Photo par ev

| Publié :

| Temps de lecture :

9 minutes

| Auteur :

| Règlement général sur la protection des données (RGPD)

  1. RGPD : ce que vous devez savoir
  2. WordPress 4.9.6 : Prêt pour le GDPR
  3. Les polices de Google et le problème du GDPR
  4. Google Fonts pour WordPress en auto-hébergement
  5. Google reCAPTCHA et la conformité au GDPR

Le RGPD est une initiative de l’Union européenne et est probablement la décision la plus étendue et la plus importante concernant la confidentialité des données de tous les temps. Son objectif est de veiller à ce que les données des citoyens soient sécurisées et ne fassent pas l’objet d’abus. Elle s’applique à toutes les entreprises qui traitent les données à caractère personnel des citoyens de l’UE, quelle que soit leur taille ou leur emplacement.

Fait inquiétant, très peu de gens savent ce que cela signifie réellement pour eux et leur entreprise. Ce n’est pas vraiment une surprise si l’on considère que, bien que la date limite pour la conformité au GDPR soit le 25 mai 2018, il n’y a toujours pas de spécificités entièrement enregistrées sur ce qu’est la conformité. Il en résulte beaucoup de suppositions et d’hypothèses, les agences numériques s’efforçant de cocher toutes les cases potentielles ou espérant simplement que tout se passera bien à la fin.

Aucune de ces deux options n’est une bonne idée si l’on considère que la sanction pour non-conformité peut aller jusqu’à 20 millions d’euros, soit 4 % du chiffre d’affaires annuel mondial d’une organisation. Dans quelle mesure la mise en conformité est-elle difficile et comment pouvez-vous éviter d’enfreindre la loi ? Lisez notre guide pour les débutants.

Avant d’entrer dans les détails, donnons un aperçu simpliste de ce qu’implique le GDPR :

  • Vous devez disposer d’une base légale pour la collecte et le traitement des données personnelles des individus.
  • Vous devez être totalement transparent quant aux données collectées, à leur utilisation et à leur durée de conservation.
  • Vous devez Permettre aux individus d’accéder à une copie ou de demander la suppression de leurs données personnelles.
  • Vous devez Adopter une approche “privacy by default” (respect de la vie privée par défaut) dans la conception de vos services et produits.
  • Vous devez Documenter tout cela sous une forme facilement compréhensible.

Qu’entend-on par données à caractère personnel ?

Les données à caractère personnel sont toutes les informations susceptibles d’être utilisées pour identifier une personne, soit directement, soit indirectement (c’est-à-dire en recoupant ces informations avec d’autres sources de données). Les noms, les adresses électroniques et les données de facturation sont des éléments évidents, mais même l’adresse IP d’un ordinateur est prise en compte, ce qui élargit considérablement le champ d’action. Ainsi, que votre site web comporte une boutique en ligne, des formulaires de contact ou qu’il utilise simplement l’une des solutions courantes d’analyse des visiteurs, vous collecterez des données personnelles sous une forme ou une autre.

Mesures pratiques

Pour aider votre organisation à se mettre en conformité, il existe des mesures relativement simples à prendre.

  • Désigner un délégué à la protection des données
  • Réaliser un audit de vos pratiques actuelles en matière de traitement des données
  • Mettez à jour vos politiques publiques et vos processus de consentement préalable (opt-in)
  • Planifiez la manière dont vous traiterez les demandes de mise à jour et de suppression des données à caractère personnel.
  • Mettre en place des politiques pour adopter l’approche “privacy by default” (respect de la vie privée par défaut)
  • Documenter tout ce qui précède

Examinons maintenant chacune de ces étapes plus en détail afin de comprendre comment les mettre en pratique.

