Articles

Le RGPD ou Règlement général sur la protection des données est la nouvelle disposition législative qui offre aux citoyens européens la possibilité d’avoir un meilleur contrôle de ses données qui ont été collectées, utilisées et stockées par n’importe quelle structure. Bien qu’elle s’applique aux consommateurs, elle reste également valable pour les salariés. Voici donc les points essentiels à connaître sur la gestion des données des employés suivant les dispositions du RGPD.

Informer les salariés

Afin de respecter les dispositions mises en place par le RGDP pour un meilleur traitement des données, l’entreprise doit avant tout prendre le temps d’informer ses salariés. Certes, le RGPD l’oblige à revoir les modalités de la rubrique « Informatique et libertés » mentionnée dans le contrat de travail, mais n’offre pas de détails plus précis sur la manière d’informer les salariés. Pour réussir cette première étape, il serait donc préférable d’insérer une information générale de sensibilisation dans les contrats de travail. Il serait également plus pratique de prévoir un document annexe au contrat qui indique les modalités de traitement des données. Celui-ci doit ensuite être signé par les salariés et conservé par l’entreprise.

Identifier les fondements juridiques du traitement des données

Depuis l’application du RGPD, les entreprises se voient désormais dans l’obligation d’identifier les réels fondements juridiques qui justifient le traitement des données de leurs salariés. En d’autres termes, celle-ci doit être en mesure de se baser sur une clause juridique mentionnée par le RGPD, pour ne citer que le respect d’une obligation légale qui peut être sociale ou fiscale, l’exécution du contrat de travail ou tout simplement les intérêts légitimes comme la sécurisation de la gestion des ressources humaines, du réseau informatique ou de la paie. Ces motivations ne doivent cependant pas contrevenir aux intérêts, aux droits fondamentaux et aux libertés du salarié. À noter toutefois que le consentement ne peut pas être considéré comme un fondement juridique du traitement des données personnelles des salariés, à cause de la relation de subordination entre les deux parties.

La durée de conservation des données

L’employeur est aussi tenu de communiquer à salariés un certain nombre d’informations relatives au traitement de leurs données personnelles, dont la durée de conservation de ces dernières. En effet, d’après le RGPD, il est impératif de limiter cette durée de conservation au minimum nécessaire à la finalité du traitement des données. Pour le salarié, cette durée peut être le temps de présence dans l’entreprise puis s’établir sur les 5 ans qui suivent le terme du contrat de travail en ce qui concerne l’archivage légal. Il s’agit dans ce cas précis de la période qui couvre les durées de prescriptions des contentieux potentiels qui peuvent s’établir entre le salarié et son employeur.

Les droits des salariés

Pour que le traitement des données des salariés soit bien encadré par le RGPD, il est essentiel pour l’entreprise de leur prévoir des droits d’accès, de rectification ou « d’oubli ». À l’instar des citoyens européens, les salariés bénéficient de tous ces droits sur leurs données personnelles. En revanche, pour le cas du « droit à l’oubli », l’employeur a la possibilité d’y déroger lorsque la durée des prescriptions portant sur les contentieux avec le salarié n’est pas encore écoulée.

Enfin, pour certains traitements jugés ‘à risques’, une étude d’impact sur la vie privée (EIVP ou PIA) est nécessaire. C’est le cas notamment de la vidéosurveillance, de la géolocalisation, de la ‘cybersurveillance’ ou encore des traitements sur la gestion des contentieux ou des infractions routières.

Le règlement relatif à la protection des données ou RGPD est le nouveau dispositif en vigueur qui encadre la protection et la circulation des données à caractère personnel sur le territoire des pays membres de l’Union européenne. Au sein des entreprises, la direction commerciale est la branche la plus concernée par l’application de cette nouvelle mesure. Les modifications incontournables, ce qu’il faut éviter, comment s’y adapter ? Retrouvez dans les lignes qui suivent quelques éléments de réponse…

L’importance du consentement

Le RGPD met en premier plan le consentement de l’internaute / client aussi bien lors de la collecte que du traitement de ses données à caractère personnel. C’est pourquoi le dispositif oblige les directions commerciales à justifier les motifs qui les poussent à collecter ces données. À titre indicatif, il est important de motiver le formulaire de contact, et de fournir des informations utiles et nécessaires par la même occasion. Il ne faut pas non plus oublier de préciser de manière claire et compréhensible la date de création du contact ainsi que les consentements positifs aux processus de traitement des données. Il faut savoir qu’avec le RGPD, toute personne concernée par la collecte de données peut parfaitement revenir sur son consentement, et récupérer ses données. C’est pourquoi les directions commerciales doivent faire en sorte que la suppression complète d’un contact soit la plus simple possible.

