LE RGPD : ce qu’il faut savoir pour éviter un contrôle de la CNIL

Nous vous proposons cet article pour mieux comprendre les enjeux du RGPD et vous aider à mieux cerner les actions qui vous incombent. Et si vous n’êtes pas familier de la procédure, nous vous expliquons en fin de page comment vos utilisateurs peuvent demander la suppression des données les concernant.

Qu’est-ce que le RGPD ?

L’acronyme RGPD désigne le nouveau règlement des données personnelles dans toute l’Europe. Il prolonge la Loi française Informatique et Libertés de 1978. Il donne la possibilité aux personnes physiques de mieux contrôler l’utilisation que font les sites internet de leurs données personnelles. Côté professionnels, il les enjoint à plus de responsabilités dans la manière d’utiliser ces données.
Le RGPD poursuit plusieurs objectifs importants :

• Il veut sensibiliser les entreprises aux traitements des données personnelles qu’elles récoltent. Par exemple en leur demandant de s’assurer qu’elles ne servent que l’objectif prévu. Il est donc interdit de les collecter « au cas où » elles pourraient servir un jour. L’objectif suivi par l’entreprise se doit d’être légal et légitime dans le cadre de son activité.
• Il cherche à uniformiser la règlementation de la protection des données à l’échelon européen.
• Il donne la possibilité aux citoyens de faire valoir leurs différents droits, comme le droit à l’oubli, le droit à l’accès et à la modification, le droit à la portabilité, etc…

A qui s’adresse le RGPD ?

Ce règlement s’adresse aux organisations qui récoltent des données personnelles (nom, prénom, âge, adresse, hobbies, n° client, photo, religion, données psychiques, économiques, sociales, etc…) dès lors qu’elles sont implantées dans l’Union européenne ou que leur activité s’intéresse aux citoyens européens. Les entreprises installées en dehors de l’UE qui collectent et traitent ces informations dans l’UE sont aussi soumises au RGPD.
Il concerne aussi les sous-traitants collectant des données pour le compte de ces organismes.

Les 8 bons réflexes que vous devriez adopter dès maintenant !

La pertinence

Parmi toutes les données, ne conservez que celles qui vous sont vraiment utiles. Pour cela, aidez-vous des questions suivantes : quel est l’objectif poursuivi ? Quelles données me sont nécessaires pour y parvenir ? La loi m’autorise-t-elle à collecter ces informations ? Les personnes ciblées peuvent-elles exprimer leur consentement ? A terme, cet effort de pertinence permet de réduire les coûts de collecte et de stockage.

La transparence

Ne cachez rien. Pour instaurer une relation de confiance forte avec les personnes dont vous récupérez les données, donnez-leur des informations claires et complètes : votre objectif et les conditions d’utilisation des données. N’oubliez pas de mentionner les modalités d’accès et de rectification.

Le respect des droits

Lorsqu’un internaute demande à consulter, rectifier ou supprimer ses données, montrez-vous réactifs. Sinon, il aura l’impression que vous laissez volontairement traîner les choses. Ou, pire, qu’il ne s’agit pour vous que d’un détail.
Sachez qu’un internaute qui vous donne son consentement un jour peut vous le retirer le lendemain.
En cas de contrôle de la Commission Nationale de l’Informatique et des Libertés (CNIL), on vous demandera de prouver que vous aviez bien reçu l’accord des personnes pour récolter des informations les concernant.
Une petite nuance qui vous concerne peut-être : les entreprises B2B ne sont pas dans l’obligation de recueillir le consentement, à condition que l’objectif de la collecte soit respecté (le consentement s’obtient généralement par le biais de cases cochées). Lorsqu’une entreprise mêle B2B et B2C, elle devra adapter son mode de traitement des données à chacune des deux situations. En pratique, cela pourrait se traduire par deux entrées distinctes sur son site.
Concernant les fameux cookies, eux aussi « subissent » les effets du nouveau règlement. Chacun d’entre eux doit annoncer clairement sa finalité, proposer aux utilisateurs le droit d’opposition et préciser que s’ils poursuivent leur navigation sur le site, ils acceptent de façon implicite le dépôt des cookies. Un bandeau d’information doit stipuler ces éléments et rester affiché à l’écran tant que l’utilisateur n’a pas poursuivi sa navigation.

La maîtrise

Ne partez pas dans tous les sens ! Lorsque vous partagez et faîtes circuler des données personnelles, ce doit être encadré et contractualisé. C’est le seul moyen de garantir une protection maximale à vos utilisateurs.

