Comment appliquer le RGPD sur son site web ?
29 décembre 2020
Qu’est-ce que le RGPD ?
Le RGPD signifie règlement général sur la protection des données. Entré en application fin mai 2018, et dans toute l’Europe, il permet de responsabiliser les acteurs traitant des données, de renforcer le droit des personnes, d’unifier la protection des données et de crédibiliser la régulation en établissant des règles sur la collecte et l’utilisation des données.
Pour la CNIL une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable » c’est-à-dire qui s’inscrit dans deux logiques :
- Identification directe (nom, prénom...etc)
- Identification indirecte (numéro, identifiant...etc)
On distingue également les données sensibles (origine raciale, opinions politiques ou religieuses…) des données non-sensibles.
Le RGPD s’applique aux structures privées ou publiques, peu importe la taille et le secteur d’activité, qui effectuent de la collecte et/ou du traitement de données. Il s’adresse à toutes les entreprises travaillant sur le territoire Européen ainsi qu’aux entreprises installées en dehors de l’Europe mais dont l’activité principale concerne les résidents européens.
Comment appliquer le RGPD sur son site web ?
Pour respecter le RGPD sur votre site web vous devez respecter certaines règles et plusieurs étapes :
Étape n°1 : Création du registre de vos traitements des données
Le registre est prévu par l’article 30 du RGPD : c’est un document de recensement et d’analyse tenu par le responsable de traitement des données personnelles qui contient :
- nom et coordonnées du responsable de traitement des données,
- les finalités de la collecte des données,
- les catégories des personnes concernées,
- les catégories des données personnelles,
- les catégories des destinataires,
- les éventuels transferts des données,
- les délais de conservation des données,
- une description des mesures de sécurité
Vous souhaitez avoir accès au modèle de registre ?
Étape n°2 : Informer vos clients/prospects
Depuis la mise en place du RGPD vous devez informer vos clients quant à la nature des données que vous collectez, la finalité de cette collecte et le délais de conservation de ces données.
Comment cela s’applique sur un site web ?
Vous devez être transparent c’est-à-dire que lors de la visite d’un client sur votre site vous devez l’informer de plusieurs choses :
- la nature des données que vous collectez,
- le but de cette collecte (à quoi servent la collecte de ces données ?),
- le délais de conservation des données,
- l’accessibilité des données (qui peut voir ses données ?)
- dire si elles peuvent être transférées en dehors de l’Europe (si c’est le cas il faut préciser le pays et l’encadrement juridique qui y est appliqué)
- indiquer par quels moyens vos clients peuvent s’opposer à l’utilisation de leurs données
Étape n°3 : Disposer du consentement explicite
Le RGPD stipule que “le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale”. Dans cette logique comprenez bien qu’une case pré-cochée ne fonctionne pas pour exprimer un accord.
Pour respecter le droit à l’effacement votre client doit avoir un accès permanent à son consentement s’il souhaite le modifier, l’effacer ou le contrôler.
Étape n°4: Durée du consentement
Le RGPD précise qu’un client peut, à tout moment, retirer son consentement concernant la collecte des données. Les cookies, eux, sont gardés au maximum pour une durée de 13 mois.
Étape n°5: Sécurisation de vos données
Pour sécuriser les données sous votre responsabilité vous devez mettre en place le chiffrement de vos données sous la forme d’un certificat TLS.
Étape n°6: Mise en place des mentions légales
Vous devez prévoir une page entière concernant les mentions légales de votre site : c’est une obligation. Souvent nommée “protection des données personnelles” elle informe l’internaute en détail des actions découlant de la collecte des données. Pour découvrir les informations dont votre client peut être au courant vous pouvez vous référer à l’étape n°2.