Encadrer le profilage

Le RGPD encadre également le profilage. En effet, pour un meilleur encadrement du processus, les directions commerciales se voient dans l’obligation de le justifier, soit par le consentement soit sur la base de l’intérêt légitime du Responsable de Traitement. Les clients et les prospects pourront alors prendre connaissance de l’utilisation réelle de leurs données, ainsi que les procédures à suivre qui leur permettront par la suite de s’y opposer. Le RGPD recommande ainsi aux équipes des directions commerciales l’utilisation de logiciels de CRM performants aptes à supprimer automatiquement certaines données sur demande de leurs propriétaires, ou après leur durée de conservation légale.

Un logiciel CRM conforme au RGPD, et sans transfert en dehors de l’Union européenne

D’après les dispositions du RGPD, les entreprises via leurs directions commerciales doivent confier les données personnelles de tous leurs prospects à des prestataires et des outils conformes. Il est donc vivement recommandé d’utiliser des outils de gestion de la relation client certifiés aux normes iso27018 ou iso27001. En ce qui concerne le transfert de datas en dehors du territoire des pays membres de l’Union européenne, les branches commerciales se voient dans l’obligation d’informer les personnes concernées avant même la collecte des données. Cette mesure s’applique aussi bien pour la collecte sur site internet et par appel téléphonique que sur des rendez-vous physiques ou sur la base d’un document papier.

L’inscription des prospects B2C à la Newsletter

Après l’application du RGPD, les directions commerciales des entreprises concernées doivent également revoir leur politique en matière d’inscription à la Newsletter. Il faut tout de même savoir que la législation française autorise une entreprise à inscrire un client B2C à sa newsletter, en permettant l’exercice du droit d’opposition à tout moment, lors d’un processus d’achat, et ce, après information. Cette inscription est toutefois interdite lorsque le prospect n’a pas encore passé sa commande à moins d’avoir recueilli de façon univoque son consentement. La création d’un espace client n’est donc pas suffisante. Par ailleurs, le principe à respecter est différent pour le cas d’un prospect B2B. Celui-ci peut en effet être directement inscrit dans une mailing-list, lorsqu’il a été préalablement informé de cette possibilité ainsi que de son droit d’opposition ultérieur dans le formulaire de collecte de données.

Dans le cadre de l’application du RGPD ou Règlement général sur la protection des données, le sous-traitant, c’est-à-dire celui qui traite des données personnelles aussi bien pour le compte, sous l’autorité ou sous les instructions de ce qu’on appelle le responsable de traitement, se voit dans l’obligation de modifier certaines de ses pratiques. Voici donc les nouvelles obligations auxquelles ce type de structure doit se soumettre.

Les sous-traitants concernés

Aujourd’hui, le sous-traitant comme défini par la CNIL se présente comme un prestataire de service. Son activité peut ainsi se focaliser sur une tâche bien définie comme la sous-traitance d’envoi de courriers, ou être plus étendue et générale comme la gestion d’un service ou d’un département pour le compte d’un autre organisme. Les nouvelles dispositions du RGPD concernent donc tous les prestataires de services informatiques, les sociétés de sécurité informatique, les intégrateurs de logiciels ainsi que les entreprises de service du numérique ayant accès aux données. Elles touchent également les agences de communication ou de marketing traitant des données personnelles pour le compte de clients, ainsi que tout organisme qui propose une prestation axée sur le traitement de données personnelles pour le compte d’une autre structure. Il arrive également qu’une association ou un organisme public soit amené à effectuer une telle tâche. En revanche, les éditeurs de logiciels ainsi que les fabricants de matériels de type badgeuse ou tout outil biométrique n’ayant pas accès et ne traitant pas de données personnelles ne sont pas concernés par ce nouveau règlement, à moins d’assurer une maintenance qui implique l’accès aux données personnelles.

