Agence Web, qu’est-ce que le RGPD ?

Le RGPD c’est quoi ? Quatre lettres qui font tant couler d’encre et tant parler d’elles ! RGPD est l’acronyme de Règlement Général sur la Protection des Données, mais on n’est pas plus avancé. Pourtant, certains d’entre nous vont devoir se pencher sur la question. Pourquoi un nouveau règlement ? Quand va-t-il entrer en vigueur ? Qu’est-ce qui va changer ? Autant de questions qui vont trouver une réponse dans cet article.

Qu’est-ce qu’une Donnée Personnelle ?

Avant de parler du RGPD, cela ne nous fera pas de mal de faire un rappel sur la définition des Données Personnelles : une donnée personnelle est un moyen d’identifier un individu selon des critères bien précis. Cela englobe toutes les informations relatives à un ou plusieurs éléments qui lui sont propres, de manière directe ou indirecte. En clair : une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un numéro de carte bancaire, l’utilisation des cookies, un numéro client, un nom et un prénom, etc…

Le RGPD en quelques lignes…

Avec l’arrivée d’internet, il y a quelques années, le Big Data a progressivement envahi le marché. L’analyse et la collecte de données personnelles sont devenues l’objectif numéro 1 à tous les niveaux : les « petits sites » comme les sites d’autorité, sans oublier les appareils connectés et les smartphones, récoltent quotidiennement nos données. Celles-ci sont alors traitées et classées pour ensuite être utilisées, ce n’est pas nouveau…

RGPD Agence Web

Toutefois, au fil du temps, de plus en plus d’entreprises ont tiré profit de cette récolte de données, les GAFA par exemple (Google, Apple, Facebook, Amazon) – il existe un vrai enjeu spéculatif et économique – entrainant ainsi de la méfiance de la part des consommateurs. La CNIL (Commission Nationale de l’Informatique et des Libertés) est la gardienne de nos libertés et droits sur internet depuis la fin des années 70, cependant, comme son nom l’indique, il s’agit bien d’une commission NATIONALE. Près de 40 ans après, les pays européens décident de s’allier afin de colmater les brèches du système et le RGDP voit le jour. Un moyen de mettre des bâtons dans les roues des géants américains ? Le nouveau Règlement Général sur la Protection des Données Personnelles est un texte de loi qui a été voté par l’Union Européenne en 2016 et qui entrera en vigueur dès le 25 mai prochain (25/05/2018). Ça n’a pas l’air, mais c’est demain !

Le RGPD : les grandes lignes

Comme toutes règlementations, le texte adopté est très précis, complet et parfois complexe. D’ailleurs si vous désirez en savoir plus sur les 99 articles contenus dans ce règlement, nous vous invitons à le lire sur le site de la CNIL. Si par contre, vous êtes attendu pour l’apéritif ;-), nous vous invitons à lire ce qui suit… nous avons déchiffré les grandes lignes de ce texte pour découvrir ses principaux objectifs :

  1. Renforcer la gestion du consentement et optimiser la transparence : l’utilisateur devra être informé clairement de l’usage de ses données.
  2. Faciliter et améliorer l’accès aux données personnelles : jusqu’à présent, c’était possible, mais le processus était plutôt opaque…
  3. Intégrer la gestion de la portabilité des données : c’est une nouveauté, l’utilisateur pourra récupérer l’ensemble de ses données pour éventuellement les transmettre à un tiers… une sorte d’import-export.
  4. Faciliter le droit à l’oubli et à la renonciation : cela devrait permettre à l’utilisateur d’obtenir facilement l’effacement de ses données personnelles.
  5. Obligation d’informer les personnes concernées lors du « vol » de ses données : ce n’est pas courant, pourtant, le vol de données existe. La preuve avec le scandale Yahoo! qui a omis pendant plusieurs mois d’informer ses utilisateurs que leurs données avaient été dérobées… ou bien, plus récemment, celui de Uber.
  6. Renforcer les moyens légaux concernant le non-respect des lois liées à l’informatique : amende pouvant aller jusqu’à 20M d’euros et possibilité de porter plainte si le RGPD n’est pas respecté.
  7. Offrir la possibilité d’obtenir un document listant l’utilisation des données
  8. Obligation d’affecter une personne responsable – le DPO ou bien encore Data Protection Officer : les responsables des traitements devront désigner une personne en charge des données.
  9. Instaurer un « guichet unique » – le One-Stop-Shop : ce guichet sera différent selon le pays, pour la France, ce sera la CNIL.
  10. Protéger les mineurs (- de 16 ans) : le consentement et les informations devront être faciles à comprendre par des enfants.
  11. Protéger les données par défaut, dès la conception – Privacy by Design : l’entreprise devra protéger les données récoltées, par défaut, dès la conception de son produit ou de son offre.

