La RGPD et mon site internet, ce qu’il faut savoir ?
Le constat est frappant ! De nombreux propriétaires de sites vitrine ou d’e-commerce ignorent de nombreux aspects de la règlementation générale sur la protection des données individuelles (RGPD). Si tel est aussi votre cas, sachez que les dispositions de ce texte règlementaire européen constituent des principes sacro-saints à observer. En raison de la sensibilité des données personnelles, la RGPD vise à encadrer leur collecte, leur gestion et leur exploitation par les entités. Qu’est-ce que c’est et comment devriez-vous l’appliquer ? On vous en parle.
Qu’est-ce que la RGPD ?
Pour mieux comprendre la RGPD, faut-il avant tout chose savoir ce que recouvre la notion de données personnelles. En effet, elle désigne « toute information se rapportant à une personne physique identifiée ou identifiable ». Au sens large, les données personnelles concernent :
· l’identité à l’état civil d’un individu ;
· son identifiant ou n° client ;
· ses données biométriques ;
· ou encore des éléments spécifiques comme sa génétique.
L’entrée en vigueur de la RGPD, le 25 mai 2018, permet l’encadrement du traitement des données de manière éthique et uniforme au sein de l’Union Européenne. Ce dispositif vient enrichir celui de 1978 en France, et qui établissait les règles liées à la collecte et l’utilisation des données. De façon précise, la RGPD poursuit de nombreux objectifs dont les trois plus saillants consistent à :
· responsabiliser les entreprises traitant des données ;
· renforcer les droits des utilisateurs ;
· crédibiliser la régulation par les moyens d’une coopération entre les autorités de protection.
En résumé, l’intérêt de l’application de la RGPD se résume au renforcement des droits des personnes dont les données sont collectées et utilisées quotidiennement. Il offre à ce titre un cadre juridique unifié autour des enjeux qu’implique de nos jours le traitement des données personnelles.
Comment s’applique cette réglementation pour un site web ?
La protection des données personnelles concerne toutes les entreprises qui se basent sur la collecte de données dans leur fonctionnement. Dès l’instant où vous traitez des données personnelles, vous êtes d’office soumis à la RGPD. Il s’agit d’une obligation légale absolue, quel que soit la taille de l’entreprise. L’intégration des obligations RGPD dans la digitalisation de vos services doit reposer sur les principes que sont :
a) la collecte des données ;
b) le consentement ;
c) et la sécurité des données.
En tant que propriétaire d’un site vitrine ou e-marchand, vous devez faire preuve d’une extrême vigilance. Voici de quoi retourne chacun de ces principes phares.
a) La collecte de données
Le RGPD impose une collecte uniquement à des fins explicites et légitimes. En premier lieu, le but de la collecte des données de vos utilisateurs doit être clair afin qu’ils aient une idée précise de la destination de leurs informations. En second lieu, ce but doit être légitime, c’est-à-dire pour une finalité non prohibée par la loi. Une collecte et un usage des données à des fins commerciales ou de référencement naturel est tout à fait légal.
b) Le consentement
Ce principe constitue une règle d’or en matière de collecte des données personnelles. La RGPD impose aux entreprises de recueillir le consentement de leurs clients. Ce consentement peut prendre la forme d’un formulaire de demande ou cookies qui donnent la possibilité à l’internaute de consentir ou non à la collecte de ses données. Veillez donc à cela dès la création de votre site internet !
c) La sécurité des données
Qui dit collecte dit aussi « conservation » et par ricochet « sécurisation ». En plus du consentement de vos utilisateurs, vous devez garantir la bonne conservation de leurs données personnelles. A la création de votre site internet, songez à un mécanisme de conservation fiable des données de sorte à prévenir tout risque de perte ou de fuite.
Comment se mettre en conformité avec la réglementation RGPD ?
Si votre site n’est pas à la norme en matière de réglementation RGPD, vous devez mettre les bouchées doubles. La réglementation RGPD et ses implications diffère selon qu’il s’agit d’un site vitrine ou d’un site e-commerce.
Site vitrine
Un site vitrine sert à présenter des produits et services propres à une entreprise. Sa fonction est informative. Les spécificités liées à la réglementation RGPD d’un site vitrine tournent autour de la mention
· de la finalité du traitement ;
· du destinataire des données collectées ;
· de la durée de conservation ;
· des droits des utilisateurs sur leurs données.
Pour votre site vitrine, vous devez élaborer un registre des activités de traitement tel que prescrit par l’article 30 de la Loi RGPD. Aussi, pour assurer le respect des droits des internautes, établissez un formulaire de contact visible afin de leur faciliter l’envoie de requêtes.
Site e-commerce
Les sites e-commerce se distinguent des sites vitrines parce qu’elles servent à la vente en ligne de biens et services. Elles ont ainsi une fonction marchande. Les spécificités liées à la réglementation RGPD d’un site e-commerce sont plus prononcées et tournent autour :
· d’un listing des données individuelles collectées ;
· du recensement des risques auxquels peuvent être soumises ces données ;
· des mentions légales ;
· de la rédaction d’une politique de confidentialité ;
· la rédaction des conditions générales de vente (CGV).
Ces spécificités constituent des points essentiels sur lesquels vous devez œuvrer dès la création de votre site internet. Pensez alors à mettre en place une analyse de vos procédures actuelles. Si possible, faites appel à un consultant RGPD pour y parvenir.
Comment savoir si mon site est conforme ?
Pour vérifier la conformité de votre site internet, vous pouvez utiliser un outil comme Microsoft’s GDPR Assessment qui vous aidera à évaluer votre niveau de conformité RGPD. De même, des logiciels comme PIA, DataLegalDrive RGPD et OneTrust vous permettront d’auditer votre processus de conformité RGPD et de mesurer l’impact des menaces sur la protection des données collectées.
La mise en place d’une conformité RGPD doit rester une priorité absolue ! Celle-ci vise un meilleur contrôle des données et une transparence dans leur gestion. La Commission nationale de l’informatique et des libertés (CNIL) veille à la responsabilité des entités vis-à-vis des données de leurs utilisateurs. C’est pourquoi, les sanctions en cas de violation sont importantes. Elles peuvent prendre la forme d’un avertissement ou d’amendes entre 2 et 4% de votre chiffre d’affaires. En outre, le Code Pénal prévoit des peines d’emprisonnement et le versement de dommages et intérêts aux utilisateurs.