La transparence et la traçabilité

Afin de respecter et de mettre en place l’obligation de traçabilité et de transparence, le sous-traitant doit avant toute chose établir avec son client un contrat ou un acte juridique (convention dans le cadre d’un même groupe) qui mentionne les obligations de chaque partie, en se référant aux dispositions de l’article 28 du RGPD. Il est également important d’identifier les instructions du client, afin de permettre au sous-traitant de prouver qu’il agit réellement sous une instruction documentée du responsable de traitement, d’obtenir une autorisation du responsable de traitement lorsque le sous-traitant lui-même décide de faire appel aux services d’un autre sous-traitant, et enfin, de tenir un registre qui recense les clients et précise le type de traitement de données réalisé pour leurs comptes respectifs.

Garantir la sécurité des données

D’après les dispositions du RGPD, le sous-traitant est également tenu d’assurer la sécurité des données personnelles qui lui ont été confiées. Chaque employé chargé de traiter les données du client est avant tout soumis à une obligation de confidentialité. Le sous-traitant doit ensuite informer son client de toute violation de ses données. Il est également impératif pour le sous-traitant de prendre toutes les mesures nécessaires permettant de sécuriser ces données des éventuels risques. À la fin de la prestation, et ce, suivant les instructions de son client, le sous-traitant doit supprimer toutes les données traitées ou les renvoyer à son client, et détruire par la même occasion toutes les copies existantes. Cette dernière mesure n’est cependant pas applicable lorsque le sous-traitant se trouve dans l’obligation légale de conserver les données personnelles traitées.

Entré en vigueur le 24 mai 2016 et applicable depuis le 25 mai 2018, le Règlement pour la protection des données ou RGPD est le nouveau texte de référence qui encadre la protection des données à caractère personnel. Outre le droit à l’information, à l’oubli, à l’effacement, ou la portabilité des données, le dispositif prévoit également ce qu’on appelle le droit d’opposition. En quoi consiste-t-il ? Comment l’exercer ? Les réponses dans les lignes qui suivent.

Le droit d’opposition, c’est quoi exactement ?

Comme son nom l’indique, le droit d’opposition peut être défini comme la possibilité pour toute personne physique de s’opposer à ce que ses données à caractère personnel soient utilisées à des fins de prospection commerciale, et ce, sans avoir à se justifier, il va donc plus loin que le droit à la limitation de traitement. En termes plus simples, le droit d’opposition vous offre la possibilité de vous opposer à ce qu’un organisme utilise vos données pour un objectif bien défini. Pour ce faire, à l’exception de la prospection commerciale, il est important de mettre en avant des motifs valables en lien avec votre situation particulière. Depuis l’entrée en vigueur du RGPD, il est tout à fait possible pour une personne physique de s’opposer au traitement de ses données personnelles basé sur l’intérêt légitime de l’entité qui utilise ses données. Ce droit s’applique également en cas de traitement à des fins de marketing direct, et de profilage qui sous-entend un traitement destiné à un marketing direct. En exerçant votre droit d’opposition, vous ne recevrez donc plus de prospection commerciale, car l’organisme concerné sera dans l’obligation d’effacer votre adresse email de sa base de données. Vous aurez même la possibilité de demander l’effacement une information personnelle d’une base de données active.

Comment procéder ?

Pour exercer le droit d’opposition, vous devez donc commencer par identifier l’organisme à contacter. Rendez-vous ensuite sur la page d’information de son site internet, et où vous pourrez exercer votre droit d’opposition, en cliquant entre autres sur la page « politique vie privée », « politique confidentialité » ou « mentions légales ». Une fois que vous aurez réussi à trouver la page spécialement conçue à cet effet, il ne vous restera plus qu’à fournir les explications nécessaires qui concernent les données à effacer, ainsi que les différents motifs relatifs à votre situation particulière. L’exercice de ce droit d’opposition se fait par différents moyens, sans que vous ayez à fournir des justificatifs. Vous pourrez donc y procéder par courrier ou par voie électronique, en remplissant un formulaire, via un compte en ligne ou par adresse mail.

