Les obligations RGPD et les données personnelles

Ecrire pour le web

RGPD : Acronyme de Règlement Général sur la Protection des Données. Il encadre les traitements des données personnelles sur le territoire de l’Union Européenne.
Ce règlement européen s’inscrit dans la continuité de la Loi française informatique et Liberté de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
développer leurs activités numériques au sein de l’Union Européenne en se fondant sur la confiance des utilisateurs.

Sources : La CNIL.

Qui est concerné par le RGPD ?

Le règlement s’applique à toutes les organisations publiques et privées qui traitent des données personnelles pour leur compte, ou non. Dès lors qu’elle soit établie sur le territoire de l’Union Européenne ou que son activité cible des résidents européens.
Il concerne également les sous-traitants qui traient les données personnelles pour le compte d’autres organismes.

Qu’est-ce qu’un traitement de données personnelles ?

Il s’agit d’une opération ou ensemble d’opérations portant sur les données personnelles, qu’importe la manière utilisée (collecte, enregistrement, organisation, conservation, etc.).

Le traitement doit, par conséquent, avoir un but, un objectif ou une finalité. Il n’est donc pas possible de collecter indéfiniment des données personnelles « juste au cas où ». Afin d’être légale et légitime, chaque traitement de données personnelles doit être associé à un objectif.

Par exemple, si vous collectez plusieurs informations concernant un client, lorsque vous livrez le produit, faite une facture détaillée et proposez une carte de fidélité. L’objectif ici porterait sur la gestion de la clientèle.

Les obligations RGPD pour les sites vitrines

Logo de cadenas de sécurité sur fond bleu.

Informations d’identification

Pour les entrepreneurs individuels :

  • Nom et prénom
  • Adresse du domicile ou de l’entreprise
  • Numéro de téléphone
  • Adresse e-mail
  • Nom du directeur de publication
  • Hébergeur : nom + adresse + numéro de téléphone

Pour les sociétés :

  • Dénomination sociale ou raison social
  • Adresse du siège sociale
  • Numéro de téléphone
  • Adresse e-mail
  • Nom du directeur de publication
  • Hébergeur : nom + adresse + numéro de téléphine
  • Forme juridique (SA-SAS-SARL etc.)
  • Capital social

Informations sur l’activité

Notamment sur les types d’activités : commerciale, artisanale ou réglementée.

Tableau regroupant toues les informations sur les activités commerciales, artisanales et réglementées, sur les obligations RPGD ainsi que les données personnelles.

Informations sur les Cookies

Les responsables du traitement de données doivent :

  • Donner la finalité des Cookies
  • Obligatoirement obtenir le consentement de l’utilisateur
    • > Il peut y avoir la possibilité de créer une page ou un lien de page dédiée aux cookies, ou à défaut, vers une page de politique de confidentialité si les informations y sont requises.

Les mentions des données personnelles

Pour que les mentions légales soient conformes au RGPD, il faut que ces points apparaissent :

  • Coordonnées DPO (délégué à la protection des données)
  • Finalité des recueils des données
  • Destinataires des données personnelles
  • Droit d’opposition, d’accès et rectification
  • Mention du droit de déposer une réclamation auprès de la CNIL

Toutes ses informations détaillées sont consacrées aux données personnelles qui doivent être affichées sur la page de la Politique de Confidentialité. Par ailleurs, il est vivement apprécié d’y joindre un lien direct à la page des mentions légales.

Quand est-il des sites non-professionnels ?

Les sites professionnels, quant à eux, ne sont pas utilisés à des fins commerciales, ils n’exercent pas dans le but de promouvoir une activité ou de générer des revenus en lignes.

Dans ce cas précis, les mentions sont beaucoup moins détaillées, mais restent obligatoires.

Informations sur l’identification

Les sites non-professionnels peuvent permettre aux utilisateurs de rester anonymes. A ce même titre, il en est de même pour les données personnelles ainsi que pour l’hébergeur du site :

  • Hébergeur : nom + adresse + numéro de téléphone

Informations sur les Cookies

Pour que les mentions légales soient conformes au RGPD, il faut que les sites non-pressionnels respectent ces points similaires aux sites e-commerçants :

  • Coordonnée DPO
  • Finalité des recueils des données
  • Destinataires des données personnelles
  • Droit d’opposition, d’accès et rectification
  • Mention du droit de déposer une réclamation auprès de la CNIL

Les mentions légales optimisées sur WordPress ?

Comme la majorité des générateurs de mentions légales, WordPress propose ce même service, mais avec un petit plus ! Contrairement à la plupart des générateurs, ce CMS met directement en page le code HTML généré en même temps que les mentions légales !

On obtient des « blocs » de texte et de codes déjà paramétrés, il vous suffit simplement de remplir les champs à renseigner et à les rectifier selon vos besoins. Cette utilisation du générateur est complètement gratuite.

Informer les visiteurs du site

Le responsable du traitement a une obligation d’information envers les personnes concernées, à savoir, les internautes et utilisateurs. C’est pourquoi, toutes les informations présentes sur le site internet, charte, mentions légales, informations, doivent être claires et précises !

X Actions à mener sur un site vitrine X

Vous pouvez intégrer un bandeau d’information sur votre site web. Ce dernier peut comporter les informations sur l’usage des cookies sur le site. Le cas échéant, donnez la possibilité au visiteur de donner (ou non) son consentement. Ce bandeau doit être présent sur la page jusqu’à l’interaction de l’internaute.

S’il y a un formulaire pour les données personnelles ?

SI le site comporte un formulaire (type contact, demande devis, demande de rendez-vous etc.), alors il vous faut adopter les formulations afin de respecter les obligations d’information et de recueil de consentement de la part du visiteur.

