Êtes-vous conforme au RGPD ?

Conformité RGPD : pourquoi c’est important ?

Le Règlement général sur la protection des données (RGPD) représente un changement fondamental dans la perception et le traitement des données personnelles. En imposant aux entreprises une transparence totale sur la façon dont elles collectent, utilisent et protègent les données, ce règlement confère aux utilisateurs des garanties inédites en matière de protection et de contrôle sur leurs données personnelles.

Au-delà de la seule protection des données, la conformité au RGPD est aussi une question de responsabilité sociale et de crédibilité pour les entreprises. Ne pas respecter le RGPD peut avoir des conséquences graves, à la fois financières, avec des sanctions pouvant atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise ou 20 millions d’euros (selon le montant le plus élevé), et pour la réputation de votre entreprise, en impactant votre relation de confiance avec les clients.

---

Où en êtes-vous dans la protection des données personnelles ?

---

Une protection pour vos visiteurs

Si la mise en conformité au RGPD est obligatoire dans les entreprises, ce n’est pas pour leur interdire de traiter les données de leurs utilisateurs, mais bien pour protéger ces derniers. Ce règlement permet de garantir que leurs données personnelles sont traitées de manière éthique et responsable, lorsqu’ils consultent un site internet.

Un contrat de confiance avec vos visiteurs

Le RGPD repose sur trois principes fondamentaux :

• La transparence : les utilisateurs doivent être informés sur la manière dont leurs données seront utilisées et stockées ;
• La légitimité : les données ne peuvent être collectées que pour des raisons spécifiques, claires et bien spécifiées ;
• La limitation : seules les données strictement nécessaires à ces fins sont collectables.

Le RGPD a également introduit de nouveaux droits pour les utilisateurs, parmi lesquels :

• L’accès à leurs données personnelles, avec la possibilité de les rectifier ;
• La portabilité des données, c’est-à-dire la possibilité de récupérer une partie de vos données, de les stocker ailleurs ou de les transmettre d’un système à un autre, et de les réutiliser à d’autres fins ;
• Le droit à l’oubli, qui leur permet de demander la suppression de leurs données personnelles sous certaines conditions prévues par le règlement.

À présent, comment mettre le site de votre entreprise en conformité avec le RGPD ?

10 étapes pour être conforme au RGPD

Voici les principales étapes à suivre pour garantir la conformité au RGPD de votre site web.

Étape 1 : Constituez un registre de traitement de données

Pour commencer, vous devez créer un registre de traitement des données, c’est-à-dire un document qui répertorie toutes les activités de traitement des données personnelles qui sont effectuées par votre entreprise. Servant à la fois de guide interne et de preuve de conformité en cas de contrôle par les autorités de régulation (la CNIL en France), ce registre essentiel doit inclure les informations suivantes :

• Données concernées : identifiez tous les types de données personnelles que vous collectez. Cela peut aller des noms et adresses e-mail à des données plus sensibles comme les informations de santé ou les données financières.
• Stockage des données : indiquez où et comment ces données sont stockées, que ce soit sur des serveurs internes, dans un cloud ou chez des sous-traitants.
• Accès aux données : listez les personnes ou les départements au sein de votre organisation qui ont accès aux données. Évaluez si cet accès est véritablement nécessaire et restreignez-le au minimum pour réduire les risques de violation de données.
• Finalités du traitement : décrivez les raisons pour lesquelles ces données sont collectées et traitées. Assurez-vous que ces raisons sont en accord avec les principes de légitimité énoncés dans le RGPD.
• Durée de conservation : spécifiez la durée pendant laquelle les données seront stockées. La durée de conservation est déterminée en fonction de la finalité du traitement. Vous devrez cependant supprimer les données personnelles des personnes inactives depuis plus de 3 ans de votre base de données.
• Mesures de sécurité : détaillez les mesures de sécurité mises en place pour protéger les données contre les accès non autorisés, les pertes ou les fuites.
• Sous-traitants : si vous faites appel à des sous-traitants pour le traitement des données, ils doivent également être en conformité avec le RGPD. Leur rôle et leurs obligations doivent être clairement définis dans le registre.

Veillez à tenir ce registre régulièrement à jour et facilement accessible en cas de contrôle.

