Le RGPD représente le nouveau règlement qui régit la protection des données au niveau européen. Entré en vigueur depuis le 25 mai 2018, ce texte permet une uniformisation de la législation européenne sur la sécurisation des informations personnelles. Il vise une responsabilisation des entreprises qui doivent prévoir des dispositifs d’autocontrôle au risque de subir de lourdes sanctions. Les principaux bénéficiaires du RGPD demeurent les internautes. Ce texte leur confère désormais d’importantes prérogatives telles que le droit au consentement, le droit d’opposition, le droit à l’oubli, le droit à la portabilité, etc. Pour se conformer au RGPD, quelques obligations incombent aux sociétés qui doivent mettre leur plateforme à jour.
Sommaire
À quelles structures s’adresse le RGPD ?
Le règlement général sur la protection des données concerne les entreprises privées ou publiques des 28 États membres de l’Union européenne. Il s’impose à toutes les entités qui proposent des biens et services sur le marché de l’Union européenne ainsi qu’à celles qui collectent et traitent des informations personnelles relatives à des résidents de l’UE. Cette loi s’applique également aux sociétés non installées en Union européenne, mais qui recueillent et manipulent des données personnelles des citoyens de l’UE.
La clarification des thèmes « donnée à caractère personnel » et « traitement des données »
Le RGPD encadre plus efficacement les pratiques relatives à la collecte et au traitement des données personnelles. Pour mieux appréhender les objectifs de ce texte, une meilleure compréhension de certaines expressions s’impose. Le RGPD entend par « données à caractère personnel », « toute information se rapportant à une personne physique identifiée ou identifiable ». Vous pouvez donc inclure dans les données personnelles d’un individu son nom, son numéro d’identification, ses données de localisation, son identifiant en ligne. Elles prennent également en compte les éléments relatifs à son identité physique, génétique, psychique, physiologique, économique, culturelle ou sociale. Le RGPD ne s’applique donc pas aux sociétés qui gèrent des informations liées à d’autres entreprises.
Par « traitement des données », le RGPD entend la collecte, la conservation, la manipulation, le transfert et la destruction des données individuelles. Ainsi, la consultation des données récupérées par un sous-traitant entre dans le champ d’action du RGPD.
Les 4 principes clés du RGPD
Les exigences du RGPD reposent sur 4 principes essentiels.
Le consentement
Depuis le 25 mai 2018, tout site en ligne doit obtenir un consentement explicite de l’internaute avant de réaliser le traitement de ses informations. Dans ce cadre, toute structure qui effectue la collecte des données personnelles doit pouvoir prouver l’acceptation des utilisateurs en cas de contrôle de la CNIL.
La transparence
Elle représente le second grand principe qui régit le RGPD. Elle constitue un corollaire du consentement. En effet, la loi oblige désormais les entreprises à préciser aux internautes la finalité des informations collectées ainsi que la procédure de leur traitement. L’utilisateur doit pouvoir accéder aux mentions légales et à la politique de confidentialité. Sur la base de ces différents documents, il pourra décider de donner son consentement ou d’user de son droit d’opposition.
Le droit des internautes
Le RGPD contribue au renforcement des droits des utilisateurs. Avec ce dispositif, un internaute peut consulter les informations qu’il a transmises à une plateforme lorsqu’il introduit une demande. L’entreprise devra le satisfaire dans un délai d’un mois en vertu du droit d’accès. Le droit à l’oubli se renforce avec ce RGPD. L’utilisateur peut désormais obtenir la suppression de ses données personnelles d’une plateforme. Cela s’entend à toutes les copies et reproductions des données. Le site concerné disposera d’un mois pour s’exécuter. Avec le droit de portabilité, l’internaute peut récupérer en version exploitable les informations personnelles communiquées à une structure en ligne. Il peut les transférer à un tiers ou à un autre fournisseur. Le RGPD confère également aux utilisateurs un droit à la limitation du traitement.
La responsabilité des entreprises en ligne
Avec le RGPD, les autorités de l’Union européenne cherchent aussi à responsabiliser les plateformes dans la gestion des données à caractère personnel. Ainsi, ces structures doivent pouvoir justifier la tenue d’un registre des traitements. Cela suppose la constitution et la centralisation d’une base de données. Le RGPD rend également les entreprises garantes de la sécurisation des informations recueillies. La loi leur impose de prendre des mesures préventives pour protéger les données à caractère personnel de leurs internautes. Avec le régime de coresponsabilité des sous-traitants prôné par le RGPD, une meilleure gestion des informations incombe aux sociétés et à leurs associés. En cas de faille de sécurité, les entreprises doivent prévenir l’autorité de régulation dans un délai de 72 h. La loi les oblige également à adresser une notification aux internautes concernés.
Les mises à jour dans le cadre du RGPD
Pour prendre en compte les différents principes cités ci-dessus, vous devez effectuer plusieurs adaptations relatives aux mentions légales, à la politique de confidentialité et aux formulaires.
L’actualisation des mentions légales et de la politique de confidentialité
-
l’emplacement de stockage des données personnelles fournies et le temps de leur conservation ;
-
les structures qui peuvent consulter lesdites données ;
-
les finalités des informations recueillies ;
- la procédure pour profiter du droit d’accès ;
- les conditions d’exercice du droit à l’oubli ;
- la démarche pour modifier les données personnelles ou pour se désabonner des services de communication.
Le bandeau cookie doit obligatoirement apparaitre à la première connexion de l’internaute sur la plateforme. Ce dernier prendra le temps de consulter les différentes informations mentionnées. Il pourra s’opposer au profilage ou accepter les cookies.
Adapter vos formulaires
Pour conformer entièrement votre site aux exigences du RGPD, vous devez également modifier vos formulaires. En effet, le consentement intervient aussi au niveau de ces fichiers. Vous devez veiller à ce que l’internaute décide en toute liberté. Son choix doit paraitre sans ambigüité. En conséquence, le formulaire doit présenter un bouton pour que l’utilisateur donne son acceptation. Cela lui permet de transmettre une réponse explicite. La loi exige donc un opt-in. Si possible, privilégiez un double opt-in. Dans tous les cas, l’opt-out ne convient plus. Vous devez également prévoir au niveau du formulaire un lien pour que l’utilisateur exerce aisément son droit à l’oubli.
Après cette dernière étape, vous pouvez enfin considérer que votre plateforme répond aux exigences du RGPD. Toutefois, vous avez la possibilité de procéder à un contrôle. Cookie Secure propose d’effectuer un audit gratuit de votre site pour s’assurer de la conformité des dispositions que vous avez mises en place. Dans ce cadre, vous fournissez une adresse de votre plateforme et un email pour recevoir le diagnostic. Cette offre représente une aubaine. Elle vous donne l’opportunité d’apporter les corrections nécessaires pour adapter votre site au RGPD. Elle vous préserve d’une éventuelle sanction susceptible d’atteindre 4 % du chiffre d’affaires ou 20 millions d’euros.