RGPD : Acronyme de Règlement Général sur la Protection des Données. Il encadre les traitements des données personnelles sur le territoire de l’Union Européenne.
Ce règlement européen s’inscrit dans la continuité de la Loi française informatique et Liberté de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
développer leurs activités numériques au sein de l’Union Européenne en se fondant sur la confiance des utilisateurs.
Sources : La CNIL.
Qui est concerné par le RGPD ?
Le règlement s’applique à toutes les organisations publiques et privées qui traitent des données personnelles pour leur compte, ou non. Dès lors qu’elle soit établie sur le territoire de l’Union Européenne ou que son activité cible des résidents européens.
Il concerne également les sous-traitants qui traient les données personnelles pour le compte d’autres organismes.
Qu’est-ce qu’un traitement de données personnelles ?
Il s’agit d’une opération ou ensemble d’opérations portant sur les données personnelles, qu’importe la manière utilisée (collecte, enregistrement, organisation, conservation, etc.).
Le traitement doit, par conséquent, avoir un but, un objectif ou une finalité. Il n’est donc pas possible de collecter indéfiniment des données personnelles « juste au cas où ». Afin d’être légale et légitime, chaque traitement de données personnelles doit être associé à un objectif.
Par exemple, si vous collectez plusieurs informations concernant un client, lorsque vous livrez le produit, faite une facture détaillée et proposez une carte de fidélité. L’objectif ici porterait sur la gestion de la clientèle.
Les obligations RGPD pour les sites vitrines
Informations d’identification
Pour les entrepreneurs individuels :
- Nom et prénom
- Adresse du domicile ou de l’entreprise
- Numéro de téléphone
- Adresse e-mail
- Nom du directeur de publication
- Hébergeur : nom + adresse + numéro de téléphone
Pour les sociétés :
- Dénomination sociale ou raison social
- Adresse du siège sociale
- Numéro de téléphone
- Adresse e-mail
- Nom du directeur de publication
- Hébergeur : nom + adresse + numéro de téléphine
- Forme juridique (SA-SAS-SARL etc.)
- Capital social
Informations sur l’activité
Notamment sur les types d’activités : commerciale, artisanale ou réglementée.
Informations sur les Cookies
Les responsables du traitement de données doivent :
- Donner la finalité des Cookies
- Obligatoirement obtenir le consentement de l’utilisateur
- > Il peut y avoir la possibilité de créer une page ou un lien de page dédiée aux cookies, ou à défaut, vers une page de politique de confidentialité si les informations y sont requises.
Les mentions des données personnelles
Pour que les mentions légales soient conformes au RGPD, il faut que ces points apparaissent :
- Coordonnées DPO (délégué à la protection des données)
- Finalité des recueils des données
- Destinataires des données personnelles
- Droit d’opposition, d’accès et rectification
- Mention du droit de déposer une réclamation auprès de la CNIL
Toutes ses informations détaillées sont consacrées aux données personnelles qui doivent être affichées sur la page de la Politique de Confidentialité. Par ailleurs, il est vivement apprécié d’y joindre un lien direct à la page des mentions légales.
Quand est-il des sites non-professionnels ?
Les sites professionnels, quant à eux, ne sont pas utilisés à des fins commerciales, ils n’exercent pas dans le but de promouvoir une activité ou de générer des revenus en lignes.
Dans ce cas précis, les mentions sont beaucoup moins détaillées, mais restent obligatoires.
Informations sur l’identification
Les sites non-professionnels peuvent permettre aux utilisateurs de rester anonymes. A ce même titre, il en est de même pour les données personnelles ainsi que pour l’hébergeur du site :
- Hébergeur : nom + adresse + numéro de téléphone
Informations sur les Cookies
Pour que les mentions légales soient conformes au RGPD, il faut que les sites non-pressionnels respectent ces points similaires aux sites e-commerçants :
- Coordonnée DPO
- Finalité des recueils des données
- Destinataires des données personnelles
- Droit d’opposition, d’accès et rectification
- Mention du droit de déposer une réclamation auprès de la CNIL
Les mentions légales optimisées sur WordPress ?
Comme la majorité des générateurs de mentions légales, WordPress propose ce même service, mais avec un petit plus ! Contrairement à la plupart des générateurs, ce CMS met directement en page le code HTML généré en même temps que les mentions légales !
On obtient des « blocs » de texte et de codes déjà paramétrés, il vous suffit simplement de remplir les champs à renseigner et à les rectifier selon vos besoins. Cette utilisation du générateur est complètement gratuite.
Informer les visiteurs du site
Le responsable du traitement a une obligation d’information envers les personnes concernées, à savoir, les internautes et utilisateurs. C’est pourquoi, toutes les informations présentes sur le site internet, charte, mentions légales, informations, doivent être claires et précises !
X Actions à mener sur un site vitrine X
Vous pouvez intégrer un bandeau d’information sur votre site web. Ce dernier peut comporter les informations sur l’usage des cookies sur le site. Le cas échéant, donnez la possibilité au visiteur de donner (ou non) son consentement. Ce bandeau doit être présent sur la page jusqu’à l’interaction de l’internaute.
S’il y a un formulaire pour les données personnelles ?
