développement web 💻
web marketing & réseaux sociaux 👀
Le Règlement Général sur la Protection des Données (ou RGPD), en vigueur depuis le 25 mai 2018, permet d’accroître la protection des personnes concernées par un traitement de données à caractère personnel.
Il responsabilise également les entités en charge de ces traitements en imposant des principes clés à respecter pour être en conformité vis-à-vis du texte.
Nous vous exposons ici les 6 axes principaux sur lesquels travailler, pour se mettre en conformité vis-à-vis de ce règlement, et vulgariser les items clés à ne pas négliger.
1- Collecte uniquement des données nécessaires au but poursuivi
Les données collectées auprès des utilisateurs doivent être pensées avec discernement. Elles ne doivent servir uniquement à l’objectif poursuivi par ce recueil de données. Exemple : un formulaire de contact client sur un site web doit comporter des champs pour vous permettre d’identifier l’auteur de la demande, votre prospect, ou client potentiel. Ainsi le nom, le prénom, l’adresse email ou le numéro de téléphone constituent des données essentielles dans ce but.
En revanche, la saisie du genre, de la date de naissance ou de la religion de l’intéressé ne rentrent pas dans cette objectif de nécéssité.
2- Une obligation de transparence
La personne qui visite votre site web doit être informée expressément des données qui sont recueillies lors d’une action de collecte de données (visite sur une page web, formulaire de contact, abonnement à une newsletter par exemple).
D’où la nécessité d’avoir un outil de gestion des cookies, côté utilisateur, qui va lui permettre de donner son consentement (on parle d’opt-in) au recueil de ces données.
Elles peuvent être fonctionnelles (pour le bon fonctionnement du site web), statistiques (visites, clics), ou marketing (suivi de la provenance du visiteur et ses actions réalisées pour arriver à un achat).
Les individus doivent avoir la maîtrise des données qu’ils partagent.
3- Organiser l’accès à l’exercice des droits des personnes, sur les données
Les modalités d’exercice des droits des personnes visées par le recueil de données à caractère personnel doivent être explicitées et facilitées au maximum. Les droits d’accès, de rectification, de suppression et le droit à l’anonymat doivent être exerçables, et ce dans des délais raisonnables. Bien sûr, cela dépend du domaine d’exercice de votre activité, ainsi que du temps nécessaire à la mise en œuvre de ce droit.
La procédure doit pouvoir être mise en œuvre par voie électronique, au moyen d’une adresse dédiée. C’est ici qu’interviens le DPO, pour Délégué à la Protection des Données, qui doit être désigné au sein de votre entité, et qui est garant de ces modalités d’exercice des droits concernant les données à caractère personnel.
4- Fixer des durées de conservation des données
Les données recueillies auprès de vos utilisateurs, ne doivent pas être conservées indéfiniment.
Concernant une relation purement commerciale par exemple, le délai acceptable est fixé à 3 ans. Mais ce n’est pas une obligation, le RGPD précisant que l’on peut conserver ces données jusqu’à 5 ans.
Encore une fois, ces durées sont à nuancer selon le but poursuivi. La fin de vie de la donnée collectée peut coïncider avec une fin de contrat par exemple, si rien ne justifie à l’issue de conserver cette donnée.
Les données doivent ensuite être soit : supprimées / archivées / anonymisées.
5- Sécuriser les données dans tout leur cycle de vie
Il est nécessaire, voire obligatoire de définir un process de traitement de la donnée, dans toute sa durée de vie, au sein de votre entreprise, qui va garantir au maximum, le risque 0 n’existant pas, que celle-ci sera protégée des accès non-autorisés.
Quelles mesures avez-vous mis en place pour sécuriser les données qui vous sont transmises ? Dans quelles mesures est-ce efficace ?
Est-ce par de la protection physique ? Informatique ? Qui a accès aux données ? Y a-t-il des niveaux d’authentification / d’habilitation pour y accéder ?
Autant de questions qu’il va falloir se poser pour mettre en conformité votre entreprise vis-à-vis du RGPD.
6- La mise en conformité RGPD – une démarche d’amélioration continue
La démarche de mise en conformité sur les exigences du RGPD doit s’inscrire dans le temps, car, selon les secteurs d’activité dans lesquels vous exercez, cela représente un projet plutôt conséquent. Selon également le volume de données que vous traitez au quotidien.
Le délégué à la protection des données (ou DPO) a aussi un rôle de conseil, de formation, de sensibilisation auprès des différents acteurs de l’information au sein de votre entreprise.
Vous n’êtes pas au top sur ces questions au sein de votre entreprise ? Pas de panique. La CNIL – Commission Nationale de l’Informatique et des Libertés, mets à votre disposition un MOOC – en e-learning, sur inscription, et gratuit qui vous permettra de vous mettre à jour sur les exigences de ce nouveau règlement.
Retrouvez-le ici :
Alors, en savez-vous désormais un peu plus sur le RGPD ? Vous sentez-vous prêt pour débuter la mise en conformité au sein de votre organisation ?
Le 9 mai 2024
