Comment réussir sa mise en conformité RGPD ?

Données personnelles 1273 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

Le règlement général sur la protection des données

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, aussi nommé RGPD est relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il renforce les grands principes de la loi Informatique et Libertés. Ce Règlement est ainsi venu abroger la directive 95/46/CE qui régissait auparavant ladite protection des données, au profit de nouvelles dispositions protectrices des internautes.

Le RGPD fixe l’ensemble des règles qui s’appliquent lors du traitement des données personnelles des individus par les différentes entités qui collectent ces données dans le cadre de leurs activités.

Il est applicable depuis le 25 mai 2018 sur l’ensemble du territoire de l’Union Européenne.

Les personnes concernées par le RGPD

Le RGPD trouve à s’appliquer dès lors qu’un organisme collecte ou traite des données personnelles relatives à des personnes physiques. Son application est large puisque sont visés indifféremment personne morale et personne physique, ce dès lors qu'il y a une collecte ou un traitement de données personnelles.

Le champs d'application du RGPD

Le règlement s’applique tant aux organismes qui sont implantés sur le territoire de l’Union Européenne, aux organismes hors Union Européenne, ou encore aux sous-traitants.

  • D’abord, le RGPD vise tous les organismes domiciliĂ©s sur le territoire de l’Union EuropĂ©enne, dès lors que ceux-ci traitent les donnĂ©es personnelles de personnes physiques, peu important que ces derniers rĂ©sident ou non dans l’Union europĂ©enne. Ainsi, il peut s’agir de rĂ©sidents de l’Union EuropĂ©enne mais Ă©galement de personnes hors Union europĂ©enne.
  • Ensuite, le RGPD s’applique aussi aux organismes hors Union EuropĂ©enne. Seul importe que l’activitĂ© de l’entitĂ© traite des donnĂ©es de rĂ©sidents de l'Union EuropĂ©enne.
  • Enfin, le RGPD s’étend Ă©galement au traitement des donnĂ©es personnelles par les sous-traitants (article 82 du RGPD). Le sous-traitant est analysĂ© comme la « personne physique ou morale, l’autoritĂ© publique ou tout organisme » qui traite ou collecte des donnĂ©es personnelles pour le compte d’un responsable de traitement (personne physique ou morale, autoritĂ© publique ou organisme) dans la cadre d’un service ou d’une prestation. Sont ainsi qualifiĂ©s les agences de communication ou encore les prestataires de services informatiques.

Au regard des obligations mises à la charges des différents acteurs par le RGPD qui engagent leur responsabilité et des sanctions (articles 83 et 84 du RGPD) encourues en cas de manquement à celles-ci, il est important de solliciter un expert juridique afin de s’assurer de la conformité du traitement des données au règlement.

Les données concernéees par le RGPD

Le RGPD s’applique dès lors qu’une entité traite ou collecte des données personnelles relatives aux personnes physiques. La notion de données personnelles s’entend comme toute donnée permettant d’identifier la personne physique, que ce soit de manière directe (nom et prénom) ou bien de manière indirecte (adresse postale, numéro de téléphone, adresse IP, numéro de sécurité sociale, etc…).

Tout organisme en possession d’une seule de ces données est soumise à la règlementation générale sur la protection des données, peu importe son activité principale.

Par ailleurs, certaines données sont dites sensibles (voir article 9 du RGPD) dans la mesure où leur utilisation peut conduire à des discriminations (appartenance religieuse, orientation sexuelle, opinion politique, etc…). Il convient de se montrer particulièrement vigilant vis-a-vis de cette catégorie particulière de données à caractère personnel : le RGPD interdit leur traitement par principe. Néanmoins, les organismes peuvent toujours y procéder s’ils se conforment à certaines exigences dont notamment l’obtention d’un consentement écrit, clair et explicite, et pour des finalités précises présentant un intérêt public.

Comment mettre mon site internet en conformité avec le RGPD ? 

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement par le responsable du traitement qui constituera l’élément essentiel de la documentation nécessaire pour démontrer sa conformité au RGPD.

Un autre point essentiel réside dans la demande du consentement au traitement de ses données personnelles des utilisateurs. Ce consentement doit être demandé de manière explicite à tous les internautes, ce qui implique une démarche active de sa part qui doit cliquer sur la case qui correspond ou non à son autorisation (la case ne doit pas être précochée).

