Le RGPD ou Règlement Général de la Protection des Données est devenu le sujet incontournable du moment qui préoccupe bon nombre d’entreprises. En effet, cette question les taraude car elle relève de la sphère juridique et demeure ainsi déterminante pour leur avenir. Elles sont à l’affût de la moindre information pouvant leur éviter de s’exposer à de lourdes sanctions, en cas de non-conformité.

Comment se mettre aux normes relatives au RGPD ? YATEO est là pour vous apporter ses lumières.

RGPD : de quoi parle-t-on ?

Le RGPD  est un règlement européen pour la protection générale des données ou GDPR (General Data Protection Regulation) qui s’est s’appliqué le 25 mai 2018. Ce règlement s’inscrit dans la continuité de la Loi française “Informatique et Libertés” de 1978 et confère aux citoyens un meilleur contrôle et une mainmise sur la confidentialité de leurs données personnelles.

L’autorité de contrôle devra être prévenue dans les plus brefs délais, soit dans les 72h maximum, de la nature de la violation, des coordonnées du DPO, des conséquences et des mesures prises.

qui dans le viseur du rgpd ?

Sont concernées toutes les structures, entreprises et collectivités, qui disposent de données personnelles issues de l’Union Européenne.

Qu’entend-on par “données personnelles” ?

Les données personnelles représentent toutes les caractéristiques qui permettent d’identifier une personne. Nous vous avons dénombré les éléments suivants (liste non-exhaustive) :

  • Nom et Prénom
  • Âge et sexe
  • Localisation
  • Identifiant, numéro de téléphone personnel
  • N° de sécurité sociale
  • Adresse e-mail personnelle
  • Adresse postale
  • Adresse IP
  • Photographie
  • Carte de fidélité
  • Formulaire de contact
  • Suivi d’audience
  • Etc.

NB :  les coordonnées d’entreprises ne feront pas l’objet de données personnelles (Ex : adresse mail relative à l’entreprise).

lES données sensibles

Certaines données sont dites “sensibles” lorsqu’il s’agit :

  • de l’origine raciale ou ethnique
  • des opinions politiques, philosophiques ou religieuses
  • de l’appartenance syndicale
  • des informations sur la santé
  • de l’orientation sexuelle
  • des informations génétiques ou biométriques
  • du casier judiciaire

Enjeux et objectifs du RGPD

Le principe d’accountability / responsabilisation

La déclaration des données personnelles auprès de la CNIL engage l’entreprise à démontrer ses obligations en termes de protection des données.

Le principe “Privacy by design”

Les entreprises doivent s’assurer de la conformité du traitement de ses données en se posant la question suivante : “Comment concevoir une expérience agréable et fonctionnelle tout en protégeant ces données ?”

En matière d’ui et ux design, certaines techniques sont à éviter :

  • les “dark patterns” qui consistent à concevoir afin d’inciter l’utilisateur à faire une action qu’il n’a pas l’intention d’effectuer, sans forcément s’en rendre compte.
  • les “bait and switch” qui consistent à tromper l’utilisateur qui pense faire une action mais obtient un résultat différent à l’arrivée.
  • la “misdirection” qui consiste à détourner l’attention de certains éléments pour pousser à faire une action spécifique (ex : la double négation avec un bouton “Non, annuler” qui entraîne une certaine confusion).

Ce qu’il faut retenir :

  • demander le consentement explicite de l’utilisateur pour l’accès à ses données
  • être centré utilisateur et proactif en intégrant la notion de vie privée dans la conception d’interfaces
  • montrer ses fonctionnalités en toute transparence à l’utilisateur
  • s’assurer de ne pas le piéger via des techniques design trompeuses qui l’incitent à effectuer des actions de manière implicite
  • concevoir des mentions légales de manière intuitive et accessible avec un travail préalable sur la hiérarchie de l’information
  • utiliser un vocabulaire simple et compréhensible

UN DPO VIVEMENT RECOMMANDÉ

Le DPO, de l’anglais “Data Protection Officer”, soit un délégué à la protection des données, n’est pas obligatoire mais vivement conseillé par le G29 (Organisme qui fédère l’ensemble des CNIL européennes) pour les entreprises non soumises à cette obligation, en interne ou externalisées.

Les entreprises concernées, dans lesquelles le DPO n’est pas discutable, sont les organismes ou autorités publiques ou privés traitant des données sensibles (cliniques, informations de santé, société de surveillance, informations pénales ou banques, à plus grande échelle). On parle ici de responsables de traitements et de sous-traitants.

