RGPD : on ne panique pas et on se prépare!

Chrystelle Charlier

Partout dans le monde digital, la date du 25 mai 2018 fait peuuuuuuur. Oui messieurs, dames, c’est la date butoir à laquelle le Règlement européen sur la Protection des Données Personnelles (RGPD) entrera en vigueur.

Il changera à tout jamaiiiiiis le comportement des entreprises au regard de la gestion des données collectées.

Les buts du RGPD

  • Assurer la protection des libertés et droits fondamentaux des personnes physiques dont les données sont collectées.
  • Garantir la bonne circulation des données au sein de l’U.E.

Définitions

Oui parce que c’est bien joli de parler de tout ça mais il faut d’abord bien s’entendre sur les termes.

Une donnée personnelle c’est quoi?

Nom, prénom, âge, sexe, email, téléphone, pseudo, adresse IP, situation familiale, données bancaires, géolocalisation, données de connexion et de navigation, taille, poids, couleur favorite, bref, TOUT CE QUI EST COLLECTE SUR UN SITE WEB.

Attention à la donnée sensible!

En plus de la donnée personnelle, le RGPD distingue aussi la donnée « sensible ». Pour faire court, la donnée sensible, c’est celle qui, si elle est utilisée, peut entraîner l’un ou l’autre désagrément : origine ethnique, convictions religieuses, appartenance syndicale, données génétiques, données de santé, orientation sexuelle etc.

Cette donnée-là NE PEUT EN AUCUN CAS ÊTRE COLLECTEE (sauf dispositions légales expresses).

Collecte? Traitement?

La collecte, c’est le fait de recevoir une information. L’achat d’une base de données est considéré comme une collecte.

Le traitement débute déjà au niveau du stockage.

Le responsable de traitement!

C’est lui qui décide POURQUOI certaines données sont collectées et COMMENT.

Toutes les autres personnes qui seront chargées de travailler ces données sont les sous-traitants. Ils peuvent être une seule et même personne. Pour aller plus loin, voici le texte de loi lié à cette fonction. 

(N.B. : ne pas confondre Responsable de Traitement et Délégué à la protection des données, qui concerne les entreprises de plus de 250 employés, les autorités publiques, le traitement à grande échelle de données particulières ou de données relatives à des infractions ou condamnations. Ce Responsable doit disposer d’une expertise en droit national et européen de la protection des données)

Qu’êtes-vous tenus de faire dans un premier temps?

  1. Modifier votre politique de confidentialité (ou charte de confidentialité, charte de vie privée ou privacy policy):
    Vous devrez fournir les données suivantes : l’identité du responsable de traitement, les finalités du traitement de données, les destinataires des données, quelles sont les données qui quitteront l’U.E., la durée du traitement et de la conservation, les droits dont ils disposent (accès, rectification, effacement, limitation, opposition, portabilité, retrait de consentement) ainsi que la personne auprès de laquelle ils peuvent exercer ces droits, les recours possible auprès d’une autorité de contrôle, le caractère obligatoire ou facultatif des réponses, le recours au profilage qui sera désormais limité (on ne pourra plus, par exemple, sélectionner un candidat dans un but marketing sur base de ses données sensibles, origine ethnique, religion etc.)
    Votre politique de confidentialité devra dorénavant être rappelée lors de chaque collecte de données.
  2. Motiver le consentement :
    Toute forme d’affiliation devra être clairement volontaire. Les cases précochées seront interdites et on ne pourra plus imposer l’affiliation pour participer à un concours. Le client devra cocher volontairement une case et manifester qu’il a eu connaissance de votre charte de confidentialité.
  3. Le formulaire de collecte :
    Il devra comporter une mention précise d’information de ce à quoi le client s’inscrit.
    Autant de cases à cocher que de possibilités d’affiliation : ex. je donne mon autorisation pour recevoir un e-mailing d’information, je donne mon autorisation pour recevoir une newsletter bimensuelle, je donne mon autorisation pour du profilage, j’accepte le règlement du jeu, j’ai lu et j’accepte la politique de confidentialité…
  4. Une nouvelle collecte pour une nouvelle campagne :
    Il sera désormais interdit de se servir, dans un autre cadre, d’une donnée collectée dans un cadre précis. Il faudra alors informer chaque contact d’une nouvelle finalité d’utilisation de ses données et lui demander son autorisation.
  5. Suites à donner aux données récoltées :
    Il faudra s’assurer régulièrement de la mise à jour de ces données, par exemple en envoyant un mail « merci de confirmer que ces données sont toujours exactes ». Il est aussi nécessaire de ne conserver les données que dans un laps de temps convenu.
    Veiller à un stockage sécurisé, contre la perte, la destruction ou les accidents. Le Responsable doit pouvoir démontrer que les principes sont respectés.
  6. Automatiser la durée de conservation:
    Il faudra demander à vos programmeurs d’automatiser un service de réactivation avant échéance avec suppression automatique si le contact ne renouvelle pas son engagement.