---

5 bonnes pratiques pour protéger vos données personnelles

---

Étape 2 : Désignez un délégué à la protection des données personnelles

La désignation d’un Délégué à la Protection des Données (DPD), ou Data Protection Officer (DPO) en anglais, dans le cadre de la mise en conformité avec le RGPD, est obligatoire pour les autorités et organismes publics, et les organisations dont les activités de base les conduisent à traiter des données personnelles à grande échelle (les banques, assurances, opérateurs téléphoniques ou fournisseurs d’accès à internet par exemple).

Pour toutes les autres entreprises, la désignation d’un DPD n’est pas obligatoire, bien que vivement conseillée par la CNIL. C’est d’autant plus important si vous proposez à vos visiteurs de remplir des formulaires avec leurs coordonnées, que ce soit pour une livraison ou pour télécharger un document. Vous démontrez ainsi votre engagement et votre sérieux sur le respect du RGPD

Quel est son rôle ?
Ce délégué est chargé de superviser la stratégie de protection des données et de garantir la conformité du site web de votre entreprise avec le RGPD. Le Délégué à la Protection des Données joue un rôle multiple. Point de contact entre l’entreprise, les autorités de contrôle et les personnes dont les données sont traitées, il est aussi responsable de la sensibilisation et de la formation du personnel en matière de protection des données, comme de la réalisation d’audits internes pour vérifier la conformité au RGPD. C’est la référence de votre entreprise en la matière.

---

Pensez à former tous vos employés aux principes de base du RGPD
Vous vous assurez ainsi que chaque membre de l’entreprise est conscient des obligations légales en matière de traitement des données personnelles, et vous réduisez le risque de violations de données et les sanctions potentielles qui peuvent en découler. 

Ce temps de formation permet aussi d’instaurer une culture de la protection de la vie privée. Vos équipes seront aptes à reconnaître et à gérer de manière proactive les risques liés à la protection des données. C’est aussi une manière de démontrer l’engagement de votre entreprise en matière de confiance numérique auprès de vos clients comme des organismes régulateurs.

---

Étape 3 : Auditez la conformité de votre système de traitement des données

Un audit de conformité au RGPD est un processus permettant de vérifier si les pratiques d’une organisation en matière de traitement de données personnelles sont en accord avec les exigences du RGPD. 

Pour savoir si vous avez pris les mesures nécessaires, voici les grandes étapes à suivre :

1. Préparez votre audit : listez les domaines à évaluer comme la collecte, le stockage, le traitement et la suppression des données personnelles.
2. Examinez votre documentation : analysez toutes les politiques et procédures relatives à la protection des données, comme les demandes de consentement, la politique de confidentialité et vos accords avec vos sous-traitants. Sont-ils accessibles ? Faciles à comprendre ?
3. Évaluez vos mesures de sécurité : qu’avez-vous mis en place pour protéger les données ? Faites le point sur les mesures techniques telles que le cryptage, la gestion des accès, et les mesures organisationnelles comme les procédures de réponse aux incidents de sécurité ou la désignation d’un délégué à la protection des données personnelles.
4. Vérifiez le respect des droits des usagers : veillez à respecter le droit à l’information, le droit à l’oubli et le droit à la portabilité des données. Vérifiez les moyens par lesquels vos utilisateurs peuvent demander à faire usage de ces droits.
5. Analysez les risques et écrivez votre rapport : décrivez les risques de non-conformité que vous avez identifiés et leurs impacts possibles, et produisez un rapport détaillant les conclusions de l’audit et les recommandations pour y remédier au plus vite.

La fréquence recommandée pour les audits de conformité au RGPD dépend de plusieurs facteurs comme la taille de l’organisation, la nature et le volume des données traitées, et les changements dans les pratiques de traitement des données. Pour les petites et moyennes entreprises, réaliser un audit une fois par an est conseillé. Enfin, gardez un œil sur les évolutions de la réglementation.

Étape 4 : Sécurisez vos données

Se mettre en conformité avec le RGPD implique la mise en place de mesures concrètes, techniques et organisationnelles pour sécuriser et protéger les données personnelles contre les accès non autorisés, les pertes ou les fuites.

Les mesures techniques
Mettez régulièrement à jour les systèmes de protection de votre site ou de votre infrastructure informatique. Si ce n’est pas déjà fait, installez des pare-feux, utilisez des protocoles de cryptage pour le transfert et le stockage des données, pensez à mettre en place des systèmes de détection et de prévention des intrusions. Faites régulièrement les mises à jour de sécurité. Vous pouvez enfin réaliser des tests d’intrusion pour identifier les failles potentielles dans votre système.