QUEL EST SON RÔLE ?

Le DPO devra se charger des missions suivantes :

  • informer et conseiller les membres de l’entité ayant procédé à sa désignation
  • contrôler le respect du règlement et des autres dispositions “Informatique et libertés” applicables
  • être impliqué dans le processus d’analyse d’impact et en vérifier son exécution
  • coopérer avec l’autorité de contrôle

quel profil de dpo recruter ?

Le DPO doit avoir des connaissances juridiques en droit des nouvelles technologies ainsi que des pratiques en matière de protection des données. Il peut tout aussi bien représenter un profil technique pouvant justifier d’une formation juridique en matière de protection des données, avec un niveau de connaissance relativement élevé et évalué par des spécificités, de la sensibilité et de la complexité des opérations de traitement.

Pour vous  aider à vous conformer à la RGPD, nous vous proposons d’effectuer trois tests au choix :

le principe “PRIVACY by default”

Les paramètres de sécurisation des données sont intégrés dans le service ou l’application. Or, le responsable du traitement assure par défaut le plus haut niveau de confidentialité et une garantie de protection des données, que l’utilisateur peut modifier à sa guise.

Etudes d’impact

Cette obligation vise à s’assurer qu’un traitement dit “à risque” (traitement de masse, données sensibles, profilage) respecte les droits fondamentaux des personnes et minimise les risques concernant la sécurité et la violation des obligations légales.

Quelles sont les sanctions ?

Mieux vaut ne pas se frotter de trop près au RGPD, contester ses mesures et ne pas s’y conformer car les sanctions sont lourdes.

Selon l’article 83, en cas de non-respect de ces lois, vous vous exposez à :

  • Un avertissement
  • Des amendes qui peuvent atteindre 20 millions d’euros pour certaines infractions ou 4% du chiffre d’affaires annuel mondial total.
  • Une suspension du traitement des données

Les conditions d’acceptation aux DONNÉES personnelles

Il y a deux types de situations dans lesquelles on peut identifier si l’internaute accepte ou refuse l’accès à ses données personnelles :

  • Si l’information est conforme et complète et que l’internaute continue la navigation (changement / défilage de page) ou ferme simplement le bandeau, on peut considérer qu’il accepte.
  • En revanche, s’il reste statique sur la page (sans cliquer sur “oui”, “non” ou “fermer le bandeau”) et continue sa navigation tout en laissant s’afficher le bandeau, la RGPD estime qu’il refuse ou n’a pas encore donné son feu vert.

Les cookies

Les cookies représentent le moyen de reconnaître un visiteur lorsqu’il revient sur un site web. Cela suppose que l’internaute a donné au préalable son autorisation pour que l’on accède à ses données personnelles et qu’on l’identifie. Le système de tracking est donc à surveiller de près. A titre d’exemple, Google Analytics dépose un cookie avec un Identifiant Personnel par défaut.  

Le RGPD exige que l’on archive chaque consentement stocké en lieu sûr afin qu’il puisse être utilisé comme preuve en cas de contrôle.

Les cookies tolérés

Les cookies qui font exception à la règle sont ceux nécessaires au bon fonctionnement du site.

Sont exemptés de consentement, les cookies :

  • de “panier d’achat” pour un site e-commerce
  • “identifiants de session”
  • d’authentification
  • de session créés par un lecteur multimédia
  • de session d’équilibrage de charge
  • certaines solutions d’Analytics : AT Internet (Xiti) et Piwik
  • persistants de personnalisation de l’interface utilisateur

LES COOKIES INTERDITS

Les cookies n’échappant pas à la règle et nécessitant donc un recueil du consentement sont :

  • les cookies publicitaires
  • ceux présents sur les réseaux sociaux issus de boutons de partage lors de collecte de données personnelles sans consentement des personnes concernées
  • certains cookies d’outils d’analyse d’audience (Analytics tools)

Cartographie des données personnelles

Afin de remettre un peu d’ordre dans vos fichiers clients, il convient de faire un état des lieux de chaque donnée personnelle que vous détenez, en les cartographiant.

Pour ce faire, reprenez la méthode empirique du QQOQCP ou des 5 W (Who, What, Where, When, Why ?).

Ainsi, aucune erreur d’omission ne sera possible.

  • Qui ? 

–> Inscription du nom et des coordonnées du responsable de traitement et, le cas échéant, du DPO

–> Identification des responsables des services opérationnels qui traitent des données au sein de votre organisme

–> Création de la liste des sous-traitants

  • Quoi ? 