 

Comment bien se préparer au nouveau RGPD ?

En fait, ce nouveau RGPD décharge les autorités, et notamment la CNIL mais vise à augmenter la responsabilité des personnes/entreprises qui collectent des données. Les contrôles se durciront certainement, mais pour ne pas avoir de soucis avec la loi, il vaut mieux suivre les recommandations… En d’autres termes, vous devrez mettre en place de nouveaux outils afin d’être dans la conformité, tels que :

  • Tenir un registre des traitements
  • Notifier les failles de sécurité
  • Adhérer à des codes de conduites
  • Nommer un DPO (Data Protection Officer ou Délégué à la Protection des Données) si l’entreprise est une entreprise du secteur public ou si le traitement de données est à grande échelle ou à caractère sensible
  • Conduire une étude d’impact sur la vie privée (EIVP) pour tous les traitements à risque

Agences Web, quel impact pour nous ?

Les données personnelles des clients ont de la valeur et doivent être protégées ! Bien que la collecte de données peut s’effectuer par des canaux traditionnels tels que via des formulaires papier, la souscription à un programme de fidélité en magasin, etc… L’autre voie plus commune est la collecte de données via des formulaires en ligne, directement depuis nos sites internet, ou bien via des outils comme les ERP (Progiciel de Gestion Intégré) ou CRM (Logiciel de Gestion de la Relation Client).

Nos obligations

La gestion du consentement

Concept théoriquement déjà couvert par la CNIL mais rarement mis en pratique ou bien détourné. Le visiteur, client de l’agence web doit être d’accord pour que nous stockions des données le concernant et pour que nous les utilisions. Il faut un consentement clair et explicite, pas de case précochée ou de tournure de phrase alambiquée ;) Le choix doit être d’autoriser l’utilisation des données personnelles en cochant la case et non de le refuser. De plus l’utilisation des données doit parfaitement correspondre à ce qui a été indiqué. Si la personne a accepté de s’inscrire à la newsletter pour recevoir vos derniers articles, ce n’est pas pour recevoir de la pub sur vos offres ou vos promotions de Noël. Détail qui a aussi son importance : l’effort fourni lorsqu’on donne son consentement doit être équivalent à l’effort à fournir pour y renoncer. Je m’explique. S’il faut une simple case à cocher pour recevoir nos dernières offres sur les packs de maintenance WordPress, il faut que la procédure pour s’en désinscrire soit aussi simple et pas avoir à envoyer une lettre recommandée ou autre torture de pigeon voyageur.

L’accès aux données

Théoriquement aussi déjà couvert par la CNIL. L’individu, le visiteur, le client, doit pouvoir avoir un accès facilité à ses données. Par exemple, votre agence web va devoir mettre à disposition du client, un espace Mon compte. Il pourra ainsi consulter et mettre à jour ses informations personnelles (ce qui peut permettre de mieux qualifier sa base client et corriger des données erronées), mais aussi, il pourra consulter tous les devis ou factures le concernant.

La portabilité des données

Pouvoir avoir une fonction, un mécanisme ou une procédure pour permettre à l’individu d’avoir toutes les données le concernant, afin de pouvoir les importer dans un autre système. Dans le cas d’une agence web, par exemple, notre agence WordPress WeAre[WP], nous proposons un service de support à nos clients. Nous répondons à leurs questions et consolidons cela dans une sorte de wiki privé visible que par le client concerné. Il peut être envisagé que, comme ces données concernent mon client, celui-ci pourrait demander un export de cette base, afin de la réimporter dans un autre outil.

