Le RGPD, les grandes lignes d’un nouveau règlement pour la protection des données utilisateurs

Confrères du Web, utilisateurs d’Internet et d’applications en tout genre sachez que depuis le 25 mai 2018 un nouveau règlement propre aux pays de l’UE est entré en vigueur afin de protéger vos données personnelles de manière stricte.

Lundi 28 mai 2018, j’ai participé à une conférence RGPD présentée par François Adoue, Chef de Projet à l’Observatoire International des Métiers Internet, à La Loco Coworking à Pessac.

Voici ce que j’ai retenu de ce règlement si complexe…

Tout d’abord que veut dire RGPD:

R pour règlement,
G pour général
P pour protection
D pour données

Ce nouveau règlement vient adapter la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans un cadre juridique européen, ainsi que les diverses directives et règlements en vigueur.

Concrètement qu’est qu’on doit faire nous professionnels du Web pour être en conformité avec le RGPD?

Si vous avez un site Web e-commerce ou non vous collectez forcément les données de vos utilisateurs, soit avec des formulaires ou avec les fameux « cookies ». Avec le RGPD, vous devez absolument rédiger la politique de confidentialité de votre site, ou modifier celle que vous avez déjà rédigé. Vous devez préciser à vos utilisateurs, ceux qui se connectent sur votre site Internet, ce que vous faites de leurs données, comment vous les exploitez, pour quel service, dans quel intérêt et pour combien de temps et si les données sont susceptibles de quitter l’UE (Gmail, Google sont américains…)

Si vous utilisez des formulaires de contact dans votre site Internet, vous êtes légalement obligés de résumer toutes les informations que doivent savoir les utilisateurs concernant l’usage de chacun de vos formulaires. La Politique de Confidentialité ne suffit pas.

Il devient obligatoire d’informer les utilisateurs de ce que vous faites de leurs données.

Sur le site de la CNIL vous pouvez retrouver des guides en ligne gratuits pour vous aider à comprendre ce nouveau règlement. Des fiches pratiques ont été réalisées pour vous aider au mieux à comprendre les changements que vous devez apporter à vos habitudes de travail et donc à votre activité sur le Web.

Les cookies:

Vous devez également lister dans votre politique de confidentialité tout les plugins que vous utilisez pour votre site WordPress, et informer les utilisateurs que ces plugins utilisent des cookies pour récupérer leurs données personnelles.
La durée de vie d’un cookie est de 13 mois, à tout moment vous pouvez effacer vos données de navigation dans votre moteur de recherche. Moi par exemple je le fais tous les jours, c’est comme un nettoyage, plus de trace de vous sur le Web (enfin normalement^^)

Invitez vos utilisateurs à modifier leurs mots de passe de leur compte personnel (si votre site le propose) et faites en sorte qu’ils les complexifient de manière à éviter les piratages de leurs données personnelles.

La protection des données utilisateurs, une question de bon sens

Si vous êtes honnêtes et droit dans vos bottes, vous ne verrez aucune objection à être en conformité avec le RGPD. Toute personne intelligente et avec du bon sens fera le nécessaire pour être en règle et même si vous ne maîtrisez pas tout, les autorités du Web constateront votre intention de bien faire.
Tout d’abord, ne collectez que les données dont vous avez besoin pour fournir le service dont a besoin votre client. Est-ce que pour votre prochaine newsletter vous avez besoin de la date de naissance de votre client? Non ? Alors ne le lui demandez pas. Et cela vous fera moins de données à traiter.

Quand on parle de données personnelles cela concerne également les coordonnées personnelles des clients ou prospects: nom, prénom(s), adresse(s) postale, adresse(s) mail, date de naissance, numéro(s) de téléphone. Pour bien faire, vous devriez tenir un carnet d’adresse à jour.

On découvre tous ce nouveau règlement, et il est clair qu’il va falloir du temps pour qu’on soit tous experts sur le sujet et en conformité globale, j’entends par là; conformité sur le site web, conformité avec les coordonnées personnelles (mails, numéros de téléphone, adresses, dates de naissance etc…) ça risque d’être un travail de longue haleine.

Sachez aussi que vous allez sans doute devoir recruter un responsable de traitements des données (DPO- Digital Privacy Owner) si vous ne l’avez pas déjà fait. Le DPO aura pour mission de constituer le registre de données propre à votre entreprise en faisant le tri dans les données collectées. Cette personne devrait déjà travailler dans votre entreprise, c’est elle qui expédie par exemple les newsletters. C’est cette personne là qui sera en lien direct direct avec la CNIL pour prouver que vous et votre entreprise êtes bien conformes.

Les priorités:

1/ Recenser les fichiers avec toutes les données des utilisateurs
2/ Faire le tri dans les données et ne garder que les données utiles
3/ Créer un registre des fichiers (données)
4/ Informer les prospects que vous collectez leurs données (cases à cocher exemple « oui je suis d’accord pour que vous utilisiez mes données à des fins commerciales »)
5/ Créer et tenir à jour un cahier de traitement ou sont notés les traitements effectués sur les données.

Pour le registre de données, vous devriez le classer dans un fichier sécurisé sur votre ordinateur. Il est conseillé aussi de l’imprimer de le classer et de le ranger dans un endroit sûr en cas de contrôle.

Si vous remarquez des visites intrusives sur votre site Internet et sur vos ordinateurs, vous devez prévenir la CNIL dans les 72 heures c’est une obligation légale, voir en suivant, et aussi prévenir vos utilisateurs.

Si vous avez un compte Google (Gmail, Google Drive) vous devez informer vos clients que les données que vous recevez les concernant, sortent de l’Union Européenne. Oui c’est gratuit mais… tout est relatif! Pareil pour Hotmail (Outlook qui appartient à Microsoft), OVH etc…)

Les risques que vous encourez si vous ne sécurisez pas les données utilisateurs de vos clients

 

Pour votre information si vous ne respectez pas le RGPD vous risquerez:

– 5 ans d’emprisonnement
– 2 ou 4% de votre CA
– 10 à 20M d’euros d’amende
– Le remboursement de tous les dommages causés par l’usage fait des données corrompues.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *