Le RGPD et votre site internet

Quels sont les points à modifier sur votre site internet pour être en conformité avec la nouvelle loi sur le Règlement Général sur la Protection des Données (RGPD) qui entre en application le 25 mai 2018 prochain.

Traitez vous (vraiment) des données personnelles sur votre site internet ?

 

C’est la question essentielle que vous devez vous poser et à la quelle vous devez répondre.  Si la réponse est non alors la loi ne va pas s’appliquer, dans le cas inverse l’ensembles des obligations doivent être respectées.

C’est quoi une donnée personnelle ? Une donnée personnelle se caractérise par toute information identifiant directement ou indirectement une personne physique (ex. nom, n° d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…).

Dès lors qu’une entreprise européenne traite des données personnelles, elle est concernée par ce dispositif.

Les  règles à respecter pour être en conformité avec la loi

Privacy by design

En amont même de la réalisation du projet, dès les premières étapes de sa conception d’un site internet, la protection des données personnelles devra s’imposer comme une exigence, dans le cahier des charges. C’est le principe du Privacy by design, soit la protection dès la conception du projet, du service, du produit ou du système. Corrélativement, la règle de la sécurité par défaut devra être appliquée : toute entreprise concernée devra disposer d’un système sécurisé.

Le consentement 

Il est obligatoire de demander et d’obtenir le consentement de l’internaute pour collecter ses données.

Fini les cases précochées, les demandes de consentement qui valent pour tout et n’importe quoi ou celles noyées dans un flot indigeste de conditions générales que personne ne lit. Le RGPD redonne tout son sens au mot consentement. 

« Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale »

 

En pratique :  L’accord ne doit souffrir d’aucune ambiguïté. Vous devez donc avoir un bouton « Autoriser » et « Refuser » il est interdit d’utiliser une case – ou autre dispositif – autorisant par défaut la collecte (exemple : case déjà cochée). Les termes devant être claires compréhensibles.
Vous avez le droit de demander le consentement soit de manière globale, pour tous les services avec une page explicative de tous les services, soit de le faire un service à la fois.

 

Le RGPD stipule aussi que tout responsable de traitement puisse apporter la preuve du consentement de la personne qui aurait accepté un traitement.
Dans la pratique ce point n’est pas facile à mettre en ouvre, vous devez conserver la preuve du mieux que vous pouvez.

Le droit à l’oubli ou « droit à l’effacement »

L’article 17 du Règlement Général Européen sur la Protection des Données (RGPD) concernant le « droit à l’effacement » (aussi connu sous le nom de « droit à l’oubli »), permet aux individus de demander la suppression de leurs données personnelles aux entreprises qui les détiennent.

L’accès de l’utilisateur à ses données

Il est obligatoire pour le responsable des données de notifier ce droit, ainsi que le droit à la limitation dans l’utilisation des données et le droit de rectification des données. L’utilisateur a le droit d’accès permanent, et de contrôle sur ses propres données.

Concrètement on fait comment ?

Pas de panique ! Biper studio vous accompagne dans cette opération et peut adapter votre site en tenant compte des obligations imposées par le RGPD.

La partie technique va essentiellement consister à mettre en place le consentement de l’internaute, nous allons également devoir adapter avec vous les mentions légales de votre site internet.

La complexité va varier en fonction des données que vous collectez sur votre dispositif et de la technologie qui est utilisée. Par exemple, pour un site réalisé avec le CMS WordPress ou Prestashop il faudra également analyser les Plugins ou modules utilisés pour s’assurer qu’il soient conforme au RGPD.