X Actions à mener sur un site vitrine X

En bas du formulaire, vous pouvez intégrer un texte explicatif qui reprend le traitement des informations et des données personnelles. Par exemple, un récupérateur de consentement par le biais d’une case à cocher.

Avoir un site sécurisé

Le responsable de traitement doit absolument s’assurer que le site vitrine doit être suffisamment sécurisé pour les utilisateurs. Il doit également être conforme au principe d’intégrité et de confidentialité.

X Actions à mener sur un site vitrine X

Le site doit respecter le protocole HTTPS. Le créateur et le responsable doivent veiller à ce que les collaborateurs, qui ont également accès à des données personnelles, respectent les dispositions du règlement mis en place.

Le CMS utilisé doit lui aussi être à jour et conforme.

Les responsabilités des données personnelles

La possession d’un site engendre certaines responsabilités. Le RGPD en impose également. Notamment imposer au responsable du traitement de prendre les mesures nécessaires afin de démontrer la conformité du règlement ainsi que les dispositions mises en place.

L’une des nouveautés de la RGPD est le principe de « accountability ».

X Actions à mener sur un site vitrine X

Vous pouvez réaliser un inventaire des traitements mis en œuvre sur le site. Il est pertinent de cartographier les mesures prises pour un traitement conforme ; c’est-à-dire, avoir des éléments de preuve de conformité en cas de contrôle.

Les obligations RGPD pour les sites e-commerces

Une femme tien dans sa main une carte de crédit, et rentre ses données personnelles dans son ordinateur pendant du shopping en ligne.

Contrairement aux sites vitrine, les sites e-commerces génèrent plus de données personnelles et demandent beaucoup plus de vigilance de la part du responsable du traitement de toutes ces données.

L’Honnêteté et la transparence du traitement des données personnelles

Le responsable des traitements doit fournir à l’internaute une information complète et claire sur ce que va « décevoir » toutes ses informations personnelles. Tout doit être fait et se baser sur une base de données légale et consentie. Hormis le consentement de l’utilisateur, il existe 5 autres bases légales qui permettent de justifier les traitements des données des internautes :

  • L’exécution d’un contrat
  • L’obligation légale
  • L’exécution d’une mission publique
  • L’intérêt vital
  • L’intérêt légitime

Limiter et minimiser les finalités des données

En cas de toute évolution des finalités de ces données, la personne concernée (l’internaute) doit obligatoirement être informée afin d’obtenir son consentement qui doit être à nouveau traité. En somme, qu’importe la situation, le tout doit être compatible et conforme entre l’utilisateur et les informations données.

Pour faciliter et rendre plus efficace le traitement de ces données personnelles, la personne en charge des traitements doit jauger la pertinence des données collectées pour son site e-commerce, à savoir si ces dernières sont véritablement utiles et nécessaires à son activité.

Par conséquent, toute donnée récoltée par le responsable doit être exacte et à jour selon les conditions de conformités.

La sécurité des données : la confidentialité

Les données doivent être traitées de manière à ce que l’on leur garantie une sécurité irréprochable et adaptée.

Les transactions et toute autre opération liée à l’e-commerce doivent être faites par l’e-commerçant qui en assure la protection, la sécurité et la confidentialité.

Par exemple, la conservation des données bancaires qu’il conserve seulement avec l’accord de l’internaute. Par conséquent, il doit garantir une transaction sécurisée et sans risque en prenant les mesures nécessaires afin que les informations personnelles enregistrées du client soient protégées.

  • La durée de conservation des données est à prendre en compte !

Les informations ne doivent pas être stockées infiniment dans la base de données du site du commerçant. Cette durée doit être définie et être précise. Dans ce cas, la CNIL peut proposer des durées de conservations maximales dont l’e-commerçant ou responsable du traitement afin de s’en inspirer pour déterminer les durées qu’il traite.

X Actions de conformité X

  • Définir la finalité du traitement
  • Traiter les données nécessaires pour atteindre les objectifs
  • Vérifier la mise à jour des données
  • Limiter la durée de conservations des données personnelles aux personnes sur le traitement
  • Éviter les croisement de données
  • Mettre en place un système d’identification et d’authentification (mot de passe)
  • Créer une page sur la confidentialité et des gestions des données

Les droits des personnes

Le responsable et/ou l’e-commerçant doit prendre en compte tous les différents droits lors des traitements des données personnelles sur son site e-commerce :

  • Le droit d’être informé
  • Le droit de suppression
  • Le droit de rectification
  • Le droit à l’accès
  • Le droit de s’opposer

Ainsi que de nouveaux droits :

  • Le droit à la portabilité
  • Le droit à l’effacement
  • Le droit à la limitation du traitement
  • Le droit de ne pas faire l’objet d’une décision résultant d’un traitement automatisé

Les collaborateurs

Des collègues de travail qui cognent leurs mains en signe de collaboration.

La notion de co-responsabilité a été instaurée dans le nouveau règlement pour faciliter, au responsable du site e-commerce, le traitement des données personnelles qui seront traitées par un collaborateur ou un sous-traitant.

La mise en place de la sécurité des données y est donc primordiale.

  • Les responsables doivent donc faire attention au choix des collaborateurs et partenaires pour leur conformité.

Tags :
Conformité RGPD,Données personnelles

Partager :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Illustration pop montrant un jeune homme tenant son ordinateur portable, montrant que ses données personnelles sont protégées par la RGPD

Besoin d'une rédaction ?

Nous écrivons, c’est notre métier. Pour le SEO, le web, la presse et tellement d’autres domaines.