- Qu’est-ce qu le RGPD ?
- Quelles sont les règles du RGPD ?
- Le RGPD et le tri des données personnelles.
- Respecter les droits des utilisateurs
- Sécurisation des données personnelles
Qu’est-ce que le RGPD ?
Le RGPD, signifiant « Règlement Général de la Protection des Données », a été mis en place par le Parlement européen le 27 avril 2016. Il a pour but d’encadrer le traitement des données personnelles dans les pays de l’union européenne. Les informations qualifiées de « données personnelles » regroupent l’identité, le numéro de téléphone, l’image, les éléments culturels, sociaux, économiques, etc. En somme, celles permettant d’identifier une personne physique. En France, la CNIL est chargée de veiller à son application.
Quelles sont les règles du RGPD ?
1/ Avec le RGPD, tout commence par la collecte des données.
L’obtention d’un consentement pour l’application des cookies est obligatoire. Le « bandeau », ou pop-up (petite fenêtre qui apparaît après le défilement du contenu), dédié à leur paramétrage doit être accessible depuis n’importe qu’elle page de votre site internet afin que l’utilisateur puisse décider de lui-même quels sont les cookies à appliquer. Par contre, les cookies nécessaires au fonctionnement du site internet ne sont pas soumis à la décision de l’utilisateur.
Bien souvent récupérées par le biais d’un outil de gestion des cookies, aussi appelé « Cookies Management Platform », les informations devront être traitées par une personne de votre entreprise. Car il faut savoir que ces petits fichiers peuvent mesurer l’audience d’un site internet, mais aussi réunir des éléments comme un panier d’achats, la langue d’affichage, la géolocalisation, un identifiant de connexion, ou encore retracer le cheminement de votre navigation.
Si vous utilisez des outils tel que Google Analytics, ou l’équivalent, vous devez être en mesure de respecter le choix de l’utilisateur et de bloquer l’application du script si nécessaire. C’est pour quoi une page sur la politique de confidentialité doit être également disponible sur votre site internet permettant à l’internaute de consulter le type de cookies utilisés et dans quel but.
Le collaborateur, sensibilisé aux enjeux de la protection des données, sera donc chargé de tenir un registre comportant des fiches par activités recensées : le nom et les coordonnées de ce dernier ainsi que de ses adjoints le cas échéant, les personnes susceptibles d’avoir accès aux données, la classification des personnes concernées et des informations utilisées (exemple : religion, numéro de téléphone, etc.), les actions menées en terme de sécurité (exemple : gestion des mots de passe), la transmission de données personnelles en dehors de l’union européenne, et la période durant laquelle seront conservées les informations. pour aller plus loin dans le traitement du registre, vous pouvez consulter cet article.
2/ Le RGPD et le tri des données personnelles.
Il est judicieux de vérifier si l’information collectée correspond au besoin ciblé. Prenons un exemple exagéré : si vous êtes une association sportive, l’orientation politique de l’individu ne vous sert en rien. Elle n’est pas pertinente et ne doit pas faire partie des informations collectées. Ceci est à prendre en compte dans le cas où vous mettriez en place un formulaire de contact. D’ailleurs, vous devez intégrer un lien vers vos conditions d’utilisation dans vos formulaires.
Ensuite, vous avez des données personnelles plus sensibles que d’autres, notamment lorsqu’il s’agit d’enfants, d’adolescents, et de leur santé. Ces dernières doivent être classifiées autrement et surtout stockées dans un espace sécurisé. Idem pour les informations liées à l’état civil. Elles devront être accessibles uniquement par le personnel habilité.
Pour finir, la durée de conservation des données personnelles. Comme indiqué précédemment, une période de conservation doit être définie, indiqué à l’utilisateur par le biais de la politique de confidentialité. Le suivi est donc primordial afin de ne pas dépasser la date butoir et d’être en mesure de renseigner les informations détenues le concernant.
3/ Le RGPD c’est aussi respecter les droits des utilisateurs
À partir du moment où des données personnelles sont collectées, et ce même à l’oral, la personne doit être averti en toute transparence des conditions d’utilisation des informations la concernant. C’est également le moyen de rappeler la bonne tenue d’un registre. Votre responsabilité est d’octroyer aux utilisateurs la possibilité d’appliquer leurs droits, comme:
- le droit de rectification (modification des données enregistrées),
- le droit d’effacement (suppression intégrale des données),
- le droit à la limitation (gèle l’utilisation des données),
- le droit à la portabilité (envoie des informations détenues sur la personne),
- le droit d’opposition (refuse d’utilisation des données),
- et le droit d’accès (accès aux informations collectées sur la personne).
4/ La sécurisation des données personnelles
Cette étape comporte la mise en place des mesures de sécurité afin d’assurer la protection des données. Selon leur classement, sensible à très sensible, des moyens cohérents en fonction des risques doivent être appliqués.
Parmi ces risques, il en existe trois : un accès aux données par une personne non habilité, la modification des informations non souhaitée, ou leur disparition.
La mesure la plus élémentaire est déjà d’avoir des installations sécurisées. Est-ce que vos postes de travail sont sécurisés (mot de passe fort, antivirus) ? Avez-vous programmez des sauvegardes afin de récupérer les données en cas d’intrusion ?
En tout cas, si vous souhaitez mettre votre site internet en conformité avec le RGPD ou que vous souhaitez nous consulter après une violation de données, n’hésitez pas à nous contacter.