Pour vous aider, lisez notre article : Comment protéger votre site web ?

Les mesures organisationnelles
Instaurez des politiques claires d’accès aux données personnelles : qui peut y accéder, dans quelles circonstances et à quelles informations précisément.

Pour aller plus loin : que faire si votre entreprise est victime d’une cyberattaque ?

Étape 5 : Respectez le consentement des visiteurs

Le consentement des visiteurs d’un site est un pilier central du RGPD. Les personnes doivent être correctement informées et donner leur accord explicite pour le traitement de leurs données personnelles. C’est le cas des cookies, pour lesquels les visiteurs doivent être informés de leur exploitation, manifester explicitement leur accord ou désaccord, et pouvoir changer d’avis à tout moment.

---

Qu’est-ce que le consentement ?

Dans le contexte du RGPD, le consentement est une manifestation de volonté libre, spécifique et éclairée par laquelle la personne accepte le traitement de ses données personnelles. Ce consentement doit être donné par un acte positif clair, comme cocher une case sur un formulaire en ligne par exemple.

---

Les cookies ont divers usages : ils peuvent servir au bon fonctionnement du site, aider la gestion des identifiants et mots de passe, mais aussi être utilisés pour récolter des statistiques ou publier des publicités ciblées. 

Une bonne gestion des cookies passe par l’utilisation d’un bandeau d’information, présent sur chaque page du site, qui ne disparaît qu’après l’action de l’utilisateur, souvent par un clic, indiquant son consentement. Dans ce bandeau, il est essentiel d’informer les visiteurs sur les types de données personnelles collectées par l’organisme, ainsi que les finalités de la collecte et la durée de conservation des données personnelles.

Offrir aux utilisateurs la possibilité de personnaliser leurs préférences en matière de cookies est également obligatoire. Ces informations doivent être facilement accessibles, dans le pied de page ou les mentions légales du site. Certains systèmes de gestion de contenu (CMS) comme WordPress ou Joomla proposent des solutions pratiques (plugins ou extensions) pour faciliter la mise en conformité au RGPD avec les exigences en matière de cookies.

En guise d’exemple de procédure RGPD, vous pouvez par exemple insérer un bandeau ou une fenêtre pop-up lors de la première visite, qui détaille les types de cookies utilisés et leurs fins. Les utilisateurs doivent avoir la possibilité de donner ou de refuser leur consentement, et le choix doit être aussi simple à faire qu’à défaire.

Pour vous inspirer, vous pouvez vous appuyer sur la page dédiée au traitement des cookies sur Réussir en .fr.

---

À noter : jusqu’à ce que le visiteur donne son consentement, seuls les cookies essentiels au fonctionnement du site doivent être activés. Une fois acceptés, les cookies peuvent rester valides pendant une durée maximale de 13 mois, après quoi il faudra obtenir à nouveau le consentement de l’utilisateur.

---

Pour les newsletters ou autres communications marketing, les utilisateurs doivent indiquer explicitement leur consentement à recevoir des communications. Par exemple, sur Réussir en .fr, lorsqu’un utilisateur s’inscrit à la newsletter, des informations sur le traitement de ses données lui sont délivrées.

Enfin, chaque newsletter doit proposer une option pour se désinscrire facilement.

---

À noter : il est désormais interdit de collecter et stocker des données sans but précis… d’où la nécessité de vous poser les bonnes questions quant aux objectifs de votre site web et de vos communications.

---

Étape 6 : Rédigez votre politique de confidentialité

Étape obligatoire pour toute organisation qui collecte ou traite des données personnelles, la politique de confidentialité doit inclure toutes les politiques, procédures et mesures de sécurité, listées en étape 1, mises en place au titre du RGPD par l’entreprise.

Utilisez des termes clairs et compréhensibles, sans jargon juridique complexe, pour que les personnes concernées puissent facilement comprendre comment leurs données seront traitées. Enfin, pensez à mettre régulièrement ce document à jour.

La politique de confidentialité doit être accessible facilement. Vous pouvez par exemple insérer un lien dans le footer de votre site web, c’est-à-dire dans l’espace en bas de page, commun à toutes les pages de votre site. À titre d’exemple, vous pouvez consulter la page dédiée aux traitements des données de Réussir en .fr.
Les mentions légales du site doivent également être à jour et reprendre les informations concernant la gestion et l’utilisation des données personnelles.

