Comprendre le RGPD (Réglement Général sur la Protection des Données)

9 juillet 2021 — Experience Utilisateur
Photo by Tingey Injury Law Firm on Unsplash

Pour comprendre le RGPD, il faut bien avoir en tête que les données personnelles concernent tout le monde ! En tant que particulier, vous avez sûrement déjà reçu des emails de Google, Facebook, ou Uber vous informant de la modification de leur politique de confidentialité. Cette politique vous informe de ce qui est fait de vos données personnelles collectées (pour avoir des exemples d’utilisation de données personnelles, voici une infographie de la CNIL). 

Également en tant que particulier, si vous utilisez le service gratuit Have I Been Pwned, vous savez aussi que les bases de données de certains sites sont compromises par des piratages visant à récupérer des données personnelles d’utilisateurs.

De plus en plus d’internautes ont conscience de la valeur de leurs données personnelles, depuis les scandales des GAFA sur les données personnelles (par exemple, celui de Facebook-Cambridge Analytica). 

Pour protéger tous les internautes européens, et après des années de flottement, les institutions européennes ont mis en place en mai 2018 le RGPD, pour Règlement Général sur la Protection des Données. Essayons d’y voir clair !

Puisque le sujet est sérieux, nous allons prendre le temps de quelques définitions et déclarations.

Les notions nécessaires pour comprendre le RGPD

Une porte marqué Privé pour comprendre le RGPD

Qui est concerné ?

Tout internaute produit et utilise des données personnelles. Tous les internautes sont donc concernés, au moins comme visiteurs.

Les règles de la RGPD concernent tous les business sur le web, et même tous les porteurs de projets web, même à but non lucratif. 

Quels sont les principes pour comprendre le RGPD ?

Pour comprendre le RGPD, il faut comprendre qu’il est essentiellement basé sur une logique de documentation et d’autocontrôle. En d’autres termes, les web-entrepreneurs (ou tout autre responsable de site web) doivent :

  • informer leurs visiteurs de ce qui est fait avec leurs données personnelles
  • permettre à leurs visiteurs de choisir si leurs données personnelles peuvent être utilisées.

Les données personnelles, qu’est-ce que c’est exactement ?

Les données personnelles sont des informations sur un individu clairement identifié, ou qui peut l’être. Pour un site web par exemple, ça peut être : 

  • un nom
  • des données de localisation
  • un identifiant en ligne
  • une adresse IP

NB : Les traces de connexion, telles que les cookies, sont des métadonnées. Elles sont considérées comme des données personnelles. Sans prendre trop de risque, on peut donc considérer que, la plupart du temps sur le web, toute donnée est personnelle.

Comment traiter ces données personnelles ?

Le traitement des données personnelles comprend la collecte, la consultation, l’enregistrement et la suppression de celles-ci. Les trois principes de la RGPD qui régulent le traitement des données sont :

  • les données collectées n’ont pas pour but de tromper les visiteurs d’un site
  • cette collecte doit se faire légalement
  • le but et l’usage du traitement doivent être transparents.

Donc, pour traiter les données personnelles d’un visiteur, il faut :

  • obtenir son consentement explicite
  • que le traitement des données ne soit pas essentiel à un éventuel service offert au client 
  • protéger ses intérêts (par exemple le prévenir si on constate que sa base de données a été piratée)
  • qu’elles ne soient pas conservées pendant plus longtemps que nécessaire.

Le RGPD affirme aussi que tout le monde a le droit à l’effacement. Cela signifie que tout visiteur peut demander :

  • l’extraction des données récoltées qui lui sont liées
  • l’effacement de tout lien avec ses données

Comment rendre votre business web conforme au RGPD ?

Un cadenas sur un laptop pour comprendre le RGPD

Cet article est à considérer uniquement comme une source d’informations générales – et non des conseils juridiques. Nous vous conseillons de faire appel à des professionnels, comme des juristes ou des avocats, qui pourront vous accompagner à vous mettre en conformité. 

Pour comprendre le RGPD appliqué à votre site Web, l’analyse de l’existant est primordiale pour savoir si vous collectez correctement les informations et qu’elles ne sont pas superflues.

Vous avez un simple site WordPress, sans compte utilisateur

Nous considérons pour le moment que vous n’utilisez aucun service tiers (Mailchimp, Google Analytics, Facebook Ads…) ou aucun antivirus/pare-feu.

Par défaut, WordPress embarque les outils suffisants aux éventuelles demandes que vos visiteurs pourraient vous faire, concernant l’effacement et l’extraction de leurs informations personnelles. Par exemple, les données relatives aux commentaires rédigés par un utilisateur.

La durée de conservation des données varie et doit être ajustée selon votre utilisation.

Pour présenter au mieux les options possibles à vos visiteurs, vous devriez implémenter un plugin gestionnaire de cookie, par exemple celui recommandé par la CNIL, tarteaucitron.js.

NB : En cas de piratage : cette infographie présente les actions à entreprendre en cas de piratage

Vous utilisez un service tiers (comme Google Analytics) ou des médias intégrés (comme des vidéos YouTube)

La présentation des cookies de navigation et d’analyse statistique utilisés par votre installation WordPress est nécessaire : par exemple vos extensions (Google Analytics, Référencement, etc.), vos médias intégrés (YouTube, SoundCloud, réseaux sociaux, etc.).

Les traitements des données doivent être mentionnés dans votre politique de confidentialité et idéalement, laisser la possibilité au visiteur de ne pas accepter leur collecte dans la notice de consentement, ainsi que dans leur compte utilisateur, s’il existe.

Vous récoltez des abonnements à une newsletter

L’abonnement à votre newsletter doit requérir le consentement explicitement dès le formulaire d’adhésion, sans que la case soit cochée par défaut.

Vous pouvez également configurer votre service d’emailing marketing pour une double vérification. C’est-à-dire qu’il envoie un mail à votre nouvel abonné pour qu’il confirme son adhésion à votre liste de contact.

Vous devez également proposer systématiquement un lien de désinscription dans chacun de vos mails.

Vous utilisez un ou plusieurs formulaires de contact

Tant que les formulaires de contact sont accessibles par tous les visiteurs, ils doivent :

  • conserver le minimum de données personnelles
  • collecter le consentement par une case à cocher, décochée par défaut

Vous exploitez une base de données d’utilisateurs pour des actions marketing

Si vous utilisez des méthodes de growth hacking pour récupérer des courriels via LinkedIn et autres plateformes, vous pourriez surveiller vos méthodes de prospection accompagnés de votre conseil juridique. En effet, comme dit plus haut, le RGPD demande d’avoir le consentement des utilisateurs que l’on contacte.

Que faut-il retenir pour comprendre le RGPD ?

dex ezekiel wsiqrh0fd9y unsplash edited scaled

Les données personnelles sont le pétrole du digital. Chaque web entrepreneur doit mener leur extraction et leur collecte comme des informations sensibles. L’objectif est de mettre en place une véritable culture de la protection de la donnée personnelle au sein de toute l’Union européenne. Ce qu’il faut retenir pour comprendre le RGPD :

  • la protection de la vie privée est assurée par des techniques de cryptage de la donnée limitant les usages intensifs et sensibles des données personnelles des utilisateurs ;
  • la clé de voûte du règlement est la création d’un registre de traitements
  • un délégué à la protection des données (appelé DPO) doit être nommé
  • le nouveau règlement s’applique de la même manière dans toute l’Union européenne
  • la pédagogie prime sur les sanctions plus dures dans un premier temps
  • en cas de sanction, c’est le dirigeant de l’organisme de traitement des données qui sera poursuivi
Chargement