Qu’est-ce qu’une donnée personnelle dans le cadre de la RGPD ? Une donnée personnelle est identifiée lorsqu’elle permet à elle seule ou par regroupement, via d’autres données reçues par les serveurs, d’identifier une personne physique.
Afin de garantir leur protection, le RGPD (Règlement Général de Protection des Données), fixe à l’échelle européenne les mesures à prendre par les acteurs du numérique pour protéger la vie privée des utilisateurs. Les entreprises ont l’obligation de se conformer pour respecter la vie privée de leurs utilisateurs et éviter toutes amendes de l’autorité de contrôle. Cela concerne tous les secteurs d’activité, encore plus les sites internet qui sont directement exposés à la collecte des données. Les exigences du RGPD ne sont pas à prendre à la légère.
Comment se conformer au rgpd ?
Afin d’être prêts pour mai 2021, nous vous avons concocté une nouvelle checklist des actions à mener sur votre site internet.
En bonus, téléchargez notre checklist 2021 pour cocher toutes les cases de la conformité !
1- CGV et Politique de confidentialité
Vous avez pour obligation d’informer les internautes sur l’objectif, le traitement et la récupération de leurs données personnelles. Vous devez donc inclure les conditions relatives aux données personnelles dans les CGV ou via une page dédiée sur la politique de confidentialité. La CNIL donne plusieurs exemples de mentions d’informations sur son site internet.
Votre page politique de confidentialité doit comprendre les éléments suivants :
- La finalité de la collecte des données et leurs conditions d’utilisation (pourquoi récoltez-vous de la donnée ?) ;
- Le fondement légal qui autorise à traiter les données (« le fondement juridique » : le consentement de la personne concernée, l’exécution de son contrat…) ;
- Les personnes ayant accès aux données (mention des différents services) ;
- Le temps de conservation de la donnée ;
- Les droits des utilisateurs concernant l’exercice de leurs droits de retrait : l’accès à une page dédiée aux réclamations, un formulaire de contact, un mail ou une adresse postale. Pour plus d’informations rendez-vous directement sur le site de le CNIL.
Vous devez également ajouter une mention si les données sont transférées en dehors de l’Union Européenne, en précisant le pays et l’encadrement juridique qui permet le maintien du même niveau de protection des données.
Lire aussi | Comment piloter sa stratégie marketing par la data ? Nos 6 outils indispensables !
2- Bandeau cookies (avec collecte de données personnelles)
Vous devez tout d’abord afficher le bandeau cookies lors de la première connexion de l’utilisateur.
Afin d’être conforme, l’autorité de contrôle demande à ce que le gestionnaire de cookies respecte les indications suivantes :
- Le recueil de consentement (bouton d’acceptation) doit être au même niveau que le refus avec une simplicité dans le choix de l’acceptation, du refus ou de la modification.
- Le module de gestion des cookies ne doit pas être caché. L’utilisateur doit pouvoir à tout moment modifier son consentement.
- Le gestionnaire doit permettre à l’utilisateur d’être informé sur les finalités de la collecte et leur conditions d’utilisation. Cela doit être rédigé avec des termes simples et compréhensibles.
Vous devez également indiquer la durée de validité du consentement, soit au moment de l’acceptation, soit dans la politique de confidentialité/CGV. La durée de conservation du consentement est de 13 mois. Vous devez, à minima, redemander le consentement avant ces dits 13 mois.
La CNIL propose des ressources sur la gestion des cookies :
- Cookies et traceurs : que dit la loi ?
- Cookies et traceurs : comment mettre mon site web en conformité ?
| Vous n’avez pas envie de lire ? Nous vous proposons une vidéo qui vous explique comment être conforme à la RGPD. Regardez Florian et Maître Dimitri Meunier, avocat expert en droit numérique !
3- Formulaire de contact
Plusieurs actions sont à mener au niveau des formulaires de contacts pour respecter les exigences du RGPD :
- Indiquez la finalité du traitement de la donnée et leurs conditions d’utilisation (par exemple : la collecte des données a pour objectif de pouvoir répondre à votre demande).
- Indiquez un lien vers la politique de confidentialité concernant les droits des utilisateurs.
