RGPD : quelles obligations pour les petites entreprises ?

Vous avez sûrement entendu parler dernièrement de RGPD ou GDPR, et vous savez peut-être qu'il s'agit de nouvelles réglementations liées à la protection des données personnelles.

En tant que petite entreprise ou indépendant, vous avez déjà un site internet ou vous prévoyez d'en avoir un tout neuf (alors testez notre solution gratuitement ! 😊) ?

Vous ne savez pas trop ce que cette législation va vous imposer ?

Cet article devrait vous intéresser.

Cet article est la synthèse de ma compréhension du texte de loi officiel, et de nombreux articles que j'ai pu lire sur le sujet. Il ne doit pas être interprété comme un avis juridique professionnel. Si vous le pensez nécessaire, rapprochez vous d'un avocat ou d'un juriste.

RGPD ou GDPR ?

Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR) a été définitivement adopté par le Parlement européen le 14 avril 2016, pour une entrée en vigueur le 25 mai 2018.

Son objectif est de remplacer la directive existante datant de 1995 en harmonisant les législations nationales, en donnant davantage de contrôle aux individus, et principalement, en régulant la manière dont les entreprises peuvent collecter, utiliser, partager et conserver des données personnelles.

Le RGPD affecte non seulement toutes les entreprises et organisations de l'Union Européenne, mais également celles ayant des clients ou des interlocuteurs résidents de l'UE. Il concerne également les sous-traitants traitant des données personnelles pour le compte d'autres organismes.

En cas de violation du règlement, des amendes administratives pouvant s'élever jusqu'à 20 millions d'euros ou 4% du CA annuel sont prévues (le montant le plus élevé étant retenu).

Alors, qu'est-ce qu'une "donnée privée" ?

Les "données privées" ou "données à caractère personnel" doivent être prises au sens large. Elles rassemblent toute information se rapportant à une personne physique identifiée ou identifiable. Ainsi, un nom ou une adresse e-mail sont des données à caractère privée, et il en est de même pour une adresse IP ou une localisation géographique, si celles-ci permettent d'identifier la personne physique qui y est rattachée.

Quelles sont les principales dispositions du RGPD ?

1. Obligation de transparence et d'utilisation appropriée des données personnelles

Il est nécessaire pour toute entreprise amenée à traiter des données personnelles, de présenter les informations suivantes (par exemple sur une page de votre site internet "politique de confidentialité" facilement accessible) :

• 👤 QUI : Indiquer l'identité et les coordonnées du responsable du traitement.
• ⏰ QUAND : Détailler quand les données privées sont collectées, et combien de temps ces données sont conservées (obligation de ne les conserver que pour la durée nécessaire à leur traitement).
• 📇 QUOI : Présenter de façon concise, compréhensible et aisément accessible, en des termes clairs et simples les données à caractère personnel collectées. Minimiser la quantité de ces données récoltées au strict nécessaire (par exemple, il n'est pas nécessaire d'avoir le prénom pour envoyer une newsletter).
• ☝️ POURQUOI : Présenter la (les) finalité(s) de la collecte de ces données, et se limiter à celle(s)-ci (ne pas utiliser les données pour d'autres raisons que celles pour lesquelles elles ont été collectées). Indiquer également si la collecte de ces données a un caractère réglementaire ou contractuel, et si elle conditionne la conclusion d'un contrat. Informer également des conséquences éventuelles de la non-fourniture de ces données.
• 🔒 COMMENT : Décrire la manière dont on garantit la sécurité, l'intégrité et la confidentialité des données privées à l'aide des mesures techniques ou organisationnelles appropriées (certificat SSL, données cryptées, personnel formé, etc.).
• 🔀 AVEC QUI : Si les données sont partagées avec des sociétés tierces, décrire précisément quelles données, quelles sociétés, et dans quel but.

2. Droit d'accès et autres

En complément des informations indiquées au point précédent, il est obligatoire d'informer les personnes de leur droits suivants :

• ✋ OPPOSITION : la possibilité, à tout moment, de revenir sur sa décision et de retirer son consentement concernant la collecte et le traitement de ses données personnelles.
• 🕵️ ACCÈS : le droit d'obtenir la confirmation que des données privées les concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, permettre l'accès à ces données (y compris leur durée de conservation restante).
• 📦 PORTABILITÉ : la possibilité de demander l'obtention d'une copie des données personnelles, sous un format électronique structuré, dans le but de faciliter le transfert vers un autre fournisseur.
• 🔄 RECTIFICATION : le droit de rectifier ou de compléter ses données privées. Toutes les mesures raisonnables doivent être prises pour que les données inexactes soient effacées ou rectifiées sans tarder (devoir d'exactitude).
• 🗑️ SUPPRESSION : la possibilité de demander la suppression de toutes les données privées concernant la personne qui en ferait la demande (droit à l'oubli). Sous certaines conditions, la personne physique peut également demander la limitation du traitement sans que ses données ne soient supprimées.
• ⚠️ RÉCLAMATION : le droit d'introduire une réclamation auprès d'une autorité de contrôle.