La gestion des risques

Certaines activités professionnelles amènent à traiter un volume de données conséquent. Il peut s’agir de données dites sensibles, ayant des conséquences bien particulières pour les individus. Quand on parle de données « sensibles », on fait référence à celles qui révèlent l’origine raciale ou ethnique d’un individu, ses opinions politiques, religieuses ou philosophiques, son appartenance à un syndicat, sa santé, son orientation sexuelle, ses données génétiques ou biométriques. Dans ces cas-là, des mesures spéciales peuvent s’appliquer.

La sécurité

Il est indispensable que vous sécurisiez les données que vous traitez. Ces mesures de sécurité, aussi bien informatique que physique, sont à adapter proportionnellement à la sensibilité des données et des risques qu’encourent les individus si un incident devait survenir.

Le référent

Pour appliquer le RGPD à la lettre, il est essentiel de nommer un délégué à la protection des données. Cette nomination revêt un caractère obligatoire lorsque l’organisation récolte et traite des données à large échelle, ou sensibles. Dans les autres cas, la nomination n’est que recommandée. La personne élue doit posséder un ensemble suffisant de connaissances techniques et juridiques. Il faut aussi que sa position hiérarchique lui permette d’être efficace.

La discrétion

Lorsque les conditions impliquent d’envoyer un même mail à un ensemble de personnes, il convient de mettre les adresses en « BBC ». Cela évite aux différents destinataires de voir son adresse s’afficher dans les boîtes mails de personnes inconnues. Avant d’envoyer ces mails, il convient de vérifier que les individus ont exprimé leur accord pour le recevoir. Idem pour l’envoi d’un SMS.

Comment les utilisateurs de votre site peuvent-ils faire valoir leur droit à l’effacement de leurs données ?

Le droit à l’effacement est mentionné dans l’article 17 du RGPD. Vous entendrez parler de lui sous les noms de « droit à l’oubli », ou encore « droit à l’oubli numérique ». Il autorise tout citoyen habitant dans l’Union européenne à demander l’effacement de ses données personnelles à un organisme ou une entreprise.
Les utilisateurs font souvent valoir ce droit lorsqu’ils ne souhaitent plus profiter des services qu’un site propose. Sur un site de e-commerce par exemple, un client peut demander la fermeture de son compte ainsi que l’effacement de toutes ses données.
Le droit à l’effacement n’est légitime que dans certains cas :

• Lorsque les données sont utilisées dans le cadre d’une prospection ;
• Lorsque les données ne correspondent plus à l’objectif initial, ou qu’elles ont fait l’objet d’un traitement qui n’était pas prévu ;
• Lorsque le propriétaire des données revient sur son accord quant au traitement des données ;
• Lorsque les données sont utilisées de manière illicite ;
• Lorsque les données collectées sont celles de mineurs ;
• Lorsqu’une obligation légale le demande expressément ;
• Lorsqu’une personne demande la suppression des informations le concernant et que, sans raison valable, l’organisme ne donne pas suite.

Le droit à l’effacement des données ne doit pas aller à l’encontre du respect d’une obligation légale, de la constatation, de l’exercice ou de la défense de droits en justice, présenter un intérêt majeur pour le domaine de la santé, de la recherche scientifique ou historique. Lorsque c’est le cas, vous n’êtes pas obligés d’effacer les données de vos utilisateurs, même s’ils vous en font expressément la demande. Le mieux à faire est de leur expliquer clairement la situation.

Pour faire valoir leurs droits, les utilisateurs de votre site doivent pouvoir joindre votre support facilement. Vous pouvez proposer cette action via l’un de ces trois intitulés : « Notre politique de vie privée », « Politique de confidentialité » ou encore « Mentions légales ».
Après, deux possibilités : leur proposer un formulaire à remplir, ou une adresse mail à laquelle ils pourront envoyer leur demande. Si vous optez pour la seconde solution, mentionnez à votre audience qu’elle doit préciser quelles données elle souhaite faire effacer. Toutes les données ne sont pas forcément concernées par la demande de suppression.

C’est à ce moment que votre écoute et votre réactivité feront la différence ! Sachez qu’en cas de réponse insatisfaisante, ou si vous ne répondez pas du tout, les internautes pourront saisir la CNIL. Si l’organisme constate des manquements de votre part, le Président de la CNIL vous recommandera des mesures à adopter dans un délai imparti.
Pour consulter le document officiel de 88 pages, rendez-vous à cette adresse.