Ensuite, le visiteur doit être informé du traitement de ses données personnelles, c’est-à-dire qu’il doit être renseigné sur les données traitées, sur la durée et le but de ce traitement ou encore que le responsable du traitement soit identifié. Pour être conforme au RGPD, ces informations doivent être inscrites et visibles sur votre site.

Le RGPD affecte sensiblement plusieurs mentions présentes sur votre site internet et nécessite d’y prêter une attention particulière ainsi que de procéder à leur modification si cela est nécessaire afin d’être en conformité avec ce nouveau règlement.

La question du dépôt de cookies et du traçage publicitaire des internautes

Si votre site internet dépose des cookies ou autres traceurs sur les outils de l’utilisateur afin de collecter des informations sur les habitudes de navigation de ce dernier, il est nécessaire de l’en informer et d’obtenir son consentement spécifique (voir décision de la CJUE du 1er octobre 2019), et ce, avant tout dépôt sur son matériel.

Les utilisateurs doivent également pouvoir trouver une liste de chaque cookie utilisé sur le site et il doit avoir la possibilité de les désactiver lorsqu’il le souhaite.

Il faut informer les internautes sur la collecte des données personnelles par le biais des cookies utilisés sur le site. De plus, afin de respecter l’utilisateur, il faut lui permettre de continuer sa navigation malgré un refus de sa part de certains cookies, dans la mesure du possible.

La politique de confidentialité : un document indispensable

La politique de confidentialité désigne un document ou contrat qui présente en détails la manière dont sont recueillies et traitées les données personnelles.

Sa rédaction est déterminante pour répondre aux exigences du RGPD. Elle doit présenter les mentions suivantes :

  • CoordonnĂ©es du dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (DPO ou DPD) de l'organisme, s'il a Ă©tĂ© dĂ©signĂ©, ou d'un point de contact sur les questions de protection des donnĂ©es personnelles
  • FinalitĂ© poursuivie par le traitement auquel les donnĂ©es sont destinĂ©es
  • Caractère obligatoire ou facultatif des rĂ©ponses et consĂ©quences Ă©ventuelles Ă  l'Ă©gard de l'internaute d'un dĂ©faut de rĂ©ponse
  • Destinataires ou catĂ©gories de destinataires des donnĂ©es
  • Droits d'opposition, d'interrogation, d'accès et de rectification
  • Au besoin, les transferts de donnĂ©es Ă  caractère personnel envisagĂ©s Ă  destination d'un État n'appartenant pas Ă  l'Union EuropĂ©enne.
  • Base juridique du traitement de donnĂ©es (c'est-Ă -dire ce qui autorise lĂ©galement le traitement : il peut s'agir du consentement des personnes concernĂ©es, du respect d'une obligation prĂ©vue par un texte, de l'exĂ©cution d'un contrat notamment)
  • Mention du droit d'introduire une rĂ©clamation (plainte) auprès de la Cnil.

RGPD : quels droits pour les internautes ?

Le RGPD s’inscrit dans la droite ligne d’un renforcement des droits des internautes au regard de la protection de leurs données personnelles. Il se propose à la fois d’améliorer l’information des utilisateurs, mais aussi de faciliter l’exercice de leurs droits.

Ceux-ci bénéficient ainsi :

  • d’un droit Ă  l’information qui englobe le fait d’être averti en cas de piratage de ses donnĂ©es personnelles,
  • d’un droit Ă  l’oubli par lequel l’utilisateur peut obtenir l’effacement (article 17 du RGPD) ou le retrait de ses donnĂ©es personnelles en cas d’atteinte Ă  sa vie privĂ©e,
  • d’un droit Ă  la transparence (article 12 du RGPD),
  • d’un droit Ă  la portabilitĂ© des donnĂ©es afin de pouvoir passer d’un site internet Ă  un autre site de mĂŞme nature sans perdre ses informations.
 
Obtenez un devis en 24 heures par nos avocats
Prestation demandée :

Merci de sélectionner le thème de votre devis

Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Type de règlement :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
un batiment Ă  l'architecture moderne
Donnees personnelles 3275 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est Ă©crit "big data is watching you"
Donnees personnelles 551 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Donnees personnelles 843 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne
Donnees personnelles 1978 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 1006 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un Ă©cran d'ordinateur montrant le site Facebook
Donnees personnelles 1942 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

un graphique sur un Ă©cran d'ordinateur
Donnees personnelles 1214 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne tapant au clavier de son pc portable
Donnees personnelles 7912 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

des rangées de caméras accrochées à un mur
Donnees personnelles 2301 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.