RGPD (alias Règlement général sur la protection des données) · Le RGPD est entré en vigueur le vendredi 25 mai dernier. Que tu aies une mailing list, un site vitrine et/ou un site e-commerce, il serait de bon ton de t’aligner sur cette loi liée à la protection des données de tes clients. En charge de plusieurs sites pour notre entreprise et pour plusieurs clients, je te donne 7 actions concrètes à mettre en place dès aujourd’hui pour respecter la GRPD !
*****
Le RGPD, c’est quoi ?
Le nouveau règlement européen sur la protection des données personnelles est entré en vigueur le 25 mai dernier.
L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique et, surtout, d’avoir une législation équivalente d’un pays à l’autre.
Il s’applique aux sociétés européennes et aux sociétés non-européennes, dès lors qu’elles ciblent les résidents de l’UE grâce au profilage ou qu’elles proposent des biens et services à des résidents européens.
Les points importants (et nouveaux)
- L’expression du consentement est définie : Ton entreprise doit être en mesure de prouver que ton client / employé t’a donné le droit d’être en possession de ces données et de les utiliser.
- Le droit à la portabilité des données : Ton entreprise doit être en capacité de livrer les données qu’elle a collecté au client qui le demande dans un format qu’il peut réutiliser ensuite.
- Des conditions particulières pour le traitement des données des enfants : Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. Ton entreprise doit donner des informations claires, facilement compréhensible pour un moins de 16 ans. Devenu adulte, ton client peut retirer son consentement et le droit à l’oubli (effacement des données) doit être possible.
- Introduction du principe des actions collectives : Les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données ont la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.
- Un droit à réparation des dommages matériel ou moral : Ton entreprise pourra être attaquée en cas de non respect de la loi.
- Obligation de mettre en oeuvre un registre de suivi du traitement des données personnelles pour les entreprises de plus de 250 employés : ce registre devra être mis à disposition de la CNIL dans le 72 heures de sa demande et devra pouvoir être consulté immédiatement par les employés.
Les risques encourus
Les sanctions en cas de non respect de la loi devraient être renforcées. C’est pourquoi tu as dû recevoir un max de “Mise à jour des conditions générales d’utilisation” et autres “Mise à jour des conditions de service” ces derniers jours dans ta boite mail. Les grands comptes se sont alignés pour ne pas être mis en porte-à-faux par la législation. Mais qu’en est-il pour les sociétés les plus petites ?
Ces dernières risquent tout autant que les autres puisqu’elles gèrent elles aussi des données personnelles de leurs utilisateurs. Une amende de 2 à 4% du chiffre d’affaire peut être appliquée. Cependant, il n’est pas nécessaire de s’alarmer si vous n’êtes pas encore en règle : la loi envisage plusieurs étapes avant la punition, dont la mise en garde et la mise en demeure. Ceci étant dit, autant se mettre en règle tout de suite pour éviter les frayeurs !
Appliquer le RGPD en 8 actions concrètes
Tout le fond de cette nouvelle loi consiste à être conscient des données qui transitent, qu’elles soient directement traitées par ton entreprise ou qu’elles soient prises en charge par des sous-traitants (entreprises physiques ou applications, telles que Google Analytics, Facebook…).
#0 Cartographier les données personnelles en votre possession
Afin de mieux te rendre compte des données personnelles qui transitent par ton entreprise, mon premier conseil est de faire le point sur les données que tu utilises et conserves dans tes dossiers.
Pour cela, je ne peux que te conseiller de créer un mindmap des données personnelles que ton entreprise est amenée à traiter. Cela te permettra de mieux comprendre les actions à mener.
Les données personnelles traitées par la société Studio Quatremain
J’ai fait l’exercice pour le Studio Quatremain, notre société. Comme tu peux le voir, nous récoltons de nombreuses données personnelles à travers quatre supports différents : notre CRM, nos sites internet, notre newsletter et nos réseaux sociaux. Bien que nous ayons un site e-commerce, nous ne gérons aucune donnée bancaire : cette activité est gérée par des applications intermédiaires (Paypal et Stripe, en l’occurence).
#1 Le cas des infos clients
La première chose à savoir ici est qu’il n’y a pas de différence entre client B to C et client B to B. A chaque fois que tu ajoutes un prospect et/ou un client dans ta base de données, tu dois lui demander son accord et lui indiquer ses droits (droit de regard, de modification, de suppression, finalité de l’enregistrement et durée).
Concrètement
Dans le cas où tu constitues toi-même une base de données de tes prospects et de tes clients, tu peux simplement leur indiquer par mail, à la fin de l’échange, que leurs données ont été enregistrées.