–> Identification des catégories de données traitées

–> Identification des données sensibles

  • Où ?

–> Détermination du lieu de stockage des données personnelles

–> Indication des pays où sont transférées les données

  • (Jusqu’à) quand ?

–> Indication de la durée de conservation de chaque donnée

  • Comment ?

–> Quelles mesures de sécurité sont adoptées pour minimiser les risques d’accès non-autorisés aux données ?

  • Pourquoi ?

–> Indication des finalités pour chaque collecte de données personnelles

Aperçu et échantillon du modèle de registre Excel

Aperçu et échantillon du modèle de registre Excel

Avant de collecter des informations sur vos utilisateurs, réfléchissez à ce dont vous avez réellement besoin et définissez le rôle et la finalité de chaque fichier.

Pour quelle(s) finalité(s) vos données sont-elles recueillies ? Cette collecte est-elle nécessaire pour répondre à un ou plusieurs objectifs spécifiques à votre entreprise ?

Les informations qui ne seraient pas considérées comme essentielles, nécessitent donc l’arrêt immédiat de la collecte.

Si elles sont essentielles, il convient de demander explicitement le consentement à vos visiteurs par le biais d’un bandeau d’avertissement afin qu’il accepte ou refuse cette collecte.

D’après la CNIL : “Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées ou archivées si elles concernent les factures clients.

Quels sont les changements à adopter ?

Des mentions en reconversion

Vous devez consacrer une partie ou une page de votre site à propos du traitement des données en notifiant :

  • le nom du cookie
  • le statut juridique qui vous autorise à utiliser ce cookie
  • les finalités des mentions
  • leur utilisation et fonctionnement
  • leur temps de conservation
  • les droits que les utilisateurs détiennent sur leurs données
  • les procédures d’application

Les mentions légales doivent être claires, censées, simples à lire et à comprendre. Vous ne devez pas écrire de paragraphes trop longs. En effet, c’est le meilleur moyen d’embrouiller plus facilement les visiteurs, les lasser à lire et les inciter à faire abstraction au contenu de ces mentions. L’objectif est de délivrer une véritable transparence dans le message tout en évitant un excès d’informations.

Pour l’identité et les coordonnées de l’éditeur responsable du site, vous devez faire paraître : nom de la société, forme juridique, adresse postale du siège social, téléphone, mail, numéro BCE, numéro de TVA, autorité de surveillance compétente, profession réglementée (titre professionnel et lien vers les règles professionnelles) et le code de conduite.

Pour la politique de confidentialité (traitement des données à caractère personnel des visiteurs et des utilisateurs) : l’identité et les coordonnées du responsable du traitement, celles de contact du DPO (explication ci-dessous), les finalités de traitement, les destinataires de ces données, le transfert éventuel de données vers une autre organisation ou un pays tiers, la durée de rétention des données, le droit du visiteur de demander l’accès à ses données personnelles et à une copie de ses données, le droit d’introduire une réclamation auprès d’une autorité de contrôle et les informations utiles pour un éventuel profilage.

pERSONNALISEZ VOS MENTIONS LÉGALES

Concernant les formulaires de collecte de données personnelles, vos mentions légales seront désormais personnalisables et donc à l’image de votre entreprise sur le site de la CNIL.

Voici un petit aperçu de ce à quoi elles pourraient ressembler :

mentions légales formulaires de collecte de données personnellesmentions légales formulaires de collecte de données personnelles

Une bannière révisée

Message type de la bannière de consentement à personnaliser

Message type de la bannière de consentement à personnaliser

Exemple visuel de bannière de consentement

les DONNÉES de vos clients

Concernant vos clients, vous devez vous atteler aux tâches suivantes :

  • traiter et trier entre les cookies tolérés et interdits (cités précédemment).
  • conformer tous vos formulaires de contact avec des mentions relatives à la RGPD.
  • sécuriser le site en HTTPS.
  • être en mesure de proposer une page regroupant l’ensemble des informations sur les données collectées ainsi que leur utilisation.
  • ne pas conserver leurs données bancaires
  • imposer des mots de passe complexes pour optimiser la sécurité

Outils de mesure d’audience et de statistiques

Le “Do Not Track” a l’honneur

Do Not Track navigateur web Safari

Do Not Track navigateur web Safari

L’activation de l’option du DNT : “Do Not Track” ou “Ne pas me pister”, dans quelque navigateur que ce soit, fait apparaître le message suivant : “Vous avez activé le Do Not Track (DNT), nous respectons votre choix”.