Une copie de la démarche, très important

Lorsque vous exercez votre droit d’opposition, suivant les dispositions du RGPD, il est utile de garder une copie de votre démarche. Cette étape est particulièrement importante lorsque vous souhaitez saisir la CNIL après une réponse insatisfaisante ou une absence de réponse de l’organisme concerné. Pour ce faire, il suffit d’effectuer une capture d’écran de votre demande ou de la réponse obtenue auprès de cet organisme et d’envoyer le fichier obtenu à la CNIL. Lorsque vous optez pour une démarche par courrier, n’oubliez surtout pas de demander un accusé de réception qui fera office de preuve sur la date de votre démarche. En cas de refus ou d’absence de réponse, l’organisme saisi se voit dans l’obligation de prouver que des motifs impérieux et légitimes lui imposent de continuer à utiliser les données que vous souhaitez effacer de sa base de données, et ce, malgré votre demande, ou que vos données sont indispensables pour la défense, l’exercice ou la constatation de certains droits en justice.

Afin d’exercer votre droit, il pourra vous être demandé de justifier de votre identité.

 

Adopté par l’Union européenne et entré en vigueur depuis le 25 mai 2018, le RGPD ou Règlement général sur la Protection des Données est le nouveau dispositif destiné à encadrer le traitement ainsi que la circulation des données des personnes physiques. Outre le droit d’opposition, l’accès aux données personnelles, le droit de rectification, l’effacement, c’est-à-dire le droit d’oubli ou le droit à la portabilité, ce nouveau texte met également en place le droit à la limitation du traitement.

Le droit à la limitation du traitement, quels effets ?

Le droit à la limitation du traitement peut être défini comme le droit au marquage des données personnelles conservées, afin de limiter leur traitement dans le futur. En d’autres termes, ce droit indique à l’organisation concernée d’arrêter de traiter les données personnelles d’un individu, sur demande en bonne et due forme. Concrètement, le droit à la limitation du traitement prévoit un « gel » des données pendant une durée bien définie. À noter toutefois que pendant cette période, les données en question seront conservées, mais ne pourront pas être traitées, suite à la demande de la personne concernée. Vous pouvez demander la limitation du traitement de vos données lorsque vous contestez leur exactitude, le temps d’apporter les corrections nécessaires, lorsque le traitement est jugé illicite, mais que le propriétaire ne souhaite pas les effacer, lorsque les données en question ne sont plus utiles au traitement préalablement consenti, mais que vous préférez tout de même les conserver afin de pouvoir les produire en justice, ou lorsque vous prévoyez d’exercer votre droit d’opposition au traitement. Dans la plupart des cas, la restriction sera levée à partir du moment où les préoccupations de son propriétaire sont résolues ou lorsque l’organisation n’a plus besoin de ces données.

Comment faire pour exercer ce droit ?

La première chose à faire pour exercer le droit à la limitation du traitement est de s’adresser directement à l’organisme concerné qui dispose d’un délai d’un mois pour répondre à votre demande d’opposition ou de rectification. Cette entité a même la possibilité de prolonger ce délai lorsque la demande est jugée complexe ou requiert une étude complémentaire. Durant cette période de prolongation, elle a donc l’obligation de geler les données et de ne surtout pas les utiliser. Demandez toujours votre droit à la limitation du traitement de vos données personnelles lorsque l’organisme en question a besoin d’un délai supplémentaire pour vous accorder l’accès à vos droits. Durant l’intégralité de cette procédure, il est important de garder une copie de toutes vos démarches, notamment lorsque vous prévoyez de saisir la CNIL en cas de réponse non satisfaisante ou d’absence de réponse.

Quelles limites ?

L’exercice du droit à la limitation du traitement compte toutefois quelques limites. Sachez que l’organisme saisi se voit dans l’obligation de vous informer que la limitation de l’utilisation de ces données est effective. Au moment du « gel », les données ne peuvent être utilisées que lorsque vous avez donné votre accord. Elles peuvent également être traitées en vue de constater, d’exercer ou de défendre certains droits en justice, pour assurer la protection des droits d’un tiers qui peut être une personne physique ou morale.tout simplement pour des motifs d’intérêt public d’un État, ou de l’Union européenne.

