On me demande régulièrement quelles sont les mentions obligatoires sur les supports de communication d'une entreprise (papeterie, factures, site, e-mail, vitrines et véhicules...). Voici un "petit" résumé...
Le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) entre en vigueur le 25 mai 2018. Les entreprises ne respectant pas ses dispositions risquent des amendes qui ne rigolent pas : 4% du CA ou jusqu’à 20 millions d’Euros ! Ca pique !
C’est quoi le RGPD ?
C’est un règlement sur les données personnelles des personnes physiques voté en 2016 afin d’unifier les règles dans toute l’UE. Ce règlement permettra au citoyen d’avoir un meilleur contrôle sur l’utilisation de ses données personnelles.
Ca s’applique à qui ?
Toute entreprise, association, organisation publique ou privée (même hors UE) qui collecte des données à caractère personnel des citoyens européens.
Qu’est-ce que des données à caractère personnel ?
Cela commence avec le nom, le prénom, la date de naissance. Cela passe par l’adresse postale, l’e-mail, le numéro national, l’adresse IP, les données de navigateur (cookies). Cela va même jusqu’au données médicales, génétiques, ethniques, d’opinion politique ou religieuse. Ces dernières sont même considérées à juste titre comme des données « sensibles ».
Le RGPD expliqué en 5 minutes
Cette petite vidéo me paraît claire et concise. Elle fait plusieurs fois référence à la CNIL, l’équivalent Belge est la Commission de la Protection de la Vie Privée.
Les grands principes
Collecte de données
- L’utilisateur doit donner son autorisation explicite. Fini les cases « j’accepte… » pré-cochées !
- Celui qui collecte les données doit indiquer quelles données sont collectées, à quelle fin et combien de temps !
Enregistrement des données
- Il faut garantir la protection des données enregistrées et de la vie privée
- L’utilisateur a un droit de regard, de modification, de transfert ou de suppression de ses données
Surveillance des données
- Les grandes entreprises (+ de 250 personnes) doivent désigner un DPO (Data Protection Officer) qui doit superviser l’exécution correcte du RGPD.
- En Belgique, la Commission de la Protection de la Vie Privée est chargée de contrôler la conformité au règlement.
Transfert de données
- Si les données sont transférées hors de l’UE, il faut prouver que les organisations étrangères respectent elles aussi le RGPD.
Que faire sur mon site web ?
Vous l’aurez compris : le RGPD couvre bien plus que votre site web. Chaque entreprise est bien évidemment responsable de sa gestion des données mais Bzzz, en tant que partenaire en communication digitale, peut au moins vous aider à améliorer les aspects liés à votre site internet.
La majorité des sites web collecte des données personnelles à travers 3 fonctions : les cookies les formulaires et l’intégration des contenus venant des réseaux sociaux.
Il faut donc, dans des mentions légales ou des conditions générales d’utilisation, signaler aux gens que vous récoltez des informations, ce que vous en faites et combien de temps vous les gardez.
Les Cookies
Un cookie est un petit fichier qu’un site Web installe sur votre ordinateur ou votre smartphone. Il est conçu pour mémoriser des informations sur votre visiteur : la langue qu’il utilise, les infos entrées dans les champs de formulaire (nom, adresse, numéro de carte de crédit (!)…). De cette façon, comme il les connait déjà, cela évite d’avoir à les renseigner à nouveau.
Votre site en utilise très certainement (en particulier si il est construit avec WordPress) et vous devez donc en informer les internautes.
Pour exemple, et si vous en avez le courage, je vous invite à lire les mentions légales de ce site.
Les formulaires
Ils ont la particularité que l’internaute les remplis de son plein gré mais vous devez tout de même indiquer la raison et la durée de conservation des données pour chaque formulaire, en tous cas s’ils ont des finalités et durées différentes. N’oubliez de mentionner que vous conservez l’adresse IP, car c’est très souvent le cas (dans les commentaires WordPress par exemple).
Vous n’êtes pas obligé d’afficher les informations au niveau du formulaire, mais un lien vers les mentions légales sur la section traitant du formulaire facilite l’accès aux explications.
Pour un formulaire de contact simple, qui vous envoie juste un mail sans conserver les données dans une liste, vous pouvez annoncer une suppression directe. Si vous souhaitez conserver le contact dans une base de données, Il faut indiquer dans vos mentions légales combien de temps seront conservées les données. 6 mois seront largement suffisants, avec toujours un maximum d’une année.
Pour les newsletters, la durée de conservation sera jusqu’à la demande de suppression de l’internaute.
Les intégrations de réseaux sociaux
Si, dans votre site, s’affichent des tweets, une fenêtre affichant un extrait de votre page Facebook ou encore des videos Youtube, méfiez-vous un peu également. La raison de la gratuité de ces intégrations est que ces grands réseaux sociaux en profitent pour récoltez quelques infos sur votre visiteur ! Et là, difficile de dire à vos internautes ce qu’ils en font…
En principe, ils sont soumis aux même lois que nous et doivent aussi montrer patte blanche à ce niveau. Peut-être faut-il, dans vos mentions légales, renvoyer à celles de ces différents réseaux ? La question reste en suspend…
En conclusion
Si vous n’avez encore rien fait dans ce sens, il est vraiment temps de s’y mettre pour éviter de mauvaises surprises !
Cet article, je l’espère, vous aura aidé à y voir plus clair mais j’attire votre attention que ce ne sont que quelques infos générales. je vous encourage à consulter un avocat ou un juriste spécialisé pour avoir un avis adapté à votre entreprise.
N’hésitez pas à nous contacter pour en discuter et recevoir un devis adapté à votre cas en particulier.
Liens Utiles
- Le texte de loi officiel (bonne chance !) : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016L0680&from=FR
- https://www.digitalwallonia.be/gdpr/
- https://www.privacycommission.be/fr/reglement-general-sur-la-protection-des-donnees-0
- [update 03/05/2018] https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_fr