Aujourd'hui, vendredi 25 mai 2018 devrait faire date dans l'histoire des droits sur Internet. En effet, le nouveau règlement européen sur la protection des données personnelles (RGPD), adopté il y a deux ans, entre pleinement en vigueur à cette date. Toutes les entreprises, européennes ou non, qui collectent et traient nos données personnelles doivent se plier à un certain nombre de nouvelles obligations.

En quoi consiste vraiment le RGPD ?

Adopté en avril 2016 dans la plus grande discrétion, le RGPD fait beaucoup parler de lui depuis quelques mois. Il s'agit en effet d'un tournant majeur pris par l'UE dans la protection des droits des internautes. Désormais, tous les propriétaires de site web doivent respecter des obligations concernant la collecte, le traitement des données, mais aussi sur les droits des individus sur leurs données.

Parmi les grandes mesures qu'il prévoit, certaines vont être très contraignantes pour les entreprises qui font leur business sur ces fameuses données. On peut citer notamment :

    l'obligation de collecter uniquement les données indispensables au traitement.
    le droit pour l'individu d'accéder à ses données, de demander leur suppression ou de les récupérer pour les transmettre
    l'obligation pour l'entreprise de notifier immédiatemment toute fuite de données

Concrètement, que risque une entreprise non-conforme ?

Dès aujourd'hui, toutes les entreprises qui possèdent un site Internet qui récoltent des données doivent avoir mis en conformité leur base de données et informer leurs utilisateurs de ces nouvelles dispositions. C'est ainsi que depuis quelques jours (ou quelques semaines pour les plus prévoyants), nous recevons des mails de beaucoup de services en ligne auxquels nous sommes inscrits, nous informant d'une modification de leurs conditions générales.

Si toutes les entreprises opèrent avec précaution, c'est parce que les sanctions prévues par le RGPD pour les entreprises en infraction sont sensiblement plus importantes que ce qui pouvait exister jusqu'à maintenant.

En effet, la sanction principale consiste en une amende qui peut être très salée : jusqu'à 20 millions d'euros, ou 4% du chiffres d'affaire mondial, sachant que le chiffre le plus élevé sera systématiquement retenu par la justice. Un montant énorme qui va surement dissuader de nombreuses entreprises d'enfreindre le RGPD.

Alors, comment être en conformité avec le RGPD ?

Tout d'abord, il faut savoir que l'UE ne pourra pas controler l'ensemble des sites présents sur Internet et collectant les données de ses citoyens. C'est en effet les organismes de controle de données personnelles de chaque pays qui devront procéder à ces opérations de controle. En France, c'est donc la CNIL (commission nationale Informatique et Libertés) qui va devoir gérer la mise en application du RGPD.

Depuis quelques mois, en prévision de cette évolution importante de la législation, la CNIL prépare le terrain pour faciliter le travail des entreprises. Elle a mis en place sur son site de nombreux guides et tutoriels pour accompagner les entreprises dans la compréhension du RGPD.

Cependant, il existe de nombreuses dispositions nouvelles et termes techniques qui peuvent parfois être difficiles à appréhender pour les chefs d'entreprise. Rassurez-vous, on vous explique tout ci-dessous :

Tout d'abord, il faut commencer par auditer son site : quelles données sont collectées exactement ? Dans quel but? Comment ces données sont traitées ? On vous l'accorde, c'est un travail qui peut être long et fastidieux, surtout si vous avez un site ecommerce qui collecte de nombreuses données pour traiter les commandes des clients.

Une fois l'audit fait, comparez les données que vous collectez actuellement avec les exigences du RGPD, c'est-à-dire collecter le minimum de données en se concentrant uniquement sur les indispensables. Ainsi, pour un site vitrine avec un formulaire de contact, pas besoin de mettre de nombreux champs (les nom, adresse mail et téléphone peuvent suffire), même si cela dépend de votre activité. A vous de désigner les données qui sont indispensables et celles qui le sont moins.

Ensuite, il faut agir à partir de tous ces constats. Désignez un responsable des données, qui sera chargé de mettre en oeuvre vos décisions découlant de l'audit et de controler le respect du RGPD. Commencez par adapter votre collecte de données en retirant les données non indispensables.

D'autre part, les internautes peuvent demander à modifier leurs données, voire à les supprimer ou les récupérer. Pensez donc à vérifier que toutes ces opérations sont possibles et donnez la possibilité à l'internaute de le faire par lui-même, depuis son espace client par exemple. Cela lui évitera de solliciter votre service client.

Enfin, ultime étape : modifiez vos CGV/CGU et vos mentions légales pour faire apparaitre les changements que vous avez apporté et indiquer que vous êtes en conformité avec le RGPD. N'hésitez pas à aller plus loin que les simples recommandations, en créant par exemple un paragraphe dédié aux données personnelles détaillant l'ensemble des traitements que vous y apportez.

Normalement, en suivant ces quelques étapes, vous aurez réussi à mettre votre site en conformité avec le RGPD. Bien sur, la complexité et le temps nécessaire pour cette opération dépend de la taille de votre site et de son activité (simple site vitriine ou site ecommerce).

A noter que de nombreuses sociétés vous proposent une prestation de mise en conformité, pour gérer à votre place tous les aspects liés au RGPD, et obtenir une conformité à 100% avec le nouveau règlement.

Le RGPD est un acte majeur dans l'UE pour inciiter les entreprises à adopter un comportement vertueux vis-à-vis des données, et informer les utilisateurs de leurs droits concernant ces fameuses données, qui constituent un enjeu majeur sur Internet ces dernières années. En effet, elles attisent toutes les convoitises quand on voit le succès d'entreprises comme Google ou Facebook, qui ont bati leur fortune sur la monétisation et l'exploitation des données personnelles, notamment à des fins publicitaires. Il en faut aucun doute que le RGPD ne vise pas les petites entreprises exploitant un site, mais plutôt ces géants du net, et que l'Europe va les surveiller attentivement sur leur application du RGPD, avant de promouvoir un règlement encore plus restrictif et protecteur pour les données des internautes ?

facebook

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de Cookies.