Le 21 janvier dernier, la CNIL (Commission nationale de l’Informatique et des Libertés) a condamné la société Google à 50 millions d’euros d’amende. L’autorité accuse en effet le géant américain d’avoir manqué aux obligations imposées par le RGDP (Règlement général européen de protection des données). Explications.

Une sanction historique

L’amende reçue par Google est exceptionnelle à plusieurs titres. Tout d’abord, c’est la toute première fois que l’entreprise subit une sanction de la part de la CNIL. Ensuite, il s’agit à ce jour de la plus grosse amende prononcée par cette autorité dans le cadre du RGDP. Son précédent record était une sanction de 400 000 euros, prononcée à l’encontre de l’application de VTC Uber. Le RGDP autorise la CNIL à faire grimper l’amende jusqu’à 4 % du titre d’affaires annuel d’une société. Cependant, en 2017, Google avait réalisé près de 110 milliards de dollars de chiffre d’affaires. Sa sanction correspond donc à environ 0,05 % de ses revenus annuels.

Une information insuffisante des internautes

L’amende de la CNIL vient donner raison aux associations None Of Your Business (NOYB) et la Quadrature du Net, qui avaient déposé plainte contre le géant américain. Avant de prononcer sa sanction, la CNIL a analysé de près le parcours d’un utilisateur de compte Google. C’est ainsi que l’autorité a pu constater que l’information donnée aux utilisateurs sur la finalité et la durée de conservation de leurs données était trop floue pour être satisfaisante : pour obtenir tous les renseignements utiles, il est nécessaire d’activer des boutons ou de suivre des liens. Après enquête, la CNIL a par ailleurs estimé que l’exploitation des données personnelles par Google était à la fois “massive et intrusive”.

Des problèmes de consentement

Le CNIL a également jugé que Google ne recueillait pas suffisamment le consentement des internautes. Ces derniers peuvent ainsi se voir proposer des publicités adaptées à leurs intérêts, que ce soit en utilisant le moteur de recherche ou d’autres services Google comme YouTube, sans avoir eu connaissance du volume de données traitées. Plus grave, le géant américain forcerait le consentement des internautes, puisque créer un compte Google conduirait, en acceptant les conditions d’utilisation, à approuver par défaut le traitement de ses données personnelles par Google. Or, ainsi que le rappelle la CNIL, pour être en accord avec la réglementation, le consentement doit toujours être explicite.

Bref rappel sur le RGDP

Le RGDP (Règlement général européen de protection des données) constitue le texte de référence en matière de protection des données personnelles au sein de l’Union européenne. Applicable depuis le 25 mai 2018, il est plus strict que la réglementation précédente. Vous vous interrogez sur le RGPD ou bien vous vous posez des questions de conformité ? N’hésitez pas à consulter DPMS dans le cadre d’un audit RGPD pour votre entreprise : nos experts en solutions pour la protection des données personnelles sont à votre disposition pour vous conseiller.

L’obligation d’information constitue l’une des pierres angulaires du nouveau règlement sur la protection des données personnelles. Elle oblige les entreprises réalisant des traitements de données personnelles à prendre certaines dispositions, dont la révision de leurs mentions légales. Ces mentions doivent dorénavant être adaptées aux exigences du RGPD, surtout que depuis mai dernier leurs rôles ont été renforcés.

Pourquoi est-il si important de revoir ses mentions légales ?

Les mentions légales sont obligatoires sur un site internet, et ce quelle que soit l’activité de ce dernier. Son importance a d’autant plus été renforcée avec la mise en application du RGPD qui fait de la transparence et de l’obligation d’information quelques-unes de ses grandes lignes. Les mentions légales ont un rôle triple : informer, responsabiliser et prouver. Elles permettent à l’internaute d’identifier avec aisance celui à l’origine du contenu d’un site et donc la personne qu’il devra approcher pour exercer son droit de réponse ou qu’il devra poursuivre en cas de litige. Elles doivent en outre être faciles d’accès et permanent. Autrement, cela serait contraire à l’esprit de la loi.

