Le RGPD concerne aussi les entreprises suisses

Introduction

Le RGPD (en anglais GDPR pour General Data Protection Regulation), tout le monde en parle. Mais une semaine avant son entrée en vigueur, force est de constater que très peu de sites internet sont conformes à ce règlement.

Rappelons tout d’abord que ce règlement vise à donner aux citoyens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises tout en réduisant leurs charges déclaratives et à renforcer le rôle des autorités de protection des données.

Il n’est donc pas lié uniquement au domaine digital, même si cet article aborde principalement l’impact du RGPD sur votre site internet.

Contexte

Le Règlement Général sur la Protection des Données (RGPD) est le texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union Européenne.

Applicable à partir du 25 mai 2018, il concerne tous les acteurs proposant des biens et/ou services sur le marché de l’UE, dès lors que leurs activités traitent des données personnelles des résidents de l’UE.

Objectifs du RGPD

L’objectif est de donner aux citoyens de l’UE davantage de contrôle et de visibilité sur leurs données privées, notamment pour savoir quelles sont les données collectées, à quelles fins et quelle est leur durée de conservation.

Données personnelles

Sont considérés comme données personnelles tous les éléments permettant d’identifier une personne (nom, prénom, numéro de téléphone, …) mais également une adresse IP.

Des données que vous pourriez considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes ou ses goûts.

En ce sens, constituent également des données à caractère personnel toutes les informations dont le recoupement permet d’identifier une personne précise (empreinte digitale, ADN, date de naissance associée à une commune de résidence, …).

A noter que la notion de traitement est très large : collecte, conservation, consultation, destruction…

Les différents articles du RGPD avec fonction de recherche sont disponibles en ligne.

Principales dispositions

Consentement « explicite » et « positif »

L’utilisateur doit obtenir une information claire et sans ambiguïté sur les données personnelles qui sont récoltées.

Le consentement est spécifique, c’est-à-dire qu’il est donné librement pour une finalité clairement définie.

Recommandations :

Mettre en place sur votre site internet une page expliquant votre politique de confidentialité. Ce document doit notamment préciser quelles sont les mesures prises au niveau de la protection des données personnelles.
Indiquer pour chaque formulaire (création de compte, inscription newsletter, …) quelles données sont récoltées, et pour quelle finalité.
Pour l’inscription newsletter, mise en place du double opt-in.

Ce que nous faisons :

Intégration sur votre site internet d’un système indiquant à vos visiteurs quels cookies sont utilisés, et pour quelle finalité (ex.: code de suivi de Google Analytics); leur donner un moyen de s’y opposer et de changer leurs préférences à tout moment.

Mise en place sur les formulaires de votre site d’un système permettant de tracer les dates, heures et adresse IP de soumission, afin d’être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

Attention :

Il est interdit de subordonner la collecte des données à une condition (ex.: accepter le traitement de ses données à des fins marketing pour participer à un concours). Il faut dans ce cas séparer clairement les deux éléments.
La notion de finalité implique que les données récoltées pour un objectif (ex.: inscription newsletter) ne peuvent pas être utilisées pour un autre objectif (ex.: ciblage publicitaire) sans l’accord de l’utilisateur.
Une notion floue telle que « sera utilisée pour tous types d’usage » n’est pas admise.

Proportionnalité

Les données récoltées doivent être nécessaires à la finalité. De plus, il faut fixer une durée de conservation des données adaptées, même si elle est longue.

Recommandations :

Définir une durée de conservation des données personnelles que vous traitez.
Pour Google Analytics, configurer dans votre compte une durée de rétention des données adaptée.

Ce que nous faisons :

Nous recommandons d’anonymiser les adresses IP des visiteurs de votre site (nécessite une modification du code de suivi mis en place sur votre site).
Toutes les données personnelles qui nous sont transmises (bases e-mail, fichiers de leads, fichiers clients, …) sont conservés au maximum 2 ans après traitement (année en cours et année précédente).

Droit de rectification et droit à l’effacement

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes, respectivement l’effacement de données à caractère personnel la concernant.

Le droit à l’effacement est limité par un intérêt prépondérant du responsable du traitement (ex.: données client afin de traiter une commande et d’apporter des moyens de preuve),

Recommandations :

Mettre en place une procédure ad hoc pour la rectification et l’effacement des données, intégrant un moyen d’identifier la personne concernée pour s’assurer que sa demande est légitime.

Ce que nous faisons :

Autant les solutions eCommerce que nous déployons (Magento et WooCommerce) que Mailing-List vous permettent d’éditer les données collectées.
A ce jour, afin d’éviter l’import multiple d’un e-mail, il n’est pas possible de supprimer physiquement une adresse dans Mailing-List. Nous travaillons sur un système permettant d’anonymiser les données collectées en ne conservant que l’adresse e-mail.

Droit à la portabilité des données personnelles

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement.

Recommandations :

Mettre en place une procédure ad hoc pour le transfert des données, intégrant un moyen d’identifier la personne concernée pour s’assurer que sa demande est légitime.

Ce que nous faisons :

Il n’existe pas encore de définition claire du format structuré qui sera utilisé. Cas échéant, nous sommes à même de vous fournir ces données au format JSON, XML ou CSV.

Profilage

Toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (article 22 du règlement).

Recommandations :

Ne pas utiliser de système de profilage.

Sécurité et confidentialité

Le règlement européen définit le principe de « protection des données dès la conception » qui impose de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des systèmes exploitant des données à caractère personnel.

De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé.

Les entreprises et les organismes sont tenus de notifier dès que possible l’autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées.

Recommandations :

Utiliser pour chaque compte (administration du site, outil e-mailing, Google Analytics, …) un mot de passe spécifique et complexe (au moins un mélange de majuscules, minuscules et chiffres).
Ne pas partager de login entre les utilisateurs; cas échéant nous pouvons vous créer des logins spécifiques.
Limiter le nombre d’utilisateurs ainsi que leurs droits (ex.: une personne qui envoie les newsletters n’a pas besoin d’avoir accès à la base des abonnés).

Ce que nous faisons :

Nous limitons au maximum les données traitées, avec un droit d’accès limité aux personnes autorisées.
Les sites de nos clients sont hébergés en Suisse, sur des plateformes qui proposent des systèmes de sécurité performants.
Nous utilisons systématiquement le chiffrage SSL afin de crypter les données échangées entre l’utilisateur et le site.
Les données de Mailing-List.ch sont hébergées aux USA.
Pour les utilisateurs de WordPress et WooCommerce, nous proposons des packs de mise à jour, afin d’avoir toujours la dernière version sécurisée du CMS et de ses extensions.
Nous ne traitons pas de données sensibles au sens de la LPD (loi sur la protection des données).

Les informations indiquées dans ce document ne sont pas des conseils juridiques et ne constituent en aucun cas une norme exhaustive pour s’assurer que votre entreprise est conforme au RGPD. Elles ne sauraient se substituer aux conseils d’un juriste spécialisé.

Il s’agit de recommandations d’outils et bonnes pratiques à mettre en place sur votre site internet.

Partager cet article