« Règlement Général pour la Protection des Données personnelles » ou « RGPD » l’acronyme est sur toutes les lèvres. Et pour cause, le RGPD est entré en vigueur le vendredi 25 mai 2018. Ainsi, toute organisation, qu’elle soit privée ou publique collectant de la donnée personnelle (*) doit s’y conformer.
Mais en pratique, qu’est-ce que cela signifie, que dois-je faire exactement ? On vous explique en 7 étapes ce que nous avons mis en place avec les clients de notre agence Com6 Interactive.
Sommaire :
- Désigner un délégué à la protection des données
- Identifier les activités qui collectent de la donnée personnelle
- Créer un registre des activités
- Insérer des mentions spécifiques
- Insérer une action de consentement explicite
- Rédiger une page de confidentialité
- Assurer la sécurité des données personnelles
- Un outil pour vérifier sa mise en conformité
- Bonus : l’infographie récap’
1. Désigner un délégué à la protection des données (DPO : data protection officer)
Si vous êtes une entreprise privée qui ne récolte ni données sensibles (**) ni ne traite un grand nombre de données personnelles (il n’existe pas encore de seuil), bonne nouvelle ! Vous pouvez passer à l’étape suivante.
Par contre, si vous êtes un organisme public, attention ! le RGPD vous impose de désigner un délégué à la protection des données. La CNIL définit le DPO comme « un chef d’orchestre de la conformité en matière de protection des données au sein de son organisme » qui est principalement chargé :
- d’informer et de conseiller le responsable de traitement des données ou le sous-traitant, ainsi que leurs employés
- de contrôler le respect du règlement et du droit national en matière de protection des données
- de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
Mais pas de panique ! ni de pessimisme, c’est finalement une bonne nouvelle d’avoir une personne entièrement dédiée à la mise en place du nébuleux RGPD ! Pourtant, on vous le concède, en pratique, il peut être compliqué de mettre en place cette mesure. Mais voici une petite astuce : vous avez le droit de mutualiser cette ressource avec d’autres organismes publics, la CNIL vous le conseille même !
2. Identifier les activités qui collectent et utilisent des données personnelles (*)
Vous voici à la première étape du chemin RGPD (sauf si vous êtes un organisme public).
Votre premier objectif ? Recenser toutes les activités de votre organisation qui utilisent et/ou collectent des données personnelles.
A titre d’exemple :
- vous avez créé un formulaire de newsletter qui demande le nom et le prénom ainsi que l’adresse mail.
- Vous êtes en train de recruter, vous avez passé une annonce et vous récoltez des CV, lettres de motivation via un site internet
- Vous êtes en charge de la gestion de la paie dans votre entreprise, vous utilisez le nom, prénom, adresse et salaire de votre collaborateur
Une fois ces activités recensées, vous pouvez passer à l’étape suivante : consigner ces activités.
3. Créer un registre (***) de ces activités et rédiger une fiche qualificative pour chacune
Le registre des activités est obligatoire, c’est un inventaire de toutes les activités de l’organisation qui collectent et/ou utilisent des données personnelles. Il est composé de toutes les fiches descriptives d’activité. Ces fiches vont permettre de recenser les données personnelles utilisées et leur usage.
Mais alors que doit-on y faire apparaître ? La CNIL demande :
- La date de création de la fiche
- La date de mise à jour
- Le nom du responsable du traitement
- le ou les objectifs de cette activité
- les catégories de personne concernées par cette collecte
- la catégorie des données collectées
- la durée de conservation des catégories de données
- la catégorie de destinataires des données
- si vous transférez les données hors UE
- les mesures de sécurité
Dans le but de vous accompagner, la CNIL a mis à votre disposition un document type. Et afin de vous aider également, nous vous proposons un exemple de fiche complétée par notre agence Com6 interactive pour la diffusion d’offres d’emploi sur le site internet d’un client.
Attention, désormais chaque donnée collectée doit être nécessaire à votre activité. En effet, le temps des « je récupère des données en prévision de » est révolu. Désormais, vous devez justifier votre collecte.
Avec cette restriction, vous pourriez avoir l’impression que vous allez perdre de l’information. En réalité, ce tri vous aidera à requalifier vos données collectées pour en faire un meilleur usage.
Qu’en est-il des données dites « sensibles » ? (**)
Ici, le recensement se complique. En effet, certaines données sont considérées comme sensibles. C’est le cas des données santé notamment. En conséquence, elles doivent faire l’objet de ce que la CNIL appelle « une analyse d’impact spécifique ».
Si vous n’êtes pas un expert de la protection de données, la CNIL vous recommande de prendre contact avec un conseiller afin de vous accompagner. Vous pouvez retrouver des informations spécifiques sur le site de la CNIL :
- Ce qu’il faut savoir sur l’analyse d’impact
- l’analyse d’impact et le RGPD
- un logiciel pour réaliser son analyse d’impact
4. Insérer des mentions spécifiques pour chaque traitement des données
A cette étape, vous avez fait le plus gros du travail ! Vous avez recensé et consigné toutes vos activités, vous avez désormais une vision d’ensemble de ce que vous récoltez.
