Protection des données : vos obligations

Tout site web, même le plus simple, est susceptible de gérer des données personnelles. Celles-ci peuvent être récoltées via un formulaire de contact, une inscription à une newsletter ou à des actualités, la participation à un jeu concours, un achat en ligne... La gestion de ces informations est de plus en plus encadrée par la loi.

Voici un petit rappel de vos obligations, en tant que propriétaire d'un site internet ou d'une boutique en ligne, face à ces données personnelles.

Qu’est-ce qu’une donnée personnelle ?

Est considérée comme une donnée personnelle « toute information identifiant directement ou indirectement une personne physique » (définition CNIL).
Un nom, un mail, une photographie, une adresse IP, un numéro de téléphone, un identifiant de connexion informatique, une adresse postale, une empreinte, un enregistrement vocal, un numéro de sécurité sociale, etc, sont donc des données à caractère personnel.

Le RGPD en bref

RGPDLe Règlement général sur la protection des données (dit RGPD) est un texte européen qui constituera à compter du 25 mai 2018 la référence en matière de protection des données à caractère personnel. Il a pour objectif d’assurer une meilleure protection des personnes tout en précisant les obligations des responsables de ce traitement.

Toute entité manipulant des données personnelles concernant des Européens, qu’il s’agisse d’une entreprise, d’un sous-traitant, d’une collectivité ou même d’une association, se doit de respecter ce texte, sous peine de sanctions juridiques et financières pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros.

Les principales missions du RGPD sont de limiter la collecte des données au strict minimum (chaque donnée collectée doit pouvoir être justifiée et consentie) et de renforcer le droit à l’oubli et à l’information : tout individu doit ainsi avoir accès à ses données, afin de pouvoir les supprimer, les corriger, les transmettre à un autre prestataire… De même, en cas de perte ou de vol des données (piratage par exemple), chacun doit en être informé.

En pratique, pour se conformer au RGPD, il faudra donc désormais :

  • Ne collecter que les données indispensables, informer les internautes de l’utilisation qui sera faite de leurs données et obtenir leur consentement, via par exemple une indication apposée sur tous les formulaires de collecte.
  • Désigner un délégué à la protection des données (DPO) qui pilotera la gestion des données de la structure. Il peut s’agir d’une personne interne ou externe à l’entreprise (prestataire dédié par exemple), qui aura une mission de conseil et de contrôle du respect de la loi.
  • Tenir un registre des traitements, qui recensera précisément quelles sont les données collectées par l’entreprise ou la collectivité, et le traitement qui en est fait.
  • Etre capable de prouver à tout moment que des mesures concrètes de protection des données ont été mises en place (dispositifs de sécurité, sauvegarde…).

A noter que selon la taille de la structure et la sensibilité des données collectées (informations bancaires, médicales, pénales…), les obligations peuvent être plus ou moins strictes.

Pour plus d’informations à ce sujet, nous vous invitons à consulter nos liens utiles >>

La loi sur les Cookies

Dès 1978, la loi informatique et libertés a entrepris de réglementer le traitement des données personnelles. Face au développement du web (et ses dérives), elle a depuis été modifiée ou précisée par divers décrets français ou européens.

On citera notamment la directive européenne 2002/58/CE qui oblige les éditeurs de sites internet à informer les internautes sur l’utilisation des cookies, c’est-à-dire les traceurs enregistrés par votre navigateur, tels que les informations http, flash, identifiants divers… Une loi qui s’applique pour tous types de cookies, même ceux à caractère non personnel, et dont le non-respect peut entraîner une amende jusqu’à 150 000 €.

Le RGPD revient sur cette loi, en précisant notamment que chaque site internet devra spécifier clairement quels sont les traceurs collectés et à quelles fins (techniques, statistiques, sociales…). Une page explicative doit détailler ces informations, et indiquer aux internautes comment retirer leur consentement et se désinscrire s’ils le souhaitent (généralement via le paramétrage du navigateur).

 
Pour conclure, rappelons que sécuriser les données de son site web n’est pas qu’une obligation légale. C’est aussi une protection pour vous, votre entreprise et vos clients contre les failles de sécurité et les attaques informatiques (et leurs conséquences parfois très graves), ainsi qu’un moyen de rassurer votre clientèle en lui prouvant que vous gérez ses données de façon cohérente et responsable.

 

Nos réponses techniques à la protection des données