Désigner un délégué à la protection des données

Il s’agit probablement de la première étape. Identifiez une personne au sein de votre organisation qui sera officiellement responsable de la protection des données et attribuez-lui le rôle de délégué à la protection des données (DPD). Il peut s’agir d’un employé (pour autant qu’il n’y ait pas de conflit d’intérêts) ou d’un contractant externe. L’important est qu’ils aient une bonne compréhension de leur rôle et qu’ils disposent de l’autorité et des ressources nécessaires pour s’en acquitter efficacement. Votre DPD sera nommé sur tous vos documents destinés au public et sera le premier point de contact pour les organismes de réglementation ou les personnes ayant des préoccupations en matière de protection de la vie privée.

Audit de votre approche actuelle

Pour répondre efficacement au GDPR, vous devez comprendre quelles sont les données que vous saisissez actuellement et comment elles sont traitées. Pour commencer, nous vous suggérons de créer une simple feuille de calcul comportant une colonne pour chacun des aspects énumérés ci-dessous et de la remplir pour chaque type de données sur les clients que vous détenez. Cela devrait vous permettre d’avoir rapidement une vue d’ensemble de votre poste actuel. Il est probable que la personne que vous désignerez comme DPD n’aura pas une vue d’ensemble de la situation. Vous devrez donc peut-être faire appel à des membres de l’équipe des ventes, du marketing et du développement technique pour vous assurer que tout est couvert.

  • Type de données
  • Point de collecte
  • Objectif
  • Formulaire de consentement
  • Méthode de stockage
  • Période de conservation
  • Qui a accès
  • Méthodes d’accès

N’oubliez pas d’inclure tous les services tiers que vous utilisez, tels que les sociétés de traitement des paiements, les fournisseurs de marketing par courrier électronique ou les solutions de sauvegarde en ligne, qui pourraient traiter ou conserver les données privées de vos clients en votre nom. Renseignez-vous sur leurs politiques de confidentialité et ajoutez les liens correspondants à votre feuille de calcul.

Au cours de cet audit initial, vous découvrirez probablement des domaines dans lesquels des données sont collectées inutilement, partagées trop librement ou conservées au-delà de leur utilisation pratique.
En apportant des changements dans ces domaines dès maintenant, vous réduirez votre responsabilité, vous minimiserez la complexité de vos futures traces écrites et, bien sûr, vous obtiendrez un résultat positif pour les personnes concernées. Il est trop facile de conserver les données, de les laisser s’accumuler dans des archives hors ligne ou dans des bases de données en ligne, mais l’impact potentiel de toute compromission s’accroît à mesure qu’elles s’accumulent. Cela ne signifie pas qu’il faille tout jeter, car les anciennes données peuvent encore offrir des perspectives d’avenir, mais il n’est souvent pas nécessaire d’en connaître tous les détails. L’anonymisation des enregistrements ou la synthèse d’informations provenant d’anciens ensembles de données sont deux options alternatives.

Mise à jour de votre politique de confidentialité

Le GDPR met l’accent sur la transparence avec les visiteurs de votre site et sur votre capacité à démontrer votre responsabilité aux régulateurs. Si vous n’avez pas encore mis en place de solides politiques en matière de protection de la vie privée et de sécurité des données, il est temps de le faire. Un bon point de départ est votre politique publique de protection de la vie privée. Chaque site web doit en avoir un et, conformément au GDPR, il doit être transparent, compréhensible et complet.

Les phrases passe-partout génériques telles que “nous pouvons partager vos données avec des tiers sélectionnés” doivent être clarifiées en précisant qui sont ces tiers, quelles données sont partagées, dans quel but et comment elles seront traitées. Toutefois, l’audit initial de votre site web devrait vous fournir la plupart des informations dont vous avez besoin. Le principal défi consiste donc à présenter ces informations de manière accessible aux utilisateurs.