SI le site comporte un formulaire (type contact, demande devis, demande de rendez-vous etc.), alors il vous faut adopter les formulations afin de respecter les obligations d’information et de recueil de consentement de la part du visiteur.
X Actions à mener sur un site vitrine X
En bas du formulaire, vous pouvez intégrer un texte explicatif qui reprend le traitement des informations et des données personnelles. Par exemple, un récupérateur de consentement par le biais d’une case à cocher.
Avoir un site sécurisé
Le responsable de traitement doit absolument s’assurer que le site vitrine doit être suffisamment sécurisé pour les utilisateurs. Il doit également être conforme au principe d’intégrité et de confidentialité.
X Actions à mener sur un site vitrine X
Le site doit respecter le protocole HTTPS. Le créateur et le responsable doivent veiller à ce que les collaborateurs, qui ont également accès à des données personnelles, respectent les dispositions du règlement mis en place.
Le CMS utilisé doit lui aussi être à jour et conforme.
Les responsabilités des données personnelles
La possession d’un site engendre certaines responsabilités. Le RGPD en impose également. Notamment imposer au responsable du traitement de prendre les mesures nécessaires afin de démontrer la conformité du règlement ainsi que les dispositions mises en place.
L’une des nouveautés de la RGPD est le principe de « accountability ».
X Actions à mener sur un site vitrine X
Vous pouvez réaliser un inventaire des traitements mis en œuvre sur le site. Il est pertinent de cartographier les mesures prises pour un traitement conforme ; c’est-à-dire, avoir des éléments de preuve de conformité en cas de contrôle.
Les obligations RGPD pour les sites e-commerces
Contrairement aux sites vitrine, les sites e-commerces génèrent plus de données personnelles et demandent beaucoup plus de vigilance de la part du responsable du traitement de toutes ces données.
L’Honnêteté et la transparence du traitement des données personnelles
Le responsable des traitements doit fournir à l’internaute une information complète et claire sur ce que va « décevoir » toutes ses informations personnelles. Tout doit être fait et se baser sur une base de données légale et consentie. Hormis le consentement de l’utilisateur, il existe 5 autres bases légales qui permettent de justifier les traitements des données des internautes :
- L’exécution d’un contrat
- L’obligation légale
- L’exécution d’une mission publique
- L’intérêt vital
- L’intérêt légitime
Limiter et minimiser les finalités des données
En cas de toute évolution des finalités de ces données, la personne concernée (l’internaute) doit obligatoirement être informée afin d’obtenir son consentement qui doit être à nouveau traité. En somme, qu’importe la situation, le tout doit être compatible et conforme entre l’utilisateur et les informations données.
Pour faciliter et rendre plus efficace le traitement de ces données personnelles, la personne en charge des traitements doit jauger la pertinence des données collectées pour son site e-commerce, à savoir si ces dernières sont véritablement utiles et nécessaires à son activité.
Par conséquent, toute donnée récoltée par le responsable doit être exacte et à jour selon les conditions de conformités.
La sécurité des données : la confidentialité
Les données doivent être traitées de manière à ce que l’on leur garantie une sécurité irréprochable et adaptée.
Les transactions et toute autre opération liée à l’e-commerce doivent être faites par l’e-commerçant qui en assure la protection, la sécurité et la confidentialité.
Par exemple, la conservation des données bancaires qu’il conserve seulement avec l’accord de l’internaute. Par conséquent, il doit garantir une transaction sécurisée et sans risque en prenant les mesures nécessaires afin que les informations personnelles enregistrées du client soient protégées.
- La durée de conservation des données est à prendre en compte !
Les informations ne doivent pas être stockées infiniment dans la base de données du site du commerçant. Cette durée doit être définie et être précise. Dans ce cas, la CNIL peut proposer des durées de conservations maximales dont l’e-commerçant ou responsable du traitement afin de s’en inspirer pour déterminer les durées qu’il traite.
X Actions de conformité X
- Définir la finalité du traitement
- Traiter les données nécessaires pour atteindre les objectifs
- Vérifier la mise à jour des données
- Limiter la durée de conservations des données personnelles aux personnes sur le traitement
- Éviter les croisement de données
- Mettre en place un système d’identification et d’authentification (mot de passe)
- Créer une page sur la confidentialité et des gestions des données
Les droits des personnes
Le responsable et/ou l’e-commerçant doit prendre en compte tous les différents droits lors des traitements des données personnelles sur son site e-commerce :
- Le droit d’être informé
- Le droit de suppression
- Le droit de rectification
- Le droit à l’accès
- Le droit de s’opposer
Ainsi que de nouveaux droits :
- Le droit à la portabilité
- Le droit à l’effacement
- Le droit à la limitation du traitement
- Le droit de ne pas faire l’objet d’une décision résultant d’un traitement automatisé
Les collaborateurs
La notion de co-responsabilité a été instaurée dans le nouveau règlement pour faciliter, au responsable du site e-commerce, le traitement des données personnelles qui seront traitées par un collaborateur ou un sous-traitant.
La mise en place de la sécurité des données y est donc primordiale.
- Les responsables doivent donc faire attention au choix des collaborateurs et partenaires pour leur conformité.