De façon à vous mettre en conformité avec le règlement, vous avez désormais l’obligation d’informer vos utilisateurs de chaque traitement des données que vous allez effectuer. Par conséquent, chaque collecte doit expliquer via des mentions :
- ce que vous collectez : mail, adresse, âge
- dans quel but et quel objectif : exemple recevoir la lettres d’informations, recevoir des offres promotionnelles
- le processus de désinscription, d’oubli, d’effacement des données
- qui a accès aux données
- combien de temps elles seront conservées
- ce qui est effectué pour les sécuriser
Un petit conseil : afin d’éviter de noyer votre utilisateur dans des mentions juridiques indigestes, vous pouvez donner un premier niveau d’information seulement (les points 1, 2 et 3 par exemple) et renvoyer vers votre page de politique de confidentialité. La CNIL vous propose en plus des modèles adaptés à votre secteur d’activité.
Ici le site d’un de nos clients qui a mis à jour son module newsletter
5. Insérer une action de consentement explicite
Le RGPD impose d’être en mesure de justifier du consentement de l’utilisateur sur le traitement et la collecte de ses données. Votre utilisateur doit donc savoir ce qui va être fait de ses données et doit l’accepter explicitement.
Explicite, c’est le mot essentiel ! Le consentement ne doit pas être ambigu. Terminé les cases pré-cochées ou les phrases « en vous inscrivant, vous acceptez de recevoir notre newsletter et des offres promotionnelles ». Vous devez avoir l’accord de votre internaute.
Exemple de bonnes pratiques :
- J’accepte de recevoir la newsletter mensuelle de la compagnie X
- J’accepte de recevoir occasionnellement des offres promotionnelles
Crédit et source : Codeur.com
Notre article « cas pratique » vous aidera à mieux comprendre vos obligations. Vous pouvez le consulter sur le blog
N’oubliez pas de garder une trace de ce consentement dans vos documents. Il pourra vous être demandé.
6. Rédiger une page concernant votre politique de confidentialité
Cette page est essentielle et rendue obligatoire par le RGPD. Elle doit figurer sur votre site internet, de façon lisible et accessible. A cet effet, nous vous recommandons de l’insérer dans le pied de page afin d’y accéder depuis toutes les pages. Opquast approuve d’ailleurs cette pratique.
Cette page comporte toutes les informations juridiques obligatoires que vous avez renseignées dans vos fiches activité :
- Données récoltées
- Dans quel Objectif
- Comment gérer mes données
- Durée de conservation
- Qui traite ces données
A titre d’exemple, vous pouvez retrouver un modèle fourni par Numérique et veille
Egalement, pour vous faciliter le travail, wordpress a également développé un module qui vous propose une page pré-rédigée à remplir selon vos besoins. Il ajoute également un module d’export des données afin d’effacer les données personnelles si votre utilisateur vous le demande.
7. Assurer la sécurité des données personnelles collectées
Les données personnelles représentent une mine d’informations. Vous avez donc l’obligation de les protéger. De petites actions peuvent vous aider :
- mise à jour régulières des logiciels
- changement et utilisation de mots de passes complexes
- chiffrement des données, sécurisation des serveurs.
Pour cette raison, pensez à bien vérifier avec votre service informatique que vos serveurs sont fiables et sécurisés. Si ce n’est pas le cas, réunissez vos techniciens afin d’améliorer cela. N’oubliez pas que dans le registre de collecte demandé par le RGPD, vous devez justifier des mesures de sécurité mises en place.
Si par malheur, vous avez subi une attaque, vous êtes dans l’obligation de déclarer le vol des données à la CNIL dans les 72 heures. Vous devez par ailleurs informer vos utilisateurs si l’intrusion représente un risque pour leur protection.
Alors ? vous êtes convaincus par le RGPD ?
7 actions, 7 mesures qui vous aideront à mettre en place ce vilain RGPD. Pas de panique tout de même, La CNIL a expliqué qu’elle resterait « indulgente les premières semaines de l’application afin de permettre aux organisations de se mettre en conformité ». Vous ne devriez donc pas être sanctionné si une des étapes est manquante, surtout si vous faites preuve de bonne volonté ! Vous pouvez retrouver ici une checklist qui vous permettra de vérifier votre mise en conformité https://rgpd-tools.in-one.app/ .
Vous êtes toujours un peu perdus ?
On vous a préparé un cas concret afin de vous aider à mettre en pratique.
Bonus : Une infographie récapitulative sur le RGPD
Pour ceux qui sont arrivés jusqu’au bout, nous avons préparé une infographie récap’ !
(*) On le rappelle une donnée personnelle est définie par la CNIL comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Concrètement, une donnée personnelle est ce qui permet de vous différencier : votre nom, votre prénom, votre adresse, votre CV, votre adresse IP, votre photo, votre n° client, etc.
(**) Les données sensibles sont des informations concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.
(***) Le registre est placé sous la responsabilité du dirigeant de l’entreprise. Il vous permettra d’avoir une vue d’ensemble des traitements des données réalisés en entreprise.
Sources
- https://www.presse-citron.net/de-nouvelles-fonctionnalites-sur-wordpress-aident-se-conformer-au-rgpd/
- https://www.journaldunet.com/solutions/expert/68952/wordpress—10-extensions-de-conformite-rgpd–gdpr.shtml
- https://www.whodunit.fr/wordpress-4-9-6-et-la-conformite-rgpd/
- https://wpmarmite.com/rgpd-wordpress/
- https://www.blogdumoderateur.com/wordpress-4-9-6-rgpd/
- https://www.blogdumoderateur.com/encore-un-email-sur-le-rgpd/
- https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf
- https://www.blogdumoderateur.com/rgpd-juristes-accompagner-entreprises/