Nous vous suggérons de décomposer votre politique de confidentialité en fonction des principales interactions qu’une personne peut avoir avec votre service et d’expliquer pour chacune d’entre elles quelles données personnelles sont collectées (et pourquoi), comment elles sont utilisées et combien de temps elles seront conservées. Ces interactions peuvent consister à remplir un formulaire de demande de renseignements ou à effectuer un achat. Quoi qu’il en soit, essayez de donner des explications aussi claires et exemptes de jargon que possible, pensez à un langage simple plutôt qu’à un lexique verbeux. Si vous rencontrez une pratique que vous avez du mal à expliquer ou à justifier dans votre politique de protection de la vie privée, c’est généralement le signe qu’elle mérite d’être repensée.

L’inclusion de sections dédiées à la description des tiers avec lesquels vous partagez des données et des cookies de suivi que votre site web pourrait installer facilitera l’accès de vos clients à ces informations cruciales. Vous devrez également désigner un point de contact pour les questions relatives à la protection des données et expliquer comment une personne peut demander la mise à jour ou la suppression de ses données. Le GDPR stipule que vous devrez répondre à toute demande de ce type dans un délai d’un mois et que vous devrez avoir pris des mesures pour répondre à la demande dans un délai de trois mois. Quelle que soit la barre que vous vous fixez, il est bon d’indiquer le délai dans lequel une personne peut s’attendre à recevoir une réponse à sa demande et d’expliquer comment elle sera traitée.

Préparez votre documentation

L’autre type de documentation que vous devez préparer pour le GDPR sont les enregistrements internes de vos activités de traitement des données. Il s’agit des informations dont vous aurez besoin si vous êtes amené à démontrer votre conformité ou à vous défendre contre une plainte officielle concernant la protection des données. Il existe trois types de documents que vous devriez envisager de créer :

  • Des politiques claires sur la manière dont les données doivent être traitées au sein de votre organisation
  • Un registre des activités de traitement
  • Une base juridique déclarée pour la collecte de chaque type de données à caractère personnel

Ces documents vous aideront à mieux protéger la vie privée de vos utilisateurs en veillant à ce que le personnel sache comment traiter les données de manière responsable et en vous permettant d’assurer le suivi de ces données depuis le point de saisie, en passant par vos systèmes internes et en les transmettant à des tiers. Bien que leur mise en place puisse prendre du temps au départ, elles vous permettront certainement de gagner du temps en répondant aux futures demandes des personnes concernées ou en faisant preuve de diligence raisonnable en cas d’atteinte à la protection des données.

Un aspect important que vos politiques devraient englober est la manière dont vous intégrez les concepts de “Privacy by Design” et “Privacy by Default” (PbD) dans tout ce que vous faites. En d’autres termes, quelles mesures techniques et organisationnelles prenez-vous pour garantir que, par défaut, seules les données à caractère personnel strictement nécessaires sont collectées et que des garanties appropriées sont mises en place pour les protéger lorsque vous les détenez et les traitez. Bien que certaines déclarations de valeur générales soient sans aucun doute utiles pour donner le ton, l’identification de solutions technologiques spécifiques telles que le cryptage et la pseudonymisation comme faisant partie intégrante de la conception de votre service contribuera grandement à démontrer que vous êtes sérieux au sujet de la PbD. Il convient de souligner ici que le GDPR reconnaît que toutes les entreprises n’ont pas les mêmes moyens lorsqu’il s’agit de financer la protection des données. Ce qu’elle attend, c’est un équilibre raisonnable entre les coûts et les risques potentiels.

Identifier votre base juridique

On ne saurait trop insister sur l’importance de cet aspect. Si vous n’avez pas de base légale pour collecter ou traiter les données personnelles d’une personne, peu importe le soin que vous apportez à leur traitement ou votre réactivité aux demandes de suppression, vous ne serez pas en conformité avec le GDPR ou même avec les précédentes lois britanniques sur la protection des données. Il est probablement utile de rappeler ici que nous ne sommes pas des juristes qualifiés en matière de protection de la vie privée et que vous devez donc considérer ce qui suit comme un point de départ pour vos propres recherches. En cas de doute, demandez toujours l’avis d’un expert juridique.

