Le RGPD concerne aussi les entreprises suisses

Introduction

Le RGPD (en anglais GDPR pour General Data Protection Regulation), tout le monde en parle. Mais une semaine avant son entrée en vigueur, force est de constater que très peu de sites internet sont conformes à ce règlement.

Rappelons tout d’abord que ce règlement vise à donner aux citoyens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises tout en réduisant leurs charges déclaratives et à renforcer le rôle des autorités de protection des données.

Il n’est donc pas lié uniquement au domaine digital, même si cet article aborde principalement l’impact du RGPD sur votre site internet.

Contexte

Le Règlement Général sur la Protection des Données (RGPD) est le texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union Européenne.

Applicable à partir du 25 mai 2018, il concerne tous les acteurs proposant des biens et/ou services sur le marché de l’UE, dès lors que leurs activités traitent des données personnelles des résidents de l’UE.

Objectifs du RGPD

L’objectif est de donner aux citoyens de l’UE davantage de contrôle et de visibilité sur leurs données privées, notamment pour savoir quelles sont les données collectées, à quelles fins et quelle est leur durée de conservation.

Données personnelles

Sont considérés comme données personnelles tous les éléments permettant d’identifier une personne (nom, prénom, numéro de téléphone, …) mais également une adresse IP.

Des données que vous pourriez considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise. Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes ou ses goûts.

En ce sens, constituent également des données à caractère personnel toutes les informations dont le recoupement permet d’identifier une personne précise (empreinte digitale, ADN, date de naissance associée à une commune de résidence, …).

A noter que la notion de traitement est très large : collecte, conservation, consultation, destruction…

Les différents articles du RGPD avec fonction de recherche sont disponibles en ligne.


Principales dispositions

Consentement « explicite » et « positif »

L’utilisateur doit obtenir une information claire et sans ambiguïté sur les données personnelles qui sont récoltées.

Le consentement est spécifique, c’est-à-dire qu’il est donné librement pour une finalité clairement définie.

Recommandations :

  • Mettre en place sur votre site internet une page expliquant votre politique de confidentialité. Ce document doit notamment préciser quelles sont les mesures prises au niveau de la protection des données personnelles.
  • Indiquer pour chaque formulaire (création de compte, inscription newsletter, …) quelles données sont récoltées, et pour quelle finalité.
  • Pour l’inscription newsletter, mise en place du double opt-in.

Ce que nous faisons :

  • Intégration sur votre site internet d’un système indiquant à vos visiteurs quels cookies sont utilisés, et pour quelle finalité (ex.: code de suivi de Google Analytics); leur donner un moyen de s’y opposer et de changer leurs préférences à tout moment.

Ce site web utilise des cookies - déclaration RGPD

  • Mise en place sur les formulaires de votre site d’un système permettant de tracer les dates, heures et adresse IP de soumission, afin d’être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

Attention :

  • Il est interdit de subordonner la collecte des données à une condition (ex.: accepter le traitement de ses données à des fins marketing pour participer à un concours). Il faut dans ce cas séparer clairement les deux éléments.
  • La notion de finalité implique que les données récoltées pour un objectif (ex.: inscription newsletter) ne peuvent pas être utilisées pour un autre objectif (ex.: ciblage publicitaire) sans l’accord de l’utilisateur.
  • Une notion floue telle que « sera utilisée pour tous types d’usage » n’est pas admise.

Proportionnalité

Les données récoltées doivent être nécessaires à la finalité. De plus, il faut fixer une durée de conservation des données adaptées, même si elle est longue.

Recommandations :

Ce que nous faisons :

  • Nous recommandons d’anonymiser les adresses IP des visiteurs de votre site (nécessite une modification du code de suivi mis en place sur votre site).
  • Toutes les données personnelles qui nous sont transmises (bases e-mail, fichiers de leads, fichiers clients, …) sont conservés au maximum 2 ans après traitement (année en cours et année précédente).

Droit de rectification et droit à l’effacement

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes, respectivement l’effacement de données à caractère personnel la concernant.

Le droit à l’effacement est limité par un intérêt prépondérant du responsable du traitement (ex.: données client afin de traiter une commande et d’apporter des moyens de preuve),

Recommandations :

  • Mettre en place une procédure ad hoc pour la rectification et l’effacement des données, intégrant un moyen d’identifier la personne concernée pour s’assurer que sa demande est légitime.

Ce que nous faisons :

  • Autant les solutions eCommerce que nous déployons (Magento et WooCommerce) que Mailing-List vous permettent d’éditer les données collectées.
  • A ce jour, afin d’éviter l’import multiple d’un e-mail, il n’est pas possible de supprimer physiquement une adresse dans Mailing-List. Nous travaillons sur un système permettant d’anonymiser les données collectées en ne conservant que l’adresse e-mail.

Droit à la portabilité des données personnelles

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement.

Recommandations :

  • Mettre en place une procédure ad hoc pour le transfert des données, intégrant un moyen d’identifier la personne concernée pour s’assurer que sa demande est légitime.

Ce que nous faisons :

  • Il n’existe pas encore de définition claire du format structuré qui sera utilisé. Cas échéant, nous sommes à même de vous fournir ces données au format JSON, XML ou CSV.

Profilage

Toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (article 22 du règlement).

Recommandations :

  • Ne pas utiliser de système de profilage.

Sécurité et confidentialité

Le règlement européen définit le principe de « protection des données dès la conception » qui impose de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des systèmes exploitant des données à caractère personnel.

De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé.

Les entreprises et les organismes sont tenus de notifier dès que possible l’autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées.

Recommandations :

  • Utiliser pour chaque compte (administration du site, outil e-mailing, Google Analytics, …) un mot de passe spécifique et complexe (au moins un mélange de majuscules, minuscules et chiffres).
  • Ne pas partager de login entre les utilisateurs; cas échéant nous pouvons vous créer des logins spécifiques.
  • Limiter le nombre d’utilisateurs ainsi que leurs droits (ex.: une personne qui envoie les newsletters n’a pas besoin d’avoir accès à la base des abonnés).

Ce que nous faisons :

  • Nous limitons au maximum les données traitées, avec un droit d’accès limité aux personnes autorisées.
  • Les sites de nos clients sont hébergés en Suisse, sur des plateformes qui proposent des systèmes de sécurité performants.
  • Nous utilisons systématiquement le chiffrage SSL afin de crypter les données échangées entre l’utilisateur et le site.
  • Les données de Mailing-List.ch sont hébergées aux USA.
  • Pour les utilisateurs de WordPress et WooCommerce, nous proposons des packs de mise à jour, afin d’avoir toujours la dernière version sécurisée du CMS et de ses extensions.
  • Nous ne traitons pas de données sensibles au sens de la LPD (loi sur la protection des données).

Les informations indiquées dans ce document ne sont pas des conseils juridiques et ne constituent en aucun cas une norme exhaustive pour s’assurer que votre entreprise est conforme au RGPD. Elles ne sauraient se substituer aux conseils d’un juriste spécialisé.

Il s’agit de recommandations d’outils et bonnes pratiques à mettre en place sur votre site internet.