Voici un exemple de mail / de signature de mail :
Merci pour votre visite aujourd’hui. Nous avons enregistré les informations suivantes sur votre entreprise pour une durée de 24 mois à partir d’aujourd’hui. Conformément au RGPD, vous disposez des droits d’interrogation, d’accès, de modification, d’opposition, de rectification et d’oubli sur les données personnelles vous concernant. Pour faire valoir vos droits, vous pouvez nous contacter à l’adresse XXX@XXX.XX.
Si ton site est une application ou un site marchand et crée un compte à ton client automatiquement, il est important d’indiquer dans tes CGV (pour un site marchand) ou dans tes CGU (pour une application) le traitement réservé aux données personnelles de tes clients.
Voici une idée de l’article que tu peux ajouter pour être en règle et donner toutes les clés à tes clients pour comprendre ta gestion de leurs informations :
ARTICLE X : PROTECTION DES DONNÉES PERSONNELLES
Conformément au RGPD, le Client dispose des droits d’interrogation, d’accès, de modification, d’opposition, de rectification et d’oubli sur les données personnelles le concernant. En adhérant à ces conditions générales de vente, il consent à ce que le Vendeur collecte et utilise ces données pour la réalisation du présent contrat. Le Client peut contacter notre site à l’adresse XXX@XXX.XX pour faire valoir ses droits.
Le cas particulier des avis clients
Les avis clients sont aussi concernés par cette mesure. Lorsqu’un client donne son avis, il est forcé d’être consentant par rapport à son envoi. Cependant, il n’est pas dans l’obligation d’accepter sa diffusion par ton entreprise. Tu dois normalement lui demander son autorisation et lui permettre de retirer son commentaire à tout moment, si c’est son souhait.
Voici un exemple de mail / de signature de mail :
Merci pour votre témoignage. Au vu de son intérêt pour nos autres clients, nous nous permettons de le publier sur notre site. Conformément au RGPD, vous disposez des droits d’interrogation, d’accès, de modification, d’opposition, de rectification et d’oubli sur ce témoignage. Pour demander le retrait de ce témoignage ou le modifier, vous pouvez nous contacter à l’adresse XXX@XXX.XX.
#2 Le cas des infos des employés
Les informations personnelles que tu détiens sur tes employés sont aussi concernées par cette loi. Il est en ton devoir de les protéger et d’être transparent envers tes employés quand aux données que ton entreprise conserve.
Concrètement
Pour limiter les risques, voici quelques bonnes pratiques à appliquer :
- Limiter les données enregistrées sur tes employés
- Laisser tes employés accéder aux données qui les concernent : ils peuvent les consulter, les modifier et supprimer celles qui ne sont pas nécessaires pour l’émission des documents officiels
- Veiller à la bonne protection de ces données (une fuite étant la responsabilité de l’employeur)
- Nommer un responsable des données personnelles afin que tes employés aient un moyen de contact rapide (il est conseillé d’opter pour le DRH si tu en as un
#3 Le cas des infos récoltées grâce à votre site web (cookies)
A chaque fois qu’un visiteur passe sur ton site, il te fournit ses données par l’intermédiaire des informations enregistrées dans son ordinateur (les cookies). Ces données sont notamment utilisées par les outils d’analyse de trafic (Google Analytics en tête) pour te donner un aperçu des personnes qui visitent votre site.
Quelques applications qui utilisent des cookies
Certaines applications de ton site utilisent les cookies, parfois à ton insu. C’est le cas de :
- Certaines agences de publicité (publicités qui s’affichent en fonction du visiteur)
Concrètement
Appliquer le RGPD consiste dans ce cas à permettre aux utilisateurs de ne pas te confier ses données. Pour cela, une solution simple : mettre en place une cookie bar (c’est la barre d’information qui indique à tes utilisateurs que ton site utilise les cookies). Elle permet de prévenir voir de bloquer les cookies.
