Depuis plusieurs mois, les sites web se sont mis à la page de la nouvelle loi RGPD. Si ce n'est pas encore votre cas, voici les étapes à suivre pour être en conformité avec cette réglementation.
La RGPD s'applique pour les entreprises domiciliés en UE ou non.
Vous êtes concerné par la RGPD, si vous collectez des données personnelles sur vos utilisateurs demeurant en UE. Ces données doivent permettre l'identification directe ou indirecte de vos utilisateurs.
Si ce n'est pas votre cas, vous êtes sorti d'affaire. Sinon, voici les étapes à suivre.
Vous devez lister les données qui permettent d'identifier, de façon directe ou indirecte vos utilisateurs. Ces utilisateurs peuvent être des personnes physiques ou morales.
Lorsque vous vous trouvez sur un site, une bannière s'affiche, désormais systématiquement. En voici un exemple simple :
La question doit être clairement posée et la case ne peut plus être pré-cochée. L'acceptation des CGV ne vaut pas, non plus consentement.
Vos utilisateurs sont propriétaires de leurs données. Ils peuvent donc, à tout moment, vous demander une copie des données que vous conservez.
L'utilisateur peut aussi refuser que vous exploitiez des données le concernant. Par exemple, l'utilisateur est en droit de refuser que vous traquiez un achat effectué sur votre site.
Désormais, la conservation des données est sous votre responsabilité. Attention aux prestataires que vous choisissez. Privilégiez les gestionnaires de données reconnus. Car, au moindre soucis, l'utilisateur peut se retourner contre vous et il faudra assumer, de façon solidaire, les actions de vos prestataires.
La loi impose de tenir un registre des données. Voici ce que doit contenir ce registre :
Ce fichier pourra être contrôlé par la CNIL, à tout moment. En cas de non conformité, l'amende peut aller jusqu'à 4% du chiffre d'affaires d'une société.
Le DPO, à la fois juriste et technicien, est le chef d’orchestre de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :
La désignation d’un délégué à la protection des données (DPO) est obligatoire si :
La collecte des données devant être transparente pour l'utilisateur, les mentions légales doivent faire part, précisément, :
Vos formulaires, newsletters, etc. doivent être en conformité. Les mentions légales doivent apparaître sur tous vos documents liés à la collecte de données : informations du point 8/ mais aussi les mentions de désinscription par exemple.
La décision de procéder à une mission de contrôle est prise par le Président de la CNIL sur proposition du service des contrôles.
Les contrôles de la CNIL peuvent se dérouler sur place, sur pièces, sur audition ou en ligne. Il peut être demandé au DPO de communiquer des documents préalablement au contrôle.
La CNIL doit informer l’organisme contrôlé de :
Vous êtes prévenu du contrôle au moins 8 jours avant. Si besoin, vous pouvez vous faire assister d'un avocat.
Attention à bien vérifier l'identité et l'habilité de l'agent de la CNIL.
Cependant, les entreprises auront une marge de manoeuvre, pour appliquer cette nouvelle loi. Donc pas de stress, il est encore temps !
Vous souhaitez réaliser un site Internet, compatible RGPD ? Contactez KEYZZ.