Le RGPD ou « Règlement Général sur la Protection des Données » relève de la politique de confidentialité d'un site web. Le RGPD est un règlement européen qui vise à protéger toutes les données à caractère personnel, et également celles collectées sur un site web.

Il concerne tous les sites vitrine et les sites marchands. Pourquoi opter pour une mise en conformité de votre site internet par rapport au RGPD ?

Qu'est-ce que le RGPD ?

Tous les sites web dont les visiteurs sont des résidents européens sont tenus d'appliquer le RGPD. En effet, le RGPD ne se limite pas aux sites collectant des données personnelles. Il s'agit surtout d'un process visant à responsabiliser les acteurs du web pour optimiser l'expérience utilisateur et la sécurité des visiteurs.

Adopté par le Parlement européen en 2016, le RGPD est entré en vigueur en 2018. Il s'agit donc d'une réforme des directives datant de 1995 sur la protection de données, en vue des évolutions de la technologie. Désormais, le RGPD est un nouveau règlement qui porte sur les règles uniques concernant les données collectées sur le web.

En savoir plus sur la RGPD : https://www.economie.gouv.fr/e...

Les objectifs du RGPD

Le RGPD se veut le nouveau texte de référence concernant les données personnelles au sein de l'Union européenne. Il vise à mettre en place de nouveaux modes de protection des utilisateurs au regard de l'évolution de l'usage de l'Internet ainsi que des modèles économiques actuels qui accompagnent le numérique.

Le Règlement Général sur la Protection des Données poursuit quelques objectifs ambitieux tels que :

  • La responsabilisation des entreprises grâce à l'auto-contrôle ;
  • Le renforcement du droit des personnes tel que le droit à l'accès, le droit à la portabilité, droit à l'oubli, etc. ;
  • L'uniformisation de la règlementation sur la protection des données au niveau européen.

En effet, le RGPD a été mis en place pour harmoniser le panorama juridique en Europe concernant la protection des données personnelles. Ainsi, grâce à cette nouvelle règlementation, un seul cadre s'appliquera à tous les pays membres de l'UE (France, Allemagne, Espagne, Italie...).

Dans quel cas faire respecter le RGPD sur vos sites ?

Le RGPD s'applique à chaque entreprise publique ou privée des États de l'Union européenne. Il concerne notamment les entreprises qui proposent des services et des produits sur le marché européen. Aussi, le RGPD s'adresse aux entités de collection et de traitement de données à caractère personnel sur les résidents de l'Union européenne. Il faut préciser que ce règlement reste également en vigueur pour toutes les entreprises non implantées en Europe, mais qui collectent et traitent des données sur les habitants du territoire de l'UE.

Entreprises, sous-traitants, associations... chaque entité manipulant des données personnelles doit se conformer au RGPD. Ainsi, si un groupe japonais, américain, africain, chinois, etc. collecte et mouline certaines données personnelles des résidents de l'UE, il doit appliquer le RGPD.

Les géants du web à l'instar de Google, Uber, Amazon ou Facebook sont tenus de prendre en considération toutes les modalités du RGPD pour pouvoir fournir leurs produits ou leurs services aux Européens. Il en est de même pour les start-ups et les e-commerçants. Aussi, quel que soit la taille de votre entreprise et votre domaine d'activité, vous êtes tenu de tenir compte des modalités du RGPD.

Sécuriser les données collectées avec la RGPD

Le périmètre d'application du RGPD

Les obligations du RGPD s'appliquent aux traitements des données à caractère personnel, qu'ils soient automatisés ou non. Ce règlement vise à renforcer l'encadrement des entreprises et des acteurs du web concernant leurs pratiques en termes de collecte et d'utilisation des données personnelles en Europe. À noter que lorsqu'on parle de données à caractère personnel, il s'agit de toutes les informations se rapportant à une personne physique identifiable ou identifiée.

À noter qu'une personne physique identifiable est une personne qu'on peut identifier indirectement ou directement. Les données concernent donc les noms, les numéros d'identification, les identifiants en ligne, les données de localisation, etc. Elles concernent également certaines données spécifiques propres à l'identité physique, génétique, psychique, économique, sociale ou culturelle de l'utilisateur.

Ainsi, le RGPD ne concerne que la protection des données personnelles rattachées aux personnes physiques, et non aux personnes morales. Il s'applique cependant aux données à caractère personnel des représentants d'une personne morale.

Le champ d'application du RGPD concerne également la collecte d'informations sur des représentants d'une entreprise. Il s'agit par exemple des informations sur les cartes de visite. Toutefois, les données sur une entreprise telles que la dénomination sociale, le numéro SIRET, TVA ou encore l'objet social sont exclues du RGPD.

