Qu’est-ce ?
RGPD veut dire Règlement Général sur la Protection des Données.
En anglais idem, mais ça devient GDPR.
C’est un règlement qui protège les données personnelles des individus. Et par donnée personnelle, il faut entendre au sens large « tout ce qui permet d’identifier une personne » : nom, prénom, email, mais aussi date de naissance, photo, n° de sécurité sociale, dossier médical, etc.
C’est entré en vigueur fin mai 2018, à l’échelle de l’Europe.
A quoi ça sert ?
C’est destiné à prévenir tout abus, sur Internet mais aussi ailleurs, en matière d’exploitation des données personnelles.
Concrètement, en France, un arsenal existait déjà en la matière, chapeauté par la CNIL . Le RGPD vient renforcer cet arsenal et mettre tout le monde d’accord au niveau de l’Union Européenne.
Comment ça se passe
Du point de vue des utilisateurs
En tant qu’utilisateur, chaque fois qu’une information personnelle vous concernant est recueillie, vous aurez le droit de savoir pourquoi.
Vous aurez également le droit de savoir ce qu’une entreprise / un site sait de vous, et pourrez exiger l’effacement de ces données, ou des rectifications.
Plus concrètement, vous allez voir surgir en surfant sur le web :
- des popups vous informant que « Ce site utilise des cookies pour mieux vous connaître […] »
- et des croix à cocher « J’ai lu et j’accepte votre politique de confidentialité […] (avec un lien) » chaque fois que vous créerez un compte (boutique en ligne, réseau social, forum etc.) ou fournirez la moindre information dans un formulaire.
Entendons-nous bien : un internaute qui n’accepte pas la politique de confidentialité d’une entreprise / d’un site, ne pourra pas utiliser ses services.
Du point de vue des entreprises
Le RGPD concerne toute entreprise qui recueille la moindre donnée personnelle sur un citoyen de l’UE.
Pour faire court : en tant qu’entreprise, vous devez assurer à vos clients / utilisateurs les droits expliqués + haut !
Plus précisément :
La mise en place du RGPD ne se limite pas à une mise-à-jour anodine de votre site Internet. Chaque entreprise est censée désigner un « Monsieur DP », responsable des données personnelles (les petites sont dispensées) qui va superviser la mise en place puis le respect du RGPD à tous les niveaux au sein de l’entreprise.
Votre site Internet, à moins qu’il ne propose aucun mécanisme de création de compte, ni aucun formulaire de contact (ça existe ??), devra être modifié :
- Une page doit expliquer la politique de confidentialité du site. Elle peut être intégrée aux mentions légales, ou sur une page à part. ( Exemple de page )
- Chaque fois qu’un internaute renseigne un formulaire de création de compte, ou de contact, le site devra recueillir son consentement concernant cette politique de confidentialité, généralement en proposant une case « J’ai lu & j’accepte votre politique de confidentialité [lien] ». Cette case ne peut être cochée à l’avance.
- Il peut être souhaitable d’automatiser, via l’installation d’une extension logicielle, la possibilité pour les clients de télécharger leurs données personnelles, ou encore de supprimer leur compte, notamment sur les boutiques en ligne.
RGPD et httpS
Le passage du http au https était déjà une tendance massive depuis quelques temps. Le RGPD vient donner l’argument final s’il était besoin !
En effet la sécurisation draconienne des DP que vous confient vos utilisateurs concerne en premier lieu leur transmission : passer votre site en https permet précisément de garantir que les infos transmises entre vos utilisateurs et vous ne seront pas interceptables.
En savoir plus sur les certificats SSL et le passage au https : lire l’article « Google adoooore le https »
Conclusion
Dans les batailles du quotidien de ce début du 21ème siècle, contre les publicités en ligne trop intrusives, contre le démarchage téléphonique abusif, ou les graves dérives politiques possibles, Le RGPD va dans le bon sens.
Le flou règne par endroits sur son application précise (ex : un client vous demande la suppression de ses données, les factures à son nom doivent-elles devenir des factures anonymes ?)
L’avenir dira si ce règlement permet de limiter les dérives en matière de données personnelles.
Sur le court terme, il est important que chaque entreprise prenne le temps de se renseigner et de faire le nécessaire, sur mesure, en fonction de se façon de gérer les données clients qu’elle manipule.
L’esprit de la loi est d’empêcher les dérives des « géants » en matière de données personnelles (ex au hasard : Google, Apple, Facebook, Amazon, Microsoft) plutôt que d’embêter les « petits poissons » , pour qui la mise en place du RGPD sera plus simple. Pour autant, le RGPD concerne toute entité manipulant des DP, sans distinction d’envergure, et il est parti pour durer.
L’application du RGPD sera vraisemblablement surveillée de façon moins draconienne chez les petites entreprises que chez les grandes, mais si aucune démarche n’a été mise en place dans une entreprise, aucune compréhension ne sera de mise !
Plus d’information concernant le RGPD sur le site de la CNIL .
Un coup de main ?
Répétons-le : la mise en conformité RGPD ne se cantonne pas exclusivement au site Internet de votre entreprise. Celui-ci en est cependant le versant le plus visible : en quelques minutes un client (ou un concurrent) peut voir si le nécessaire est en place.
Si vous souhaitez concernant votre site un conseil ou un devis gratuit, n’hésitez pas à nous contacter.