 

 

Cette option ne doit pas être négligée, notamment dans la conception. Effectivement, si vous ne respectez

pas le choix de l’utilisateur, vous allez en détériorer son expérience et ce n’est pas le but recherché.

NB : Contrairement à Google Analytics, d’autres outils de mesure d’audience sont dispensés de consentement

Google tag manager aka gtm

En utilisant ce gestionnaire de tag, vous pourrez bloquer les cookies refusés avant ou après leur dépôt si l’internaute accepte, dans un premier temps, puis revient sur sa décision et finit par refuser. En effet, rappelons que selon l’article 7 du RGPD et l’article 38 suivant la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, l’utilisateur est en position de retirer son consentement à tout moment. C’est pourquoi les utilisateurs doivent avoir un accès permanent à leur statut actuel de consentement afin de modifier les paramètres ou retirer leur consentement lorsqu’ils le souhaitent.

De plus, anonymiser l’adresse IP vous permettra de supprimer le dernier octet de l’IP afin de dégrader sa précision.

Retargeting

L’e-privacy va interdire le dépôt de cookie publicitaire, sans consentement explicite de l’internaute.

Afin de continuer à pouvoir pister l’utilisateur, des alternatives aux cookies sont en cours d’élaboration. Seul hic, le visiteur devra toutefois donner son autorisation.

Parmi ces “solutions”, sont envisagés :

  • le fingerprinting
  • le stockage navigateur
  • la géolocalisation
  • la détection du hardware des machines

lEs formulaires

LES FORMULAIRES interdits

  • L’opt-out : inscription d’office un utilisateur à une liste après une inscription à un service, en lui laissant la charge de se désinscrire.
  • L’opt-in passif : obtention du consentement d’un internaute de manière implicite, le plus souvent en pré-cochant la case correspondant au souhait de recevoir des emails de la part de l’entreprise.
  • L’opt-in : choix à l’internaute d’exprimer librement son consentement par une action positive, généralement en cochant par lui-même une case correspondant au souhait de recevoir des emails de votre part.

les formulaires Préconisés

Il faudra spécifier dans les formulaires en ligne que le traitement des données personnelles a pour finalité le profilage. De plus, vous devrez permettre à l’utilisateur de bloquer le dépôt de ce type de cookies et de pouvoir modifier sa décision lorsqu’il le souhaite.

L’inconvénient n°1 de ces solutions réside dans le fait que les formulaires de recueil du consentement seront très fortement surchargés et pénibles à remplir.

La RGPD recommande les formulaires double opt-in. Ils consistent à demander une confirmation par email nominatif et juridiquement non contestable à chaque internaute qui a rempli un formulaire sur votre site web. Le double opt-in va permettre de prouver le consentement explicite de vos contacts et garder une trace et copie démontrant leur validation de consentement.

Dorénavant, la mise en place de stratégies Marketing Automation, de formulaires et de landing pages devra être validée « GDPR » par le service légale de l’entreprise.

Les “DO’s” en images
Exemple de formulaire d'inscription à des newsletters conforme rgpd

Exemple de formulaire d’inscription à des newsletters conforme rgpd © lemonetisateur.com

Autre exemple de formulaire d'inscription à des newsletters conforme rgpd

Autre exemple de formulaire d’inscription à des newsletters conforme rgpd © lemonetisateur.com

formulaire demande devis rgpd marketing automation

Formulaire de demande de devis © lemonetisateur.com 

Formulaire d’inscription aux newsletters MailChimp “RGPD friendly” © wpmarmite.com

Quels avantages pour les entreprises ?

Les entreprises qui adapteront leurs pratiques au RGPD pourront :

  • acquérir une image d’expert et bénéficier d’une crédibilité nettement supérieure à celle d’avant.
  • restaurer et renforcer la confiance de ses consommateurs.
  • optimiser leur stratégie marketing avec une liste de contacts mieux qualifiée (taux d’ouverture et de clics plus important) avec un ciblage uniquement destiné à des personnes qui ont consenti explicitement à recevoir ses campagnes de communication.

 

Nous avons recueilli ces informations en recoupant différentes sources. Ainsi, cela a pour seul but d’informer et ne représente aucune valeur légale. La meilleure façon de bien appliquer le RGPD est de se rapprocher d’un conseil juridique (tel qu’un avocat ou un juriste) afin de vous faire correctement accompagner.

Si vous souhaitez avoir des informations sur nos prestations, contactez-nous au 0158892736 ou via le formulaire de contact disponible ici