Comment se mettre en conformité avec le RGPD ?
Peu importe la taille ou l’activité de votre entreprise, si vous collectez des adresses e-mail ou des numéros de téléphone, vous êtes concernés par le Règlement Général sur la Protection des Données (RGPD). Le RGPD est une législation de l'Union Européenne (UE) qui a pour objectif de protéger les données personnelles des citoyens européens, et de réguler le traitement de ces données sur tout le territoire de l’UE. En vigueur depuis le 25 mai 2018, ce règlement impose des normes strictes aux sociétés qui collectent, stockent et traitent des données personnelles des résidents de l'Union européenne. Autrement dit, la mise en conformité RGPD de votre site web est obligatoire. Son non-respect peut entraîner des sanctions financières et nuire à la réputation de votre entreprise. Concrètement, comment cela se traduit-il pour votre entreprise ? Pour comprendre comment se mettre en conformité avec le RGPD, suivez le guide en 8 étapes !
Bon à savoir : on ne parle pas de « normes RGPD » mais de règlement ou de réglementation.
Étape 1 : Comprendre le RGPD
Avant de vous lancer, faisons le point : la mise en conformité avec le RGPD, c’est quoi ?
Une protection pour vos visiteurs
Si la mise en place du RGPD est obligatoire dans les entreprises, ce n’est pas pour leur interdire de traiter les données de leurs utilisateurs, mais bien pour protéger ces derniers. Ce règlement permet de garantir que leurs données personnelles sont traitées de manière éthique et responsable.
Un contrat de confiance avec vos visiteurs
Le RGPD repose sur trois principes fondamentaux.
- La transparence : les utilisateurs doivent être informés sur la manière dont leurs données seront utilisées et stockées ;
- La légitimité : les données ne peuvent être collectées que pour des raisons spécifiques, claires et bien spécifiées ;
- La limitation : seules les données strictement nécessaires à ces fins sont collectables.
Le RGPD a également introduit de nouveaux droits pour les utilisateurs, parmi lesquels :
- L’accès à leurs données personnelles, avec la possibilité de les rectifier ;
- La portabilité des données, c’est-à-dire la possibilité de récupérer une partie de vos données, de les stocker ailleurs ou de les transmettre d’un système à un autre, et de les réutiliser à d’autres fins ;
- Le droit à l’oubli, qui leur permet de demander la suppression de leurs données personnelles sous certaines conditions prévues par le règlement.
À présent, comment mettre le site de votre entreprise en conformité RGPD ?
Étape 2 : Constituez un registre de traitement des données
Pour commencer, vous devez créer un registre de traitement des données, c’est-à-dire un document qui répertorie toutes les activités de traitement des données personnelles effectuées par votre entreprise. À la fois guide interne et preuve de conformité en cas de contrôle par les autorités de régulation (la CNIL en France), ce registre essentiel doit inclure les informations suivantes.
- Données concernées : identifiez tous les types de données personnelles que vous collectez. Cela peut aller des noms et adresses e-mail à des données plus sensibles comme les informations de santé ou les données financières.
- Stockage des données : indiquez où et comment ces données sont stockées, que ce soit sur des serveurs internes, dans un cloud ou chez des sous-traitants.
- Accès aux données : listez les personnes ou les départements au sein de votre organisation qui ont accès aux données. Évaluez si cet accès est véritablement nécessaire et restreignez-le au minimum pour réduire les risques de violation de données.
- Finalités du traitement : décrivez les raisons pour lesquelles ces données sont collectées et traitées. Assurez-vous que ces raisons sont en accord avec les principes de légitimité énoncés dans le RGPD.
- Durée de conservation : spécifiez la durée pendant laquelle les données seront stockées. La durée de conservation est déterminée en fonction de la finalité du traitement. Vous devrez cependant supprimer les données personnelles des personnes inactives depuis plus de 3 ans de votre base de données.
- Mesures de sécurité : détaillez les mesures de sécurité mises en place pour protéger les données contre les accès non autorisés, les pertes ou les fuites.
- Sous-traitants : si vous faites appel à des sous-traitants pour le traitement des données, ils doivent également être en conformité avec le RGPD. Leur rôle et leurs obligations doivent être clairement définis dans le registre.
Veillez à tenir ce registre régulièrement à jour et facilement accessible en cas de contrôle.
Étape 3 : Désignez un délégué à la protection des données personnelles
La désignation d’un Délégué à la Protection des Données (DPD), ou Data Protection Officer (DPO) en anglais, dans le cadre de la mise en conformité avec le RGPD, est obligatoire pour les autorités et organismes publics, et les organisations dont les activités de base les conduisent à traiter des données personnelles à grande échelle (les banques, assurances, opérateurs téléphoniques ou fournisseurs d’accès à internet par exemple). Pour toutes les autres entreprises, la désignation d’un DPD n’est pas obligatoire mais vivement conseillée par la CNIL. C’est d’autant plus important si vous proposez à vos visiteurs de remplir des formulaires avec leurs coordonnées, que ce soit pour une livraison ou pour télécharger un document. Vous démontrez ainsi votre engagement et votre sérieux sur le respect des procédures RGPD.
Quel est son rôle ?
Ce délégué est chargé de superviser la stratégie de protection des données et de garantir la conformité du site web de votre entreprise avec le RGPD. Le Délégué à la Protection des Données joue un rôle multiple. Point de contact entre l’entreprise, les autorités de contrôle et les personnes dont les données sont traitées, il est également responsable de la sensibilisation et de la formation du personnel en matière de protection des données, ainsi que de la réalisation d’audits internes pour vérifier la conformité. C’est la référence RGPD de votre entreprise.