Retrouvez plus d’informations sur les formulaires de contact directement sur le site internet de la CNIL.
N’oubliez pas de télécharger en fin d’article notre document rassemblant les bonnes pratiques liées au RGPD.
4- Gestion des inscrits à une newsletter
L’inscription à une newsletter est une action régulièrement proposée sur les sites internet. Elle a également droit à son lot de régulation. Vous devez donc répondre à plusieurs critères :
- Indiquer la finalité de la newsletter (Actualité, offres promotionnelles, etc.).
- L’inscription doit être faite grâce au consentement explicite de l’utilisateur :
- Pas de formule trompeuse (négation type : « cliquez ici pour ne pas vous inscrire à la newsletter »).
- Pas de case pré-cochée.
- Mettre en place un modèle de gestion des préférences de l’utilisateur.
- Proposer un lien pour que l’utilisateur se désinscrive dans la newsletter : si une demande est effectuée, vous avez 30 jours pour la prendre en compte. Indiquez alors un délai de traitement lors de la demande.
- La durée de conservation de l’accord est de 36 mois : si l’utilisateur ne s’est pas manifesté dans ce délai, vous devez le supprimer de votre base de données.
Retrouvez plus d’informations sur “comment communiquer en ligne” directement sur le site internet de la CNIL.
Lire aussi | RGPD : quelles sont les actions à mener dans mon entreprise en 2021 ?
5- Compte client
Création du compte client
Les sites internet proposent très souvent la création d’un compte client, notamment sur les sites e-commerce pour avoir un suivi des commandes et des livraisons. Ce compte client regroupe évidemment des données personnelles sur les utilisateurs. Vous devez alors :
- Indiquer la finalité du/des traitements de ses données et leurs conditions d’utilisation
- Demander seulement les informations nécessaires à l’exercice de votre activité
- Différencier les champs facultatifs et les champs obligatoires (mention ou “*”)
- Demander à l’utilisateur son accord à la politique de confidentialité avec un lien vers la page
Le mot de passe ne doit jamais apparaître en clair dans le backoffice. Plus d’informations sur les mots de passe via la CNIL.
Pensez également à nettoyer votre base de données existante : les comptes sans commande de plus de 36 mois d’inactivité sont considérés comme des prospects. En savoir plus sur les durées de conservation des données via la CNIL.
Gestion du compte client
L’autorité de contrôle impose des règles spéciale pour la gestion des comptes clients (en BotC) et des extranets client (en BtoB). Comme pour toutes les autres règles, elles doivent être respectée sous peine d’amendes.
L’utilisateur doit pouvoir :
- Consulter et modifier ses informations personnelles : depuis son compte, via une demande depuis un formulaire de contact ou mail dédié.
- Supprimer son compte ainsi que l’ensemble de ses données : depuis son compte, via une demande depuis un formulaire de contact ou mail dédiée. L’intégralité des données doit être supprimée et ne peut plus être utilisée à des fins commerciales.
En savoir plus sur la gestion de la relation client et de ses données avec la CNIL
A voir : replay webinar | Trouver l’or cachée dans vos datas avec Florian & Bruno
6- Sécurisation des données personnelles de vos utilisateurs
- Pensez à la protection des données lors du développement de nouvelles fonctionnalités (si elles demandent des données personnelles bien entendu). Regardez si vos partenaires sont bien en conformité avec la RGPD.
- Limitez les accès de vos collaborateurs internes aux données en créant des accès individuels aux personnes légitimes
Si une violation de données personnelles est constatée, il est impératif de prévenir les personnes concernées ainsi que la CNIL sous un délai de 72h.
La CNIL propose plusieurs ressources
- Guide de la sécurité des données personnelles (pdf)
- Guide de la sécurité des données personnelles (article)
- Sécurité des données (article)
Le RGPD vise l’uniformisation des règles au sein de l’Union Européenne. Vous êtes responsables du traitement des données de vos utilisateurs que ce soit sur votre site web ou au sein de votre entreprise. Les processus de collecte, de traitement et de diffusion doivent être régulés pour assurer le respect de la vie privée.
N’oubliez pas de télécharger ci-dessous votre checklist à cocher qui résume parfaitement tout ce que vous avez à respecter pour être en conformité sur votre site internet !