REPRISE DES EXPÉDITIONS DES AFFICHES MARDI 26 FÉVRIER
VOIR LA BOUTIQUE

RGPD : que faire pour être conforme ?

Nous avons tous reçu ces derniers jours des informations de Google, Twitter, Facebook, et bien d’autres sites une information sur la modification de leur politique de confidentialité. Tout cela vient du RGPD – ou GDPR en anglais.

Le nouveau Règlement Général pour la Protection des Données (RGPD donc) entre en vigueur le 25 mai, et ça change pas mal de choses pour tout ceux qui communiquent via le web.

Vous allez me dire : « cela ne me concerne pas ». FAUX !

Si vous avez un site web et que des internautes dans l’Union Européenne le consultent, vous DEVEZ vous mettre en conformité, sous peine d’amendes entre 2% et 4% de votre chiffre d’affaires. Rien que ça ! Oui, il est obligatoire (c’est un règlement européen) et donc tout le monde doit se mettre « en conformité ».

Et ça devient urgent : vous avez jusqu’au 25 mai !

Ce GDPR concerne la protection des données personnelles. Vous êtes concerné si vous recueillez, par des formulaires de contact, des cookies ou des commentaires, ce type d’information. Autant dire que toute personne ayant un site web est concernée, car sont considérées données personnelles les infos suivantes :

  • Nom
  • Prénom
  • Email
  • Genre (homme / femme)
  • Adresse
  • téléphone
  • adresse IP
  • visites ou clics sur des sites web
  • etc.

Que faire pour être « conforme » ?

Pour être conforme au RGPD, il faut respecter globalement quatre règles :

  1. Informer vos visiteurs sur le quoi, comment et pourquoi : comment vous récupérez ces données, quelles données vous recueillez et comment vous allez les utiliser
  2. Obtenir le consentement explicite de la personne pour récupérer et utiliser ses données personnelles (fini les spams)
  3. Sécuriser les données personnelles recueillies (éviter les failles de sécurité)
  4. Donner un accès pour la modification et la suppression de ces données.

1 – Informer sur le quoi, comment et pourquoi

Cela signifie par exemple de créer, si ce n’est pas déjà fait, une page sur votre Politique de confidentialité des données.

Vous pouvez consulter la page de BigMouthFrog par exemple : Voir notre Politique de Confidentialité des Données 

Vous devez y indiquer, de manière claire et précise, toutes les informations personnelles que vous collectez, par quel biais, et ce que vous allez en faire. Il faut aussi expliquer combien de temps vous allez garder ces données.

 2 – Obtenir le consentement explicite des personnes

Pour obtenir ce consentement explicite, il y a globalement trois points à vérifier : les cookies, les formulaires et les commentaires.

Soigner les cookies

Assurez-vous d’avoir bien mis en place un « bandeau cookies » qui explique clairement ce que vous allez en faire. Il faut donner la possibilité au visiteur de refuser ces cookies.
Cela implique, par exemple, qu’il ne doit pas accepter les cookies en navigant sur votre site ou en faisant défiler la page. Pour être conforme au RGPD, il doit cliquer sur le bouton « accepter », cela doit être une démarche volontaire. Donc votre gestion des cookies doit prévoir que tant que les cookies n’auront pas été acceptés, ils ne seront pas mis en place.

Revoir vos formulaires

Vous devez prévoir, à la fin de chaque formulaire, une mention comme celle de BigouthFrog par exemple :
En cochant cette case, vous donnez votre consentement pour le traitement de ces données par BigMouthFrog, conformément au RGPD de 2018 et à notre Politique de Confidentialité des Données.
Attention : La case ne doit surtout pas être pré-cochée !

Attention aux commentaires sur vos articles

La question des commentaires est plus compliquée, comment recueillir le consentement des utilisateurs avant qu’ils ne postent leur commentaire ?

Pour ce faire, vous avez deux options :

  • N’autoriser les commentaires que des personnes connectées, qui auront alors accepté votre politique de confidentialité lors de l’inscription,
  • Ou ajouter une case de consentement à cocher avant la publication du commentaire.

3 – Sécuriser les données personnelles

Pour protéger les données personnelles que vous collectez, il faut aussi mettre en place des solutions techniques de chiffrement des données (protocoles SSL etc.)

4 – Donner un accès pour la modification et la suppression de ces données

Pour donner un accès de modification et suppression des données personnelles, vous pouvez par exemple créer un formulaire de demande. Simple et efficace !

A la réception de la demande, vous devrez effacer ou modifier les données personnelles concernées au plus vite.

Vous devez aussi pouvoir fournir les données personnelles que vous avez recueillies d’une personne à cette même personne, dans un format de fichier lisible par une machine (en csv par exemple).

Et comme ces données ont une date de « péremption », c’est à dire que vous ne pouvez pas les conserver indéfiniment, il vous faudra mettre en place des process pour les effacer automatiquement au bout d’un certain temps.

La loi prévoit par exemple que l’on peut conserver :

  • 3 ans maximum les données maketing
  • 6 ans maximum les données liées à la facturation des commandes.

Le registre de traitement des données

Pour finir, fini les déclarations à la CNIL !

Toute entreprise qui traite des données doit maintenant tenir un registre qui explique qui traite les données, quelles données sont traitées et comment ces données sont traitées.

Pour nous aider, la CNIL a mis en ligne un modèle de registre de traitement des données.

 

Bref, voilà un grand chantier à mettre en oeuvre au plus vite ! Mais rassurez-vous, vous avez jusqu’au 25 mai… 😉

 

Pour aller plus loin, je vous incite à consulter l’excellent article de Marmite sur le sujet.

Pin It on Pinterest