Mentions légales et RGPD : ce qu’il faut savoir pour votre site internet
Avez-vous entendu parler du RGPD ? Oui, certainement. Un acronyme qui fait du bruit en ce moment, et pour cause l’entrée en vigueur de ce fameux RGPD est prévue pour le 25 mai 2018. Ce qui signifie qu’à l’heure où nous rédigeons ces lignes, il vous reste moins d’un mois pour vous préparer à son arrivée.
Une arrivée crainte par grand nombre d’entrepreneurs puisque celle-ci implique quelques changements importants et suscite de nombreuses questions: Qu’est ce que le RGPD ? Quels changement à prévoir sur mon site internet ? Dois je réécrire mes mentions légales ? Est-ce qu’utiliser un générateur de mentions légales est déconseillé ?
Nous aussi, nous nous sommes posés des questions sur le RGPD et ses enjeux. Voici ce que l’on a retenu du RGPD et de ses impacts sur les sites web !
Le RGPD en quelques mots
Le RGPD ou GDPR, est un Règlement Général sur la Protection des Données à caractère personnel. Ce règlement vient remplacer et réaffirmer la directive de 1995, ainsi que la loi “Informatique et Liberté”. L’objectif étant d’encadrer plus fermement le développement des traitements de données personnelles.
Contrairement à une directive, un règlement s’applique totalement et directement dans tous les états concernés (ici l’Union Européenne). Par conséquent, l’arrivée du RGPD va pouvoir harmoniser les différentes législations relatives aux traitements de données, dans tous les états de l’UE.
Une avancée utile et nécessaire pour la protection et le respect de la vie privée auquelle les citoyens européens ont le droit, conformément à l’article 9 du code civil.
Un petit récapitulatif des droits englobés par le RGPD
Pour comprendre ce qu’implique le RGPD, il faut savoir que ce règlement instaure de nouveaux droits. Notamment:
- Le droit à la limitation du traitement qui permet d’exiger la limitation du traitement de ses données. Autrement dit, contraindre l’entreprise qui traite de ses données à les stocker sans les utiliser.
- Le droit à la portabilité pour qu’un individu puisse récupérer la totalité de ses données, et ce auprès de n’importe quel organisme dans le but de les réutiliser comme il lui plaît.
- Le droit à l’oubli qui permet l’effacement de toutes les données concernant le demandeur récoltées par un organisme. Retrait du consentement, injustification d’usage, opposition au traitement, ou autre…
Mais aussi des droits existants avant le RGPD:
- Le droit à l’information dès lors qu’il y a collecte de données, qu’importe si celles-ci ont été obtenues auprès de la personne concernée ou d’une tierce personne.
- Le droit d’accès, qui autorise tout individu à obtenir une confirmation quant à l’état de ses données ainsi qu’une copie de ses données s’il le souhaite.
- Le droit de rectification et donc de compléter ou à rectifier des données concernant sa propre personne.
- Le droit d’opposition et donc le droit de refuser un traitement de données à caractère personnel. Ou à s’opposer à leur utilisation marketing.
- Le droit à la communication d’une violation de données à caractère personnel. Droit qui implique un devoir pour le responsable de traitement : prévenir les individus concernés par les données violées.
À savoir que dans le cadre du RGPD, vous avez jusqu’à 72h après une fuite ou violation de données pour prévenir la CNIL et les concernés.
Pour plus d’informations concernant ces droits, rendez-vous sur le site de la CNIL.
Quelles données protège t-on ?
Lorsque l’on parle de donnée personnelle on entend toute donnée pouvant permettre l’identification directe ou indirecte d’un individu.
Par exemple un Nom permet l’identification directe. Une plaque d’immatriculation permet une identification indirecte.
Les données personnelles peuvent être sensibles ou non.
Comme exemple de données sensibles : une donnée liée à l’opinion politique, les démarches juridiques, pénales ou encore l’orientation sexuelle d’un individu.