Étape 7 : Sécurisez les transferts de données

Votre site internet doit être convenablement développé et protégé. Votre matériel informatique également, afin que les données collectées soient en sécurité lors des échanges comme lors de leurs traitements. Si vous collectez des données via votre site, il est désormais obligatoire d’installer un certificat SSL pour chiffrer les informations en transit. Les solutions clés en main de création de site intègrent désormais ces prérequis.

Étape 8 : Préparez une notification en cas de violation de données

Prudence est mère de sûreté ! Préparez une notification en cas de violation de données pour vous permettre de réagir rapidement en cas de problème et rester en conformité. En effet, le RGPD exige que les autorités de contrôle compétentes soient notifiées dans les 72 heures suivant la découverte de la violation.

Cette notification doit préciser la nature de la violation, les données affectées, les mesures prises pour atténuer ses effets, et les coordonnées du délégué à la protection des données (DPD) ou de tout autre point de contact. En plus de notifier les autorités, pensez à aussi informer les personnes concernées, surtout si la violation présente un risque élevé pour leurs droits et libertés.

Adoptez une approche proactive. Vous vous prémunissez ainsi des sanctions financières et dommages éventuels à votre réputation, tout en valorisant votre engagement envers vos utilisateurs. C’est gagnant-gagnant !

---

À noter : toute violation de données doit désormais être notifiée à la CNIL dans un délai maximum de 72 heures après sa découverte.

---

Étape 9 : Gérez les demandes utilisateurs

L’article 7, § 3, du RGPD prévoit le droit pour la personne concernée de retirer son consentement. La personne concernée peut solliciter à tout moment l’entreprise pour faire valoir ce droit. Vous avez alors l’obligation de supprimer ses données et de l’en informer. Pensez à prévoir des processus efficaces pour traiter les demandes des utilisateurs. Si vous avez désigné un DPD, c’est à lui de se charger de répondre dans un délai raisonnable (environ 5 jours ouvrés). Veillez à garder des traces des échanges afin de prouver que vous avez bien traité la demande de l’utilisateur.

Étape 10 : Mettez en place une veille réglementaire continue

Tenez-vous informé des évolutions législatives dans le secteur. Surveillez régulièrement les changements réglementaires et apporter les ajustements nécessaires aux pratiques de conformité au RGPD.

Foire aux questions

• Quels sont les 3 grands principes du RGPD ?

1. La transparence : les utilisateurs doivent être informés sur la manière dont leurs données seront utilisées et stockées ;
2. La légitimité : les données ne peuvent être collectées que pour des raisons spécifiques, claires et bien spécifiées ;
3. La limitation : seules les données strictement nécessaires à ces fins sont collectables.

• Quel est le risque maximum en cas de non-conformité au RGPD ?

Avec le RGPD, le montant des sanctions pécuniaires peut aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

• Est-ce que le RGPD est obligatoire ?

Oui, toutes les entreprises qui collectent, stockent et utilisent des données à caractère personnel sont concernées par le Règlement européen sur la protection des données (RGPD).

• Comment obtenir une attestation RGPD ?

Pour obtenir une attestation de conformité au RGPD, vous devez vous rapprocher d’un organisme agréé par la CNIL. Attention, ce n’est pas la CNIL qui délivre les certifications RGPD, elle est l’autorité qui fixe les critères de conformité qui servent à faire les évaluations et délivre les agréments aux organismes de certifications. Seuls les organismes agréés par la CNIL sont reconnus.Vous pouvez consulter la liste des organismes de certification agréés par la CNIL ici.

Pour aller au-delà des exigences de base en matière de conformité RGPD, pensez à revoir régulièrement vos méthodes de contact. Prenons l’exemple des newsletters. Demandez périodiquement à vos abonnés de renouveler leur consentement, de manière à respecter les préférences de vos contacts et à maintenir une communication transparente. Pourquoi pas en envoyant un e-mail annuel à vos abonnés, leur rappelant pourquoi ils reçoivent votre newsletter, leur offrant l’option de se désabonner ou de mettre à jour leurs préférences.

Ce processus de « consentement régulier » garantit que vos listes de diffusion restent à jour et que seules les personnes véritablement intéressées reçoivent vos communications. Tout en renforçant la confiance des utilisateurs envers votre entreprise et en vous assurant que vos pratiques de marketing par courriel sont conformes au RGPD.

Article rédigé par les experts du .fr

Qui sommes nous ?