Il existe un certain nombre de bases juridiques différentes sur lesquelles vous pouvez légitimement traiter les données à caractère personnel d’une personne. Il s’agit notamment du consentement, de la nécessité contractuelle, du respect des obligations légales et des intérêts légitimes.

Si votre base juridique déclarée est le consentement (lorsque les données sont traitées sur la base que la personne concernée a consenti à ce traitement), en vertu du GDPR, vous devez simplement vous assurer que vous l’avez réellement. Dans le cadre de la précédente législation sur la protection des données, le consentement a toujours exigé une action affirmative et sans ambiguïté pour être considéré comme tel – le fait de ne pas faire quelque chose (comme décocher une case pré-cochée) n’équivaut donc pas à un consentement – et le GDPR va plus loin en clarifiant ce point. La barre est encore plus haute pour les données personnelles sensibles telles que les dossiers médicaux, pour lesquels rien de moins qu’un consentement explicite et prouvé n’est suffisant. Et dans les situations où vous devez traiter les données d’enfants de moins de 16 ans, le consentement parental sera également requis.

Parfois, vous pouvez avoir un désir parfaitement raisonnable de traiter des données d’une manière pour laquelle vous n’avez pas de consentement direct et qui n’est pas couverte par une nécessité contractuelle ou un besoin de se conformer à d’autres obligations légales. Dans ces cas, les “intérêts légitimes” pourraient être cités comme base juridique, pour autant que votre utilisation ne compromette pas les droits et libertés des personnes concernées en question.

Par exemple, si vous recueillez des informations sur l’adresse dans le cadre d’un paiement en ligne, vous aurez évidemment besoin d’un consentement direct pour vendre ces données à un tiers, mais vous pourriez avoir un intérêt légitime à les regrouper avec d’autres données sur les clients que vous détenez afin d’identifier des modèles plus larges de demande de la part des clients en fonction de la localisation, de manière à améliorer votre service.

De même, si une personne refuse votre marketing direct, il serait légitime de conserver certaines données personnelles de cette personne dans une liste de suppression afin de s’assurer qu’aucun autre matériel de marketing ne lui soit envoyé. Cela ne signifie pas que vous ne devez pas inclure ces informations dans votre politique de confidentialité, mais simplement que vous n’avez pas besoin du consentement direct d’une personne pour utiliser ses données personnelles de cette manière.

Quelle est la prochaine étape ?

Le GDPR est considéré par beaucoup comme un rééquilibrage, attendu depuis longtemps, des intérêts de l’individu à contrôler ses données personnelles par rapport à ceux des entreprises qui, jusqu’à présent, considéraient toutes les données qu’elles pouvaient récolter et exploiter dans leur propre intérêt comme un jeu équitable et n’avaient guère d’obligation de les protéger. Mais naturellement, toute nouvelle réglementation s’accompagne de la crainte de l’introduction de charges ou d’obstacles inutiles qui modifieront fondamentalement la façon dont nous pouvons exercer nos activités.

Pour la plupart des entreprises dont les activités ne sont pas centrées sur le traitement de données personnelles sensibles, la mise en conformité devrait être simple. Oui, il y aura un certain travail initial pour mettre de l’ordre dans votre paperasserie et vos pratiques, mais le principal changement concernera la façon dont nous envisageons la protection des données, ce qui, en fin de compte, devrait profiter à tout le monde.

Besoin d’aide ?

Nous pensons que le GDPR est une bonne idée, mais la mise en conformité avant la date limite du 25 mai 2018 est source de stress pour de nombreuses entreprises. Si vous êtes dans ce cas, appelez Code Clinic KreativAgentur dès aujourd’hui au +49 (0)9181-8833-897 (de) ou au +44 (0)161-408-4759 (en) dès aujourd’hui.