer. Vous êtes également tenu d’expliquer si la donnée que vous souhaitez récolter est obligatoire ou non.

D’autres éléments obligatoires sont à ajouter, comme l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement, les coordonnées du délégué à la protection des données (si vous en avez un), indiquer le droit de demander à rectifier ou à effacer les données personnelles d’un utilisateur ou de s’opposer au traitement et à la portabilité de ces dernières, ainsi que le droit d’introduire une réclamation auprès d’une autorité de contrôle.

Certains éléments seront à ajouter dans des cas plus précis : accès à des locaux professionnels par badge, dispositif de vidéosurveillance par les lieux de travail, géolocalisation des véhicules de salariés.

Les données de santé : un traitement particulier

Certaines données considérées comme susceptibles d’engendrer des risques élevés sur la vie privée (comme les données de santé par exemple) doivent être soumises à une analyse d’impact relative à la protection des données. Celle-ci a été établie dans le but d’aider les organismes à respecter la vie privée des utilisateurs lors du traitement de leurs données, mais également à prouver leur conformité au RGPD.

Les données de santé sont considérées comme sensibles et bénéficient d’un régime de protection renforcé (groupe sanguin, données génétiques, fréquence cardiaque…).

En principe, les données de santé relatives à une personne identifiée ou identifiable ne doivent pas être exploitée ni commercialisée. Toutefois, dans le cas où les personnes concernées donnent leur consentement clair et explicite, ou dans le cas le traitement fait partie des exceptions prévues par la loi, les données peuvent être utilisées.
Voici les cas dans lesquels la loi autorise le traitement des données :

• Prévention de la santé publique
• Préservation des intérêts vitaux de la personne concernée
• Appréciation médicale : médecine préventive, soins, diagnostics
• Médecine du travail ou encore pourcentage légal d’emploi de personnes avec handicap
• Gestion des systèmes et services de santé ou de la protection sociale

Les sanctions en cas de non-conformité :
Afin d’assurer la mise en place de cette nouvelle réglementation, des sanctions ont été mises en place en cas de non-conformité, et notamment une amende qui peut s’élever à une valeur de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise en cas de manquement à la nouvelle réglementation.

Vous souhaitez en savoir plus, notre équipe est à votre disposition pour vous accompagner dans cette démarche :

Aspects techniques de la mise en œuvre RGPD

Nicolas Berjamin
Tel : 02 97 69 07 43
DPO ID Interactive
[email protected]

Aspects conceptuels et commerciaux de la mise en conformité de votre site Internet

Eric Doyen - Directeur
Tel : 02 97 69 07 43
[email protected]

William Pienkowski - Directeur des projets
Tel : 02 97 69 07 43
[email protected]