Comme exemple de données non-sensibles on trouvera le Nom, le Prénom, la date de naissance, etc.
Qui sont les concernés
Vous !
À partir du moment où vous êtes un professionnel, travaillant en ligne et traitant des données sur ses internautes européens. Qu’importe que vous disposiez ou non d’une entreprise au sein de l’UE, tant que celle-ci traite des données de citoyens européens. Cela s’applique aussi dans le cas où vous récoltez des données destinées à un transfert hors UE.
À savoir que cela est valable quelle que soit la taille de votre entreprise, votre secteur d’activité ou le rôle de votre entreprise dans le traitement de données.
Clarté et transparence exigées !
Le meilleur moyen d’être en règle avec le RGPD est de faire preuve d’une transparence et d’une clarté sans faille.
Pour vos mentions légales la venue du RGPD implique un besoin de renouveau, surtout en ce qui concerne votre politique de confidentialité ! Il va falloir redonner un coup de fraîcheur à votre page de mentions légales.
Sur cette nouvelle version de mentions légales, vous devrez mettre l’accent sur les informations relatives à la vie privée des visiteurs.
Indiquez y, une fois de plus, la récolte de données, expliquez la finalité de vos traitements et le temps de conservation de ses données. Puis rappelez à vos visiteurs leurs droits. Ainsi que la manière de les faire appliquer.
Si vous décidez d’utiliser un générateur de mentions légales, vous gagnerez certes du temps, mais vous ne devez pas oublier de relire et de retravailler les mentions générées par l’outil. Pensez aussi à vérifier la conformité juridiques auprès de son éditeur avant utilisation. Il faut que le générateur ait été mis à jour pour prendre en compte les nouveautés introduites par RGPD.
Il est important de faire preuve de clarté et de transparence. Sans compter que cela pourrait venir renforcer les liens que vous entretenez avec vos clients et la confiance qu’ils vous accordent.
La recette du bandeau de cookies a évolué
Comme vous le savez, hier déjà il était obligatoire d’afficher un bandeau sur son site internet pour informer les visiteurs de la présence de cookies et donc de la récolte de données.
Aujourd’hui, on n’informe plus et on ne fait pas non plus semblant de demander un consentement. On le demande réellement.
Attention, le consentement doit être “éclairé”. Ce qui signifie que l’utilisateur doit donner son consentement en toute connaissance de cause : quelles données sont récoltées ? Combien de temps sont-elles conservées ? Pourquoi sont-elles récoltées ?
De plus, le consentement doit être donné de façon claire et explicite.
Par conséquent, fini les cases de consentement pré-cochés !
À ne pas oublier !
En vue de l’arrivée du RGPD, voici une to-do list à suivre :
- Faire un tour sur le site de la CNIL avant tout et prendre connaissance du guide à l’attention des entrepreneurs
- Vérifier que les données actuellement récoltées font toutes l’objet de traitements conformes au RGPD et que vous avez bien eu le consentement des propriétaires de ces données.
- Nommer un/e DPO au sein de son entreprise: cette personne sera chargée d’assurer de la conformité de son entreprise et sera l’interlocuteur privilégié de la CNIL en cas de contrôle, il devra donc avoir une connaissance parfaite sur le sujet du RGPD..
- Tenir un registre de traitement de données triant toutes les données récoltées selon le type de traitement, le but et la finalité, ainsi que le type de données, leur durée de conservation, leur origine et leur destination s’il y a transfert
- Faire des analyses d’impact sur la vie privée des individus concernés afin de limiter les dégâts éventuels.
- Mettre en place un process en interne pour favoriser la protection des données traitées et sensibiliser les équipes
- Constituer un dossier réunissant toute la documentation nécessaire à prouver sa conformité en cas de contrôle de la CNIL.
Pour clore cet article, nous vous recommandons de lire et de croiser les sources afin de vous faire une idée plus claire du RGPD et de ce qu’il implique.