"Le règlement général sur la protection des données (RGPD) responsabilise les organismes publics et privés qui traitent leurs données".
En d'autres termes, vous utilisez un google analytics? un formulaire de contact? un formulaire de collection d'emails pour votre newsletter? Et bien tous ces éléments utilisent en retour des cookies, vous savez, ces petits morceaux de code qui vont enregistrer un certain nombre de données personnelles ou non de l'utilisateur qui va venir sur votre site. Le RGPD vous impose de faire savoir à vos visiteurs, non seulement que vous utilisez des cookies, mais lesquels, sous quelle forme et dans quel but. Aussi, voyons-nous se multiplier les boutons, pop ups et autre frames pour vous demander de valider l'utilisations des cookies au préalable de l'utilisation du site. C'est une tarre mais c'est la loi, pas le choix.
Alors voici les 4 étapes pour commencer à être en conformité avec le fameux RGPD :
Constituez votre registre de vos traitement de données
Autrement dit : Recensez vos cookies, Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de donnéesDans votre registre, créez une fiche pour chaque activité recensée, en précisant :
- L’objectif poursuivi (la finalité - exemple : la fidélisation client) ;
- Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.) ;
- Qui a accès aux données (le destinataire - exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs) ;
- La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).
Le registre est placé sous la responsabilité du dirigeant de l’entreprise.
Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.
Faites le tri dans vos données
Pour chaque fiche de registre créée, vérifiez que :- les données que vous traitez sont nécessaires à vos activité;
- vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter) ;
- seules les personnes habilitées ont accès aux données dont elles ont besoin ;
- vous ne conservez pas vos données au-delà de ce qui est nécessaire.
Respectez les droits des personnes
C'est simple ! Informez vos utilisateurs le pourquoi du comment. Vous faîtes certainement partie des 99,99% de sites qui utilisent des collectes de données simples et pour de bonnes raisons d'optimisation de navigation pour votre public. Vous n'avez donc rien à cacher, alors soyez transparent et déclarez :- Dans quel but vous collectez des données
- Le fondement juridique de cette collecte et ce qui vous autorise à utiliser ces données
- Qui a accès aux données collectées et les modalités d'utilisation (service interne, comment, pourquoi)
- Le temps de conservation de ces données
- Si vous transférez ces données hors de l'Union Européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données)
Permettez à vos utilisateurs d'exercer facilement leur doit de rétractation, d'opposition, de limitation, etc. Cela pourrait vous éviter certaines critiques en réseaux sociaux et/ou mises en garde de la part de la cnil.
Sécurisez vos données
vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données (protocole https, antivirus, mise à jour, etc) . Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.
Ces quatres points sont évoqués plus en détail sur l'article RGPD : Par où commencer par la cnil. Vous pouvez aussi télécharger le Guide Pratique de Sensibilisation au RGPD pour les petites et moyennes entreprises (édité par bpiFrance, LeLab et cnil.fr)
Pas trop le temps de rédiger les closes? Référrez vous à l'article 11 de nos CGV, inspirez-vous en librement au besoin... ;-)
