RGPD – Partie 1 : Le RGPD, tous concernés : comment mettre votre site web en conformité ?
Le RGPD – Retours aux sources & rappels
RGPD, données personnelles… qu’est-ce-que ça veut dire ?
RGPD, c’est l’abréviation de “Règlement Général sur la Protection des Données”.
Depuis 2018, ce règlement encadre le traitement des données à caractère personnel dans l’ensemble des pays de l’Union Européenne.
- Son objectif ?Préserver l’anonymat et la vie privée des citoyens européens sur le web.
- Ses méthodes?Le recensement, l’encadrement et la protection des données personnelles des internautes.
Le RGPD définit un cadre juridique unique pour les structures disposant d’un site web ou d’outils numériques. Entreprises, collectivités… Le cadre défini par le RGPD permet à chaque structure de développer son activité en conformité sur la base de la confiance des utilisateurs et le partage consenti de leurs données personnelles.
Une donnée à caractère personnel, qu’est-ce-que c’est ?
“Toute information relative à une personne physique qui peut être identifiée directement ou indirectement”.
CNIL (Commission nationale de l’informatique et des libertés, organisme d’autorité en la matière)
Autrement dit, une donnée personnelle correspond à toute information permettant de retrouver l’identité d’une personne, directement ou par croisement avec d’autres données.
Par exemple, le nom et prénom d’un utilisateur sont des données d’identification directe : on peut retrouver et reconnaître une personne en utilisant ces 2 informations.
À contrario, certaines données nécessitent d’être croisées ou approfondies pour retrouver l’identité de la personne à qui elles correspondent, comme une adresse postale, une adresse IP ou mail, un numéro de téléphone, un identifiant (de connexion / matricule…).
Comment sont recueillies les données personnelles des utilisateurs d’un site ?
Sondages et enquêtes, formulaire d’acquisition client ou de satisfaction, outils de suivi de fréquentation de site, de tracking et autres outils marketing… Les voies de collecte de données sont nombreuses, et tendent à se diversifier à chaque évolution technologique !
Quelques exemples pour y voir plus clair, dans le concret d’un site web :
- Moyens directs : Formulaire de contact, de création de compte, d’inscription à un service (Newsletter, Alertes mails, E-commerce…)
- Moyens indirects : Cookies de Google Analytics, Google Tag Manager, Google Maps, Facebook Pixel, Recaptcha, etc.
Réflexes et bonnes pratiques de conformité RGPD
Vous souhaitez mettre votre site web en conformité avec le RGPD, mais ne savez pas par où commencer ? Nous vous livrons quelques bons réflexes à prendre dans votre démarche de mise en conformité.
Les principes de base ?Transparenceet respect, pour un maximum de confiance !
Les 3 règles d’or du RGPD à retenir :
- Informer les utilisateurs
- S’assurer de leur consentement
- Leur laisser le contrôle sur leurs données (rectification ou anonymisation, par exemple)
Recenser et définir les collectes de données personnelles sur votre site
Première étape : l’état des lieux !
L’objectif est de connaître les données récoltées dans le cadre de vos activités.
Sur votre site internet, recensez les éléments recueillant des données à caractère personnel de vos utilisateurs. Faîtes le tour de vos formulaires, services nécessitant une inscription… et de vos outils de marketing (suivi de fréquentation, qualification d’audience, acquisition client, tracking, etc.) !
Deuxième étape : l’analyse (… et la remise en question) !
Pour chaque donnée récoltée, essayez de répondre à ces 5 questions clés :
- Quoi ? De quel type de données s’agit-il ? Une donnée publique ? Personnelle, voire sensible ?
- Qui ? – Qui gère la récolte et le traitement des données ?
- Où ? – Où sont traitées et stockées ces données ? En France (au mieux), en Europe… ou hors UE ?
- Combien de temps ? Pendant combien de temps auriez-vous besoin de ces données personnelles ?
Et la dernière mais pas des moindres…
- Pourquoi ? Pourquoi avez-vous besoin de ces données ? Ont-elles une réelle importance dans votre stratégie ?
Cette dernière question vous permettra probablement de faire un tri dans vos données, pour ne conserver que les données personnelles les plus importantes pour votre activité. L’idée clé : le moins, le mieux ! Car la meilleure façon d’être en conformité avec le RGPD … est encore de ne pas recueillir de données (ou du moins de les limiter et de les protéger) 😉
Informer vos utilisateurs sur les données personnelles récoltées pour votre activité
Vous avez recensé et qualifié les données récoltées dans le cadre de vos activités ? Parfait ! Vous devez maintenant être en mesure d’informer vos utilisateurs sur l’utilisation de ces données.
3 endroits à retenir pour informer vos utilisateurs sur la collecte de leurs données :
- La page de Politique de Confidentialités & d’utilisation des données – Elle vous permettra de retracer toutes les mesures prises pour respecter et protéger les droits de vos utilisateurs (protection & anonymisation des données, voies d’opposition…). C’est d’ailleurs un bon endroit pour leur rappeler leurs droits (accès, rectification, opposition et effacement de leurs données).
- Le bandeau Cookies – pour recueillir le consentement des utilisateurs, en leur permettant d’accepter, de refuser ou de modifier leur choix en toute simplicité, lors de la visite d’une page web. Avec un peu de créativité et de personnalisation, ce bandeau obligatoire peut même devenir un petit plus design pour votre site !
- La page où se trouve un formulaire récoltant des données personnelles (généralement sous le formulaire lui-même).
RGPD & Consentement : laisser le choix à vos utilisateurs de refuser le recueil de leurs données personnelles
Avec la transparence, leconsentementest le pilier fondamental du RGPD. Il est donc essentiel de laisser vos utilisateurs l’exercer ou le retirer à tout instant, tout au long de leur navigation.
Comment s’assurer du consentement des utilisateurs de votre site web ?
- En les informant le plus clairement possible, tout au long de leur navigation.
- En disposant d’un bandeau cookies à jour, avec la possibilité de personnaliser, d’accepter mais aussi de refuser l’ensemble des cookies d’un site, en un clic !
- En leur offrant une voie de recours (formulaire de réclamation), pour exercer leur droit à la rectification, au déréférencement ou à l’effacement (ou droit à l’oubli) de leurs données.
Exemple concret ?
WS a récemment accompagné le Ministère de la transformation et de la fonction publique dans sa démarche de mise en conformité RGPD, sur le site Safire.
Notre objectif : concevoir un process permettant aux agents de la fonction publique d’exercer leurs droits sur leurs données personnelles, tout en conservant des statistiques internes de qualité.
Résultat : un formulaire d’opposition à l’utilisation des données personnelles des agents de la fonction publique, et une procédure d‘anonymisationcomplète pour répondre à ces demandes. Le tout en conservant les données nécessaires pour le reporting de suivi des formations internes à la fonction publique ! Parce que respecter les droits de vos utilisateurs ne sonne pas la fin de vos statistiques. 😉
Et vous, qu’attendez-vous pour vous mettre en conformité avec le RGPD ?Pour en savoir plus, rendez-vous sur le site de la CNIL ou auprès de votre agence web préférée !