Le droit à l’oubli et à la suppression des données

C’est le principe de droit à l’effacement des données personnelles. Un client peut par exemple, demander à faire supprimer de nos références, une de nos créations. Ou bien, autre exemple, si cela concerne un salarié de ce client, un commercial ou chef de projet avec qui nous avons été en contact sur un contrat, à supprimer toutes informations concernant cette personne, son nom, son prénom, son téléphone ou bien encore sa date de naissance … de notre CRM (oui, on aime bien fêter les anniversaires. Mais ça, c’était avant le RGPD).

L’obligation d’information en cas de fuite

Comme indiqué plus haut, avec les cas Yahoo! et Uber, c’est le fait d’informer son client si notre fichier client a été volé ou piraté. Par exemple, si un ancien commercial de notre agence part avec une copie de la base client sur une clef USB, je dois en informer tous nos clients.

La définition d’un responsable DPO

Pour les moyennes entreprises ou plus grosses, c’est l’obligation d’identifier dans la société, un responsable et interlocuteur pour ces questions de données (anciennement responsable de traitement pour la CNIL). Il doit tenir ce qu’on appelle le registre des traitements. C’est un document qui doit lister tout ce qui est fait avec les données personnelles, l’endroit où elles sont stockées, qui peut y avoir accès et leurs utilisations. Cela concerne aussi bien les clients que les prospects, les utilisateurs, nos visiteurs …

Le développement en mode « Privacy by design »

Nous avons obligation d’intégrer et de respecter les principes de protections dès la conception des sites internet. C’est ce qu’on appelle le Privacy by design. De même pour la protection des données par défaut, le Privacy by default. En gros, plus question de céder aux « caprices » d’un client sur l’inscription obligatoire à une newsletter ou le chargement dans un CRM, suite au téléchargement d’une plaquette, de l’internaute comme prospect, sans son consentement. Nous avons aussi une obligation de chiffrer les données personnelles avec une mise en place d’un contrôle d’accès sur qui consulte, importe ou exporte ces datas.

Les risques

Comme indiqué au-dessus, une amende peut aller jusqu’à 20 millions d’euros. Et pour les très grosses entreprise, d’envergure mondiale, l’amende peut aller jusqu’à 4% du chiffre d’affaires mondial ! Bon, je vous rassure, nous ne sommes pas encore concernés ;) Des associations de consommateurs ou groupement peuvent se constituer pour pouvoir porter plainte par rapport à des non-respect du RGPD. Ce qui n’a rien à voir avec les moyens très limités de la CNIL en matière de controle et de sanction.

Le marketing digital impacté !

Pas de collecte de données sans consentement préalable. Ce n’est pas nouveau, mais maintenant plus le choix. Pour rappel, un nom prénom, une adresse email, une adresse postale … sont des données personnelles. Lorsqu’on travaille sur un fichier existant, il faut se poser la question de comment ont été récoltés les consentements. De plus, s’il y a eu un consentement, est-il en correspondance avec l’utilisation que je vais faire de ces données ? Il va surement falloir prévoir une campagne e-mail de re-autorisation pour les contacts de vos fichiers actuels. Il est à noter que le consentement concerne aussi l’utilisation de données dans contexte marketing traditionnel, comme le démarchage téléphonique, la réception de courrier papier, la réception de SMS … Il est donc important, si on souhaite exploiter ces données dans un contexte large, de prévoir un formulaire très précis de ce à quoi elles vont servir et de proposer une interface pour permettre à la personne concernée de modifier ou supprimer ces informations sans opération complexe.

Et vis-à-vis de nos clients, quel est notre rôle ?

Nous avons un devoir de conseil, il est donc important de les sensibiliser à cette nouvelle réglementation et de les alerter sur les risques encourus. Ensuite, nous devons, dans nos développements ou créations de sites internet, veiller à ne pas mettre en place des pratiques qui peuvent nuire à responsabilité de nos clients. Voici donc un rappel des différentes étapes de mise en conformité que nous devons leur indiquer :

  1. La désignation d’un responsable de traitement (DPO)
  2. Le recensement des traitements de données
  3. L’identification des actions à mener afin de respecter la loi
  4. L’analyse de l’impact pour les traitements de données sensibles (à haut risque)
  5. L’établissement de procédures internes afin d’assurer un haut niveau de sécurité
  6. La réalisation de documents visant à documenter et à prouver la bonne protection des données

En résumé…

Il n’y a pas que les métiers du web qui sont concernés, tout le monde est plus ou moins impliