Depuis plusieurs mois, les sites web se sont mis à la page de la nouvelle loi RGPD. Si ce n'est pas encore votre cas, voici les étapes à suivre pour être en conformité avec cette réglementation.
1- Vérifiez que la loi s'applique, dans votre cas.
La RGPD s'applique pour les entreprises domiciliés en UE ou non.
Vous êtes concerné par la RGPD, si vous collectez des données personnelles sur vos utilisateurs demeurant en UE. Ces données doivent permettre l'identification directe ou indirecte de vos utilisateurs.
Si ce n'est pas votre cas, vous êtes sorti d'affaire. Sinon, voici les étapes à suivre.
2- Identifiez les données personnelles que vous collectez.
Vous devez lister les données qui permettent d'identifier, de façon directe ou indirecte vos utilisateurs. Ces utilisateurs peuvent être des personnes physiques ou morales.
3- Obtenez le consentement de vos utilisateurs
Lorsque vous vous trouvez sur un site, une bannière s'affiche, désormais systématiquement. En voici un exemple simple :
La question doit être clairement posée et la case ne peut plus être pré-cochée. L'acceptation des CGV ne vaut pas, non plus consentement.
4- Privilégiez la transparence
Vos utilisateurs sont propriétaires de leurs données. Ils peuvent donc, à tout moment, vous demander une copie des données que vous conservez.
L'utilisateur peut aussi refuser que vous exploitiez des données le concernant. Par exemple, l'utilisateur est en droit de refuser que vous traquiez un achat effectué sur votre site.
5- Choisissez des partenaires de confiance
Désormais, la conservation des données est sous votre responsabilité. Attention aux prestataires que vous choisissez. Privilégiez les gestionnaires de données reconnus. Car, au moindre soucis, l'utilisateur peut se retourner contre vous et il faudra assumer, de façon solidaire, les actions de vos prestataires.
6- Un registre des données, vous devrez créer
La loi impose de tenir un registre des données. Voici ce que doit contenir ce registre :
- Les données collectées
- La source de la collecte
- Le but de cette collecte
- Le nombre de jours durant lesquels vous allez conserver ces données
Ce fichier pourra être contrôlé par la CNIL, à tout moment. En cas de non conformité, l'amende peut aller jusqu'à 4% du chiffre d'affaires d'une société.
7- Nommez un Data Protection Officer (DPO)
Le DPO, à la fois juriste et technicien, est le chef d’orchestre de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés
- de contrôler le respect du règlement et du droit national en matière de protection des données
- de conseiller l’organisme sur la réalisation d’études d'impact sur la protection des données et d’en vérifier l’exécution
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
La désignation d’un délégué à la protection des données (DPO) est obligatoire si :
- Vous êtes un organisme public ;
- Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle. Par la nature même de votre activité, il faut entendre les produits ou services que vous délivrez. il ne s’agit donc pas des fonctions support de l’entreprise, telles que la gestion de la paie par exemple.
- Vous traitez, à grande échelle, des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
8- Mettez à jour les mentions légales de votre société
La collecte des données devant être transparente pour l'utilisateur, les mentions légales doivent faire part, précisément, :
- Du type de données collectées
- De la politique de collecte de données
- Des coordonnées du DPO
9- RGPD partout !
Vos formulaires, newsletters, etc. doivent être en conformité. Les mentions légales doivent apparaître sur tous vos documents liés à la collecte de données : informations du point 8/ mais aussi les mentions de désinscription par exemple.
10- En cas de contrôle de la CNIL
La décision de procéder à une mission de contrôle est prise par le Président de la CNIL sur proposition du service des contrôles.
Les contrôles de la CNIL peuvent se dérouler sur place, sur pièces, sur audition ou en ligne. Il peut être demandé au DPO de communiquer des documents préalablement au contrôle.
La CNIL doit informer l’organisme contrôlé de :
- L’objet du contrôle ;
- L’identité et la qualité des personnes contrôlées ;
- Le cas échéant le droit d’opposition.
Vous êtes prévenu du contrôle au moins 8 jours avant. Si besoin, vous pouvez vous faire assister d'un avocat.
Attention à bien vérifier l'identité et l'habilité de l'agent de la CNIL.
Cependant, les entreprises auront une marge de manoeuvre, pour appliquer cette nouvelle loi. Donc pas de stress, il est encore temps !
Vous souhaitez réaliser un site Internet, compatible RGPD ? Contactez KEYZZ.