Les mentions légales doivent donc fournir des informations sur l’éditeur de site (personne morale ou physique fournissant le service de communication par voie électronique et qui crée et définit le contenu éditorial) : noms et prénoms, dénomination sociale de l’entreprise, adresse géographique, capital social, adresse du siège social…

À part cela, si vous réalisez des traitements de données personnelles, vous devez mentionner le numéro des déclarations CNIL dans vos mentions légales. Et surtout, vos mentions légales doivent contenir des informations sur la finalité des cookies que vous utilisez et les étapes à suivre pour les refuser. Enfin, sachez qu’en l’absence de mentions légales sur votre site, vous risquez une amende de 75 000 euros et une peine d’un an de prison. Si vous êtes une personne morale, l’amende peut monter jusqu’à 350 000 euros plus une peine de prison de 5 ans.

Quelques conseils pour mettre en place des mentions légales efficacement

Si vous voulez rédiger des mentions légales bien conformes aux dispositions du RGPD, voici quelques conseils qui pourraient grandement vous aider :
Définir l’étendue de votre traitement : sa finalité ou les raisons qui vous poussent à réaliser le traitement (newsletter, gestion du personnel…) ;
Définir la base légale : il s’agit ici de reprendre l’une des bases légales définies dans l’article 6 du RGPD (consentement, obligation légale, sauvegarde des intérêts vitaux d’une personne, intérêts légitimes du responsable du traitement, exécution du contrat, mission d’intérêt public) ;
Définir les destinataires des données personnelles collectées : depuis l’application du RGPD, les mentions légales doivent préciser les informations sur les personnes ayant accès aux données ;
Définir la durée de conservation des données : le RGPD (article 13.2) vous impose de fournir dans vos mentions légales des informations sur la durée de conservation des données que vous collectez ;
Après avoir déterminé toutes les informations ci-dessous, il ne vous restera plus qu’à les intégrer au reste de vos mentions légales. Pour vous aider dans la rédaction, vous pouvez vous inspirer des exemples proposés par la CNIL ou tout simplement faire appel à un expert en RGPD.

 

Le Règlement Général Européen sur la Protection des Données ou RGPD est le nouveau texte de référence en matière de protection des données en ligne sur l’ensemble du territoire de l’Union européenne. En plus de mettre en place et de renforcer des droits et des obligations, ce texte entré en vigueur le 25 mai 2018 prévoit également des dispositions particulières qui concernent le consentement des mineurs.

L’âge de consentement

Le consentement est le critère essentiel en matière de traitement de données, et notamment celui des données à caractère personnel. En effet, pour donner le consentement, il est important d’être au-dessus d’un âge limite. Aujourd’hui, d’après les dispositions du RGPD, l’âge limite de base est de 16 ans. En revanche, le règlement européen offre aux États membres la possibilité d’ajuster cette limite entre 13 et 16 ans. À titre indicatif, l’âge de consentement est de 15 ans en Grèce, en République Tchèque et en Slovénie, contre 14 ans en Italie, en Autriche, à Chypre et en Bulgarie. Celui-ci descend même à 13 ans en Estonie, au Danemark, en Belgique, en Irlande, en Finlande, en Pologne, en Lettonie, en Espagne, au Portugal, au Royaume-Uni et en Suède.
La France a retenu 15 ans comme âge légal ‘numérique’ et donc pour pouvoir donner son consentement.

La responsabilité parentale

Si une personne morale, prévoit de collecter des données appartenant à un mineur plus jeune que l’âge limite, le consentement doit être accordé par une personne pouvant exercer ce qu’on appelle la « responsabilité parentale ». Elle est également tenue de faire tous les « efforts raisonnables » pour prouver que la personne qui fournit ce consentement dispose réellement de cette figure parentale. La vérification de la personne qui se trouve derrière l’écran incombe aussi à l’entreprise qui collecte ces données, en prenant en compte les moyens technologiques disponibles dont elle a accès. À noter toutefois que les mineurs peuvent fournir eux-mêmes leur propre consentement lorsque les données sont collectées dans le cadre de services ou de prévention et de conseils qui s’adressent directement aux enfants.

