C’est le 25 mai que la fameuse loi RGPD entre vigueur en France et dans toute l’UE. Vous en avez sûrement déjà entendu parler. Mais concrètement, qu’est-ce que cela engendre comme changement au niveau de votre entreprise ?
Voyons quelles sont les bonnes pratiques pour se mettre en règle avec le RGPD.
Qu’est-ce que le RGPD ?
Règlement Général sur la Protection des Données : est une loi votée depuis 2016 qui va permettre aux internautes de mieux contrôler leurs données personnelles.
Concrètement, nous sommes responsable des données que nous fournissons (ça c’est un principe de base que tout le monde doit intégrer) mais on peut désormais contrôler et actualiser les données personnelles que des tiers disposent à notre sujet.
Auparavant, lorsque vous remplissiez un formulaire de contact ici ou ailleurs, vous n’aviez plus aucun contrôle sur les informations personnelles que vous y déposiez. Aujourd’hui vous pouvez demander à ce que les informations et données de connexion qui vous concernent, soient entièrement ou partiellement supprimées. Idem pour vos données de navigation, qui peuvent être désormais supprimées.
Dans les faits, comment ça se traduit ?
Eh bien dès maintenant, vous pouvez par exemple demander à Facebook de supprimer votre historique de données collectées, idem pour Google, Amazon ou tout autre organisme, entité, marque, entreprise qui aurait des informations vous concernant.
Cela va d’un historique de navigation sur un site, à vos données de contact (nom, e-mail, téléphone, adresse, etc.), une adresse IP, des photos, des vidéos, publications, etc. Ces informations collectées peuvent être plus ou moins personnelles et plus ou moins sensibles. Elles peuvent renseigner votre opinion politique, religieuse, votre orientation sexuelle, votre engagement quel qu’il soit, etc.
La loi RGPD n’interdit pas la collecte de données. Elle demande simplement que les utilisateurs soient avertis de cette collecte d’informations et qu’ils puissent avoir accès à ces données pour pouvoir les supprimer s’ils le souhaitent. Un vrai plus pour le fameux « droit à l’oubli » sur Internet, qui on le sait, est très difficile à faire appliquer.
L’internaute est donc en théorie plus protégé. Les entreprises qui collectent des données doivent récolter le consentement de l’utilisateur avant de faire quoi que ce soit avec ses informations.
Qui doit appliquer la loi RGPD ?
Eh bien c’est facile : toute entité disposant d’un site Internet. Que vous soyez une TPE, une PME, une start-up, une association, etc. Dès lors que des utilisateurs arrivent sur votre site, que vous avez par exemple un formulaire de contact, une inscription à une newsletter, même un code Google analytics qui traque les parcours utilisateurs, vous êtes totalement concerné. Et pour faire simple, si vous avez un site Web, mettez-vous tout de suite en règle car vous rentrerez dans les critères RGPD tôt ou tard, car d’une façon ou d’une autre vous manipulez des données personnelles collectée.
Comment faire pour mettre mon site Internet en conformité avec le RGPD ?
Vous disposez d’un site Web vitrine, voici les dispositions importantes à prendre :
- des mentions légales (oui oui, certain sites ne sont pas encore munis de ces mentions),
- précisez dans ces mentions que vous utilisez des cookies sur votre site,
- précisez votre politique de confidentialité notamment le paragraphe lié à la collecte des données,
- utilisez un bandeau qui signale d’emblée quand l’utilisateur arrive sur votre site, que vous utilisez des cookies et qui permet à l’utilisateur de donner son accord,
- sécurisez la connexion de votre site avec un certificat SSL (voir avec votre hébergeur).
Sur le site de la CNIL, vous avez la possibilité de simuler des formulations, sinon vous pouvez largement vous inspirer de nos mentions légales.
Se mettre en conformité avec la loi RGPD est un devoir. Ce n’est franchement pas compliqué et ça ne demande pas beaucoup de temps. N’attendez-pas le 25 mai.