Étape 4 : Auditez la conformité de votre système de traitement des données
Cet exercice vise à vérifier l’adéquation et l’efficacité des politiques, procédures et mesures de sécurité, c’est-à-dire de tous les éléments listés en étape 2, mises en place au titre du RGPD par l’entreprise.
Votre méthodologie doit être rigoureuse. Commencez par une planification qui identifie les domaines à examiner, les responsables de l’audit et le calendrier. Ensuite, collectez tous les documents, registres et autres preuves de conformité. Vous pouvez alors commencer l’évaluation proprement dite, puis rédiger votre rapport d’audit résumant les résultats, identifiant les éventuelles lacunes et préconisant des mesures correctives. Enfin, pensez à mettre en place un suivi de ces mesures.
Pour vous aider, vous pouvez consulter notre article Vérifier la conformité RGPD de votre site web.
Étape 5 : Sécurisez vos données
Se mettre en conformité RGPD implique la mise en place de mesures concrètes, techniques et organisationnelles pour sécuriser et protéger les données personnelles contre les accès non autorisés, les pertes ou les fuites.
Les mesures techniques
Mettez régulièrement à jour les systèmes de protection de votre site ou de votre infrastructure informatique. Si ce n’est pas déjà fait, installez des pare-feux, utilisez des protocoles de cryptage pour le transfert et le stockage des données, pensez à mettre en place des systèmes de détection et de prévention des intrusions. Faites régulièrement les mises à jour de sécurité. Vous pouvez enfin réaliser des tests d’intrusion pour identifier les failles potentielles dans votre système.
Pour vous aider, vous pouvez consulter notre article Comment protéger votre site web ?
Les mesures organisationnelles
Sensibilisez et formez vos employés aux meilleures pratiques en matière de sécurité des données. Apprenez avec eux à reconnaître et à réagir aux différentes attaques. Instaurez des politiques claires d’accès aux données personnelles : qui peut y accéder, dans quelles circonstances et à quelles informations précisément.
Pour aller plus loin, consultez notre article Que faire si votre entreprise est victime d’une cyberattaque ?
Étape 6 : Respectez le consentement des visiteurs
Le consentement des visiteurs ou utilisateurs d’un site est un pilier central du RGPD. Les personnes doivent être correctement informées et donner leur accord explicite pour le traitement de leurs données personnelles.
Qu’est-ce que le consentement ?
Dans le contexte du RGPD, le consentement est une manifestation de volonté libre, spécifique et éclairée par laquelle la personne accepte le traitement de ses données personnelles. Ce consentement doit être donné par un acte positif clair, comme cocher une case sur un formulaire en ligne par exemple.
C’est le cas des cookies, pour lesquels les visiteurs doivent être informés de leur exploitation et manifester explicitement leur accord ou désaccord. En guise d’exemple de procédure RGPD, vous pouvez par exemple insérer un bandeau ou une fenêtre pop-up lors de la première visite, qui détaille les types de cookies utilisés et leurs fins. Les utilisateurs doivent avoir la possibilité de donner ou de refuser leur consentement, et le choix doit être aussi simple à faire qu’à défaire.
Pour vous inspirer, vous pouvez vous appuyer sur la page dédiée au traitement des cookies sur Réussir en .fr.
Pour les newsletters ou autres communications marketing, les utilisateurs doivent indiquer explicitement leur consentement à recevoir des communications. Par exemple, sur Réussir en .fr, lorsqu’un utilisateur s’inscrit à la newsletter, des informations sur le traitement de ses données lui sont délivrées.
Enfin, chaque newsletter doit proposer une option pour se désinscrire facilement.
Étape 7 : Rédigez votre politique de confidentialité
Étape obligatoire pour toute organisation qui collecte ou traite des données personnelles, la politique de confidentialité doit inclure toutes les politiques, procédures et mesures de sécurité, listées en étape 2, mises en place au titre du RGPD par l’entreprise.
Utilisez des termes clairs et compréhensibles, sans jargon juridique complexe, pour que les personnes concernées puissent facilement comprendre comment leurs données seront traitées. Enfin, pensez à mettre régulièrement ce document à jour.
La politique de confidentialité doit être accessible facilement. Vous pouvez par exemple insérer un lien dans le footer de votre site web, c’est-à-dire dans l’espace en bas de page, commun à toutes les pages de votre site.
À titre d’exemple, vous pouvez consulter la page dédiée aux traitements des données de Réussir en .fr.
Pour aller plus loin, découvrez nos conseils :
- 2 minutes pour intégrer le paiement en ligne à votre site
- 3 étapes pour vendre vos produits sur le web en toute légalité
Étape 8 : Préparez une notification en cas de violation de données
Prudence est mère de sûreté ; préparez une notification en cas de violation de données pour vous permettre de réagir rapidement en cas de problème et rester en conformité. En effet, le RGPD exige que les autorités de contrôle compétentes soient notifiées dans les 72 heures suivant la découverte de la violation.
Cette notification doit préciser la nature de la violation, les données affectées, les mesures prises pour atténuer ses effets, et les coordonnées du délégué à la protection des données (DPD) ou de tout autre point de contact. En plus de notifier les autorités, pensez à aussi informer les personnes concernées, surtout si la violation présente un risque élevé pour leurs droits et libertés.
Adoptez une approche proactive. Vous vous prémunissez ainsi des sanctions financières et dommages éventuels à votre réputation, tout en valorisant votre engagement envers vos utilisateurs. C’est gagnant-gagnant !