3. Obtenir l'autorisation avant toute collecte de donnée personnelle

Le règlement indique que le consentement des personnes est obligatoire avant toute collecte de donnée, sauf si ces données sont nécessaires à l'exécution d'un contrat.

Il précise que ce consentement n'est valide que s'il est donné par un acte libre, positif, clair, spécifique et informé. Le consentement passif n'est donc pas autorisé (silence, case pré-cochée ou autre) : il convient alors d'adapter son site internet pour s'assurer qu'aucune donnée privée ne soit collectée avant d'avoir obtenu le consentement explicite du visiteur.

C'est aussi le cas des traceurs ("cookies") placées sur la machine du visiteur par des outils de tracking statistiques comme Google Analytics ou par des fonctionnalités intégrées de plateforme tierces (Youtube, Facebook ou autre réseaux sociaux). Ces traceurs sont des moyens pour ces entreprises de pister les habitudes de consultation des internautes en vue de profilage marketing.

Il est désormais nécessaire d'obtenir le consentement des internautes avant de pouvoir activer ces fonctionnalités sur un site internet.

Si vous avez créé votre site avec Woksite, alors tout va bien : votre site internet est conforme ! Sinon, vous retrouverez toutes les informations pour mettre votre site internet en conformité sur cette page de la CNIL.

Enfin, il est nécessaire de pouvoir être en mesure de prouver qu'une personne a donné son consentement, par exemple en enregistrant l'adresse IP, la date et l'heure, et si nécessaire la version de la politique de confidentialité applicable au moment du consentement, ou la finalité pour laquelle le consentement a été donné.

4. Tenir un registre des données privées collectées

Le registre est un document qui permet d'avoir une vision d'ensemble sur les données à caractère personnel qui sont collectées (par exemple : gestion de la paye, gestion des badges et des accès, statistiques de vente, gestion des prospects, ...).

Il doit contenir une section pour chaque activité de collecte ou de traitement, en précisant :

• la finalité (par exemple : e-mailing)
• les catégories de personnes concernées (par exemple : clients et prospects)
• la liste des données utilisées (par exemple : nom, prénom, adresse e-mail, etc.)
• qui a accès aux données (par exemple : service informatique, prestataire d'emailing, ...)
• la durée de conservation
• les mesures de sécurité que vous prenez pour garantir la confidentialité de ces données

Ce registre constitue souvent la première étape d'une entreprise en vue de sa mise en conformité avec le RGPD. Pour vous aider, vous pouvez utiliser le document mis à disposition par la CNIL.

Ce registre devra être mis à jour au fil des évolutions de votre organisation quant à la collecte et au traitement des données privées.

Il existe une dérogation à la tenue de ce registre pour les entreprises de moins de 250 employées, pour qui la collecte de données est occasionnelle et ne concerne pas des données sensible (ou susceptible de comporter un risque pour les droits et des libertés des personnes concernées).

5. Et pour certaines entreprises

Les entreprises de grande importance, ou qui manipulent des données personnelles sensibles ou à grande échelle sont également soumises à d'autres obligations, notamment :

• Désigner un Délégué à la Protection des Données,
• Notifier les failles de sécurité aux autorités et personnes concernées,
• ou encore Mener des analyses d'impact sur la vie privée.

Il existe également des conditions pour encadrer le transfert de données à caractère personnel en dehors de l'Union Européenne.

Votre site Woksite est conforme au RGPD

Woksite a été conçu spécialement pour les indépendants et les petites entreprises, qui ont besoin d'un site web pour leur activité, mais n'ont pas forcément les moyens de le faire réaliser par un professionnel, ni le temps ou les connaissances techniques pour en créer un par eux-mêmes.

J'ai créé Woksite en souhaitant protéger au maximum la vie privée de ses utilisateurs et de ses clients. Vous trouverez tous mes engagements sur la page de Politique de Confidentialité.

Woksite s'engage à ne pas revendre ni louer vos données personnelles.

Sachez aussi que tous les partenaires de Woksite sont des sociétés françaises. Woksite ne transfère pas vos données privées en dehors du territoire.

Avec Woksite, vous êtes certain que votre site respecte le RGPD.

La solution de statistiques de Woksite est sans cookie, elle n'enregistre pas l'adresse IP des visiteurs, et ne conserve pas les informations des visiteurs au-delà de 30 jours (je vous la présenterai dans un prochain article de ce blog).

Le bandeau de consentement s'affiche uniquement lorsque vous décidez d'activer Google Analytics sur votre site, d'intégrer une carte Google, une vidéo Youtube, ou une autre plateforme tierce sur votre site. Dans ce cas, le contenu est bloqué jusqu'à ce que le visiteur donne son accord.

Convaincu(e) ? Venez tester Woksite ! C'est gratuit et sans engagement ni CB.

En savoir plus

Pour en connaître davantage sur cette nouvelle législation, vous pouvez :

• Télécharger le Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises par la CNIL et Bpifrance
• Lire l'excellent dossier complet "Le RGPD expliqué ligne par ligne" sur Next INpact

Si les données personnelles sont au cœur de votre modèle économique, consultez également la page RGPD : points de vigilance.

J'espère que cet article vous aura été utile, et je suis à votre disposition pour vous aider à créer votre site internet avec Woksite !

Nicolas