Le principe de la transparence

Le RGPD insiste également sur la mise en place et le respect du principe de transparence envers les mineurs, afin de leur accorder une meilleure protection dans le cadre du traitement de leurs données. En d’autres termes, il est important que les mentions d’informations qui s’adressent aux mineurs soient réellement adaptées à leur âge. Les dispositions de l’article 12 du RGPD prévoient donc que les obligations qui consistent à assurer que les informations fournies à ce type de profil soient transparentes, concises et formulées dans des termes simples doivent être respectées, surtout lorsque les informations s’adressent spécifiquement à un enfant. Tout type d’information ayant un lien avec la collecte de données personnelles doit être lisible et parfaitement accessible grâce à des termes simples et clairs facilement compréhensibles par un enfant.

Le droit à l’oubli

D’après les dispositions de l’article 17 du RGPD, toute personne est en mesure d’exercer son « droit à l’effacement de ses données à caractère personnel » auprès du responsable du traitement de l’entreprise concernée. Cette dernière sera alors obligée d’exécuter la demande dans les meilleurs délais, sous réserve des exceptions mentionnées dans l’alinéa 3. L’article 40 de la loi informatique et libertés mentionne également le « droit à l’oubli numérique» pour les mineurs, ainsi qu’une accélération de la procédure relative à l’exercice de ce droit. En effet, lorsque la personne concernée est encore mineure au moment de la collecte des données, celle-ci est tout à fait en mesure d’obtenir l’effacement de ses données problématiques dans les meilleurs délais. En cas de réponse négative ou d’absence de réponse dans un délai d’un mois après la requête, elle peut ensuite saisir la CNIL qui dispose pour sa part d’un délai de 3 semaines pour donner sa réponse.
Ne pas confondre le droit d’effacement de la base ‘active’ avec une suppression des données qui peuvent devoir être conservées en archives intermédiaires pour des durées de prescription légale.


 

La mise en conformité avec le nouveau règlement sur la protection des données personnelles vous oblige à revoir certains des outils marketing que vous utilisez au quotidien dont Google Analytics, l’un des outils de traitements de données les plus utilisés par les propriétaires de sites. En effet, le RGPD a des impacts considérables sur Google Analytics (mise en conformité depuis le 12 avril 2018). Et pour continuer à utiliser ce service en toute légalité, vous devrez également prendre quelques dispositions.

Les impacts du RGPD sur Google Analytics

Google Analytics est un merveilleux outil. Il vous permet de déterminer le nombre de visiteurs de votre site tout en vous précisant le nombre de ceux qui reviennent. Outre ces éléments, Googles Analytics vous donne également des détails sur les pages visitées, la durée de la visite et le comportement d’un visiteur à chacune de ses visites. Google Analytics obtient ses informations en suivant des données (tracking), ou en terme RGPD, en traitant des données.

Ces données sont de 3 types : des identifiants numériques (comme les cookies), des adresses de protocole internet (adresse IP) et identificateurs de dispositifs ainsi que des identifiants clients. Or, la plupart de ces données sont considérées par la loi comme des données personnelles au sens de l’article 4 du RGPD (est une donnée personnelle toute donnée qui permet d’identifier directement ou indirectement une personne physique).

En d’autres mots, Google Analytics réalise un traitement de données personnelles. Mais le nouveau règlement sur la protection des données personnelles est clair : tout traitement de données personnelles est illicite (sauf exception) s’il est réalisé sans le consentement de la personne concernée, en l’occurrence le visiteur de votre site. Pour simplifier, vous êtes dans l’obligation de bloquer tout usage de Google Analytics avant d’obtention du consentement de vos utilisateurs.

Que faire pour rester en conformité ?

Pour rendre votre Google Analytics conforme avec les dispositions du RGPD, vous devez prendre plusieurs dispositions :

  • Contrôler les données personnelles transmises à Google : il s’agira en plus d’activer les filtres proposés par Google Analytics de réaliser des vérifications approfondies. Sur ce point, un audit de conformité pourrait s’avérer nécessaire ;
  • Mettre en place un système d’anonymisation : l’adresse IP est considérée par la loi comme étant une donnée personnelle. Et pour cause, même si elle n’apparaît pas dans les rapports que fournit Google, ce dernier peut s’en servir pour localiser une personne. Pour limiter les risques, il est conseillé d’activer la fonction d’anonymisation IP dans Google Analytics ;
  • Faire le point sur les identifiants pseudonymes utilisés par votre implémentation Google Analytics.