Selon le RGPD, le traitement de données concerne l'accès, la collecte d'informations, le stockage, la manipulation, la consultation à distance et la destruction des données. À noter que les entreprises déléguant le stockage des données et la collecte d'informations à un prestataire consultent les données. Ainsi, la quasi-totalité des entreprises est touchée par les dispositions du RGPD.

A titre d'information, « en 2020, le montant des amendes pour non respect du RGPD s'est élevé à 171 millions d'euros ».

Quelques exemples d'applications du RGPD sur le web

Après toutes les explications sur le RGPD que vous avez lues, vous avez toujours du mal à comprendre ? Pas de panique, nous vous présentons des exemples d'applications concrets du RGPD sur les sites internet.

Les formulaires de collecte de données personnelles

Les entreprises doivent informer leurs utilisateurs sur la collecte de données. Voici quelques exemples de mentions que vous pouvez faire apparaître sur votre formulaire de collecte de données à caractère personnel. N'hésitez pas à les compléter par des informations supplémentaires et à les adapter selon le contexte.

Si vous voulez faire apparaître toutes les mentions d'informations minimales sur votre formulaire de collecte, mentionnez :

« Les informations recueillies sur ce formulaire sont sauvegardées dans un fichier par [coordonnées et informations sur le responsable du traitement d'informations] pour [l'objectif de la collecte de données]. Le traitement est sur la base légale [la base légale].

Toutes les données collectées seront uniquement communiquées à [les destinataires des informations]. Vos données seront conservées pendant [la durée de conservation de données ou les critères de conservation].

Accédez aux données personnelles vous concernant, rectifiez-les et demandez librement à les effacer à votre guise. »

Selon la base légale du traitement des données, mentionnez par exemple : « Vous pouvez vous opposer/retirer votre consentement à la manipulation de vos données à tout moment. Vous pouvez également exercer votre droit à la portabilité des données personnelles que vous nous avez transmises.

Exercez vos droits ou posez vos questions sur le traitement de vos données en contactant [la personne en charge de la protection des données] au [adresse, coordonnées].

Dans le cas où vous estimez que vos droits ne sont pas totalement respectés, adressez une réclamation auprès de la CNIL. »

À noter que pour vos formulaires de collecte de données, vous pouvez par exemple mettre des astérisques sur les données obligatoires et les données facultatives. N'oubliez pas de mentionner les conséquences lorsque certaines données ne sont pas fournies.

Vos mentions peuvent également renvoyer sur une page dédiée pour éviter d'avoir un formulaire trop long et dissuasif.

Infographie : comprendre la RGPD

Exemple : collecte d'information par un site e-commerce (prospection par e-mail, transmission de données aux commerciaux)

Imaginons une société fictive entreprise e-commerce qui permet l'achat en ligne de vêtements et accessoires de beauté via son site web. Via leurs e-mails, elle adresse aux clients des annonces publicitaires des produits qui peuvent leur intéresser. La société veut également échanger des adresses e-mails des clients avec ses partenaires.

Voici un exemple concret qui vous aidera à informer vos clients sur l'application du RGPD au sein de votre site web. Cette illustration peut être complétée ou adaptée en fonction de votre cas.

Différentes modalités de diffusion de l'information

La société peut informer ses clients en 2 niveaux afin de se conformer au RGPD :

  • Le niveau 1 de l'information se trouvera directement sur les formulaires de commandes ;
  • Le niveau 2 se situera sur une page dédiée de son site internet. Il s'agit d'une notice d'informations concernant la gestion des données personnelles plus complète. Le niveau 2 met également les droits à la disposition de ses clients.

Chaque mail adressé aux clients comportera un lien vers l'information de niveau 2.

Exemple de formulaire de commande avec gestion de la RGPD

Nom* :
Prénom* :
Adresse* :
Adresse de livraison (si différente de votre adresse principale) :
Adresse e-mail* :
Téléphone :
Date de naissance :

Notre entreprise collecte vos données pour mieux gérer votre commande. Elle utilise également votre adresse e-mail pour vous envoyer des publicités sur les produits qui peuvent vous intéresser. Si vous refusez de telles sollicitations, cochez la case ci-dessous :

  •  Je refuse que la société me propose des produits par mon adresse e-mail

Vos données peuvent également servir à l'entreprise et à ses partenaires de vous envoyer des publicités via votre mail. Si vous souhaitez le permettre, cochez les cases suivantes :

  •  J'accepte que la société me propose leurs nouveaux produits et services par mon adresse e-mail.
  •  J'accepte de recevoir de la publicité de la part des partenaires commerciaux de l'entreprise via mon adresse e-mail. (Liste des partenaires de la société, mise à jour régulièrement : [lien vers la liste]).

Pour en savoir plus sur la manipulation de vos données personnelles et sur vos droits, cliquez ici : [lien vers l'information de niveau 2].