En plus, tu peux modifier tes Mentions légales, CGV et/ou CGU en mentionnant les cookies usités par ton site internet. Voici un exemple d’alinéa à ajouter (par exemple, dans l’article dédié à la protection des données personnelles) :
ARTICLE X-1 : LES COOKIES
Depuis le 24 août 2011, la loi oblige le Vendeur à indiquer au Client les systèmes de suivi de fréquentation qui sont activés sur son site. Le site Internet du Vendeur a recours à Google Analytics. Pour limiter les cookies sur son ordinateur, le Client peut effectuer différentes manipulations sur son navigateur. Le Vendeur met à sa disposition les manipulation à effectuer sous les quatre principaux navigateurs :
Sous Chrome
Sous Firefox
Sous Safari
Sous Internet Explorer
#4 Le cas de la newsletter
La newsletter est un outil chéri par les entreprises car elle permet d’avoir un accès direct à ses lecteurs, prospects et clients. Cependant, elle est souvent utilisée au détriment des utilisateurs…
Concrètement
Voici les bonnes pratiques à mettre en place
- Ne pas inscrire de force un utilisateur (préférer l’inscription volontaire — en plus, c’est mieux pour le taux d’ouverture et le taux de clics ensuite)
- Mettre en place le double optin qui te permet d’avoir une preuve de l’inscription volontaire de l’utilisateur
- Envoyer une confirmation de l’inscription qui recense les données enregistrées, le temps d’enregistrement et un mail de référence pour modifier ces données
- Permettre la désinscription à chaque newsletter envoyée
En plus, tu peux modifier tes Mentions légales, CGV et/ou CGU en mentionnant ta politique concernant ta newsletter. Voici un exemple d’alinéa à ajouter (par exemple, dans l’article dédié à la protection des données personnelles) :
ARTICLE X-2 : LA NEWSLETTER
En s’inscrivant à la newsletter du Vendeur, le Client peut recevoir des emails contenant des informations et des offres promotionnelles concernant des produits édités par la Société et de ses partenaires. Il peut se désinscrire à tout instant. Il lui suffit pour cela de cliquer sur le lien présent à la fin des emails du Vendeur ou de contacter le responsable du traitement (la Société) par email à l’adresse XXX@XXX.XX.
#5 Le cas des réseaux sociaux
Le cas des informations récoltées grâce aux réseaux sociaux (Facebook, Linkedin, Twitter…) est un peu particulier. En effet, les personnes présentes sur les réseaux sociaux ont accepté de confier leurs données personnelles à ces organismes en signant leurs CGU.
Concrètement
Tu peux modifier tes Mentions légales, CGV et/ou CGU en mentionnant ta politique concernant tes réseaux sociaux et le suivi analytique réalisé sur ces derniers. Voici un exemple d’alinéa à ajouter (par exemple, dans l’article dédié à la protection des données personnelles) :
ARTICLE X – 3 : LES RESEAUX SOCIAUX
Le Vendeur informe le Client qu’il utilise les outils d’analyse des différents réseaux sociaux sur lesquels il est présent : XXX, XXX, XXX…Si le Client ne souhaite pas voir ses données personnelles utilisées dans ce cadre, il peut faire le choix de quitter ces réseaux sociaux.
#6 Le cas des infos bancaires
Parce que les informations bancaires sont des informations sensibles et particulièrement visées par les robots et autres hackers, il est de bon ton d’en déléguer la gestion. Plusieurs applications (Stripe, paypal, passerelle de paiement des différentes banques…) gèrent les données bancaires – contre rémunération d’un pourcentage de la vente.
Concrètement
Tu peux simplement informer tes clients des différentes applications que tu utilises pour réaliser l’enregistrement des données bancaires.
Voici un exemple pour Stripe (cet article est ajouté dans nos modes de paiement acceptés, mais tu peux aussi l’insérer dans ton article sur les données personnelles) :
ARTICLE X – 4 : LES DONNEES BANCAIRES
Le paiement sécurisé en ligne par carte bancaire est réalisé par le prestataire de paiement du Vendeur, l’application Stripe (le Vendeur certifie que ses serveurs ne reçoivent et ne conservent aucune donnée sensible). Stripe est certifié en tant que fournisseur de service PCI de niveau 1, le niveau de sécurité le plus élevé de l’industrie du paiement.
#7 Créer un registre de suivi du traitement des données personnelles
Que tu la joues solo ou collectif, il peut être intéressant de créer un registre de suivi du traitement des données personnelles (ce registre est obligatoire si tu as plus de 250 employés). Tu peux d’ailleurs retrouver des fiches type sur le site de la CNIL, organisme français en charge de l’application du RGPD.
L’établissement de ce dossier a pour but de faire le point sur les différents outils de collecte des données et leur traitement. Le mettre en place et l’actualiser régulièrement (une fois par an, par exemple) au gré de l’évolution de ton activité peut permettre de vérifier que tu es toujours en règle.
Dans la même idée, et c’est essentiel si tu évolues dans une entreprise plus large, il faut nommer quelqu’un en charge de ce registre, afin qu’il y ait une personne référente sur ce domaine. C’est plus simple s’il s’agit du / de la DRH puisqu’il ou elle connait tes différents employés et les informations disponibles sur chacun.
*****
As-tu déjà mis ton entreprise en ordre de marche pour le RGPD ? Comment t’y es-tu pris ?
En tout cas, si tu as besoin d’aide pour incorporer les différents éléments de la loi sur ton site (cookie bar, double option pour la newsletter…), tu peux nous faire signe : notre team est au top sur ces points !
A la semaine prochaine,
Marièke