Que faire de votre ancienne DB?

C’est là que le bât blesse. Vous ne pourrez plus, dépassé ce délai, contacter les contacts qui ne vous auraient pas donné un consentement valide.

Vous aurez donc besoin de pouvoir fournir :

  • leur identité
  • la date et l’heure du consentement
  • le mode de collecte
  • l’information fournie à l’utilisateur lors de son consentement

Attention : les prospects devront avoir plus de 16 ans ou une autorisation parentale. Nous vous déconseillons de collecter des données sensibles qui demandent un traitement encore plus précautionneux.

Il faudra donc profiter des semaines avant fin mai lancer des campagnes d’opt-ins comprenant les champs requis et supprimer les personnes qui n’auront pas donné suite.

Et ensuite?

Tout contenu envoyé à votre DB devra contenir un lien de désabonnement, que ce soit par SMS ou par mail. L’idéal est de proposer un désabonnement de certains types de publications au choix. Cela laisse la possibilité au prospect de choisir ce qui l’intéresse.

Une personne de contact devra également être citée afin de faire valoir les droits à l’individu.

De la durée…

La durée de conservation des données doit être fixée au préalable pour chaque campagne.

  • données bancaires : uniquement la durée de la transaction
  • après trois ans sans interaction de la part du client, la suppression est obligatoire
  • les données de navigation (cookies et tags) doivent être supprimées après 13 mois

MAIS  vous devez archiver les données dans les cas suivants :

  • les données à faire valoir lors d’une action en justice doivent être conservées jusqu’à prescription
  • les données des personnes ayant fait valoir leur droit à l’oubli (celles qui ne veulent plus être contactées)
  • les données prouvant que le consentement était valide, durant le traitement

Concernant la sous-traitance…

Les grandes lignes régissant la sous-traitance sont les suivantes :

  • un sous-traitant ne peut recruter un sous-traitant qui aura accès aux données sans validation écrite du Responsable de Traitement.
  • toute action de sous-traitance doit être régie par un contrat stipulant les notions de RGPD.
  • le sous-traitant doit garantir le traitement et assurer la sécurité et la confidentialité.
  • il est tenu de nommer un responsable de traitement.
  • même s’il est hors U.E., il doit pouvoir prouver le respect du RGPD pour les citoyens européens.

Les conseils : avant fin mai, envoyez un courrier avec A.R. à vos sous-traitants en réclamant les mesures techniques et organisationnelles mises en oeuvre pour le respect du RGPD et amendez vos contrats de sous-traitance en ce sens.

Et les cookies?

Eh bien les cookies sont des données personnelles aussi! Il faudra donc également les faire valider et lors de chaque visite sur votre site, le visiteur devra accepter ou non les cookies avec la possibilité de retirer son choix lors de la prochaine visite.

Votre charte de confidentialité doit également être accessible lors de la validation des cookies.

Pour le profilage…

La personne visée par le profilage doit être informée et avoir la possibilité de refuser ce profilage. Il ne doit pas entraîner une prise de décision issue du traitement des données.

La gestion au quotidien

Toute personne doit pouvoir accéder à ses données pour les consulter, les modifier ou les supprimer.

À terme, il peut se révéler rentable de développer un système grâce auquel la personne concernée peut consulter elle-même les données en ligne. Les entreprises et organisations sont encouragées à réaliser une analyse coûts/bénéfices d’un tel système d’accès en ligne.

Quelles modifications sur votre site?

Il vous faudra donc installer divers pop-ups, des pieds de page et formulaires pour mettre en action ces nouvelles normes.

Lier les formulaires à une adresse mail représentant une personne en interne, joignable également par téléphone.

Faire développer des programmes de gestion de vos DB avec gestion de la durée et des effacements nécessaires.

En cas de contrôle?

Vous devrez fournir :

  • vos registres de traitements de données contenant les 4 points précités (leur identité, la date et l’heure du consentement, le mode de collecte et l’information fournie à l’utilisateur lors de son consentement)
  • la preuve du consentement explicite
  • le respect des durées de conservation
  • la mise en place des mesures de sécurité
  • le respect du droit des personnes (personne de contact avec délais de traitement acceptable).
  • la preuve d’analyse d’impact pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.