Outre les points précités, pour utiliser Google Analytics en toute légalité, n’oubliez pas de configurer votre implémentation en suivant la procédure décrite dans les mails envoyés par Google aux administrateurs de compte. Les actions à faire se résument à :

  • Accepter l’accord de traitements des données ou DPA : cet accord précise que Google Analytics prend les dispositions nécessaires pour se conformer aux exigences du RGPD, mais que malgré tout, vous restez seul responsable des données que vous collectez ;
  • Ajouter les informations sur les entités juridiques responsables de la protection des données au sein de votre organisation : votre contact, le contact de votre DPO et du représentant EEE ;

Configurer le délai de conservation des données  et les marqueurs Google Analytics : cette étape est assez technique puisqu’elle peut nécessiter la modification du tag utilisé ou encore l’élaboration d’une page pop-in (tag manager) à partir de laquelle on peut gérer les autorisations des cookies utilisés par votre site.

 

Le Règlement sur la protection des données ou RGPD est entré en vigueur le 25 mai 2018. Pour toutes les entreprises présentes en ligne, il prévoit des changements importants qui touchent notamment la sécurité des données.

 

La sécurité des données personnelles, c’est quoi exactement ?

À l’heure de la digitalisation, la collecte des données a pris une ampleur sans précédent. Ainsi, une faille sécuritaire mettrait potentiellement en péril la confidentialité des données personnelles des citoyens de l’Union Européenne.

Invoquer la notion de sécurité des données personnelles revient donc à mettre en place tous les dispositifs nécessaires qui garantissent la sécurité ainsi que la confidentialité des données d’un individu, à savoir son nom, son adresse ou son numéro de sécurité sociale.

Le RGPD vient donc harmoniser la gestion de toutes ces données sur l’ensemble des pays membres de l’Union européenne. Son champ d’application s’étend à tous les acteurs économiques et sociaux qui proposent des biens et des services, et dont l’activité prend en compte le traitement des données personnelles des résidents de l’Union Européenne. La sécurisation des données vise donc à garantir dans la mesure du possible la confidentialité de données personnelles des citoyens de l’Union Européenne.

Comment sécuriser les données conformément au RGPD ?

Pour se conformer au RGPD, les entreprises qui collectent et traitent les données personnelles se voient donc dans l’obligation de mettre en place une méthode de gestion de risques en 4 étapes distinctes.

Il faut dans un premier temps recenser les traitements de données qui revêtent un caractère personnel parmi toutes les données déjà prises en compte, et d’identifier les supports de stockage qui ont été utilisés.

La seconde étape consiste à déterminer tous les risques qui pèsent sur chaque type de traitement : les sources de menaces, les éventuels impacts ainsi que la probabilité de survenance.

Vient ensuite la définition des mesures de sécurité qu’il faut mettre en place, afin de minimiser les risques et de réagir de manière efficace en cas d’incident.

Enfin, la quatrième étape prévoit la mise en œuvre de toutes les mesures de sécurité nécessaires et adéquates pour garantir l’application correcte de toutes les mesures de sécurité grâce à des audits réguliers.

Le guide sur la sécurité des données personnelles

Pour aider les entreprises à assurer la sécurité des données, la CNIL a décidé de publier un guide didactique. Le document facilement téléchargeable en ligne contient ainsi 17 fiches pratiques qui leur permettent de garantir la sécurité des données, notamment celles qui revêtent un caractère personnel.

Les fiches abordent donc la sensibilisation des utilisateurs, leur authentification, la gestion des habilitations, le traçage des accès et la gestion des incidents, la sécurisation des postes de travail et de l’informatique mobile, la protection du réseau informatique interne, la sécurisation des serveurs et des sites web, la sauvegarde ainsi que la continuité d’activité, l’archivage sécurisé, l’encadrement de la maintenance ainsi que la destruction des données, la gestion de la sous-traitance, la sécurisation des échanges avec d’autres entités, la protection des locaux, l’encadrement des développements informatiques sans oublier le chiffrage, la garantie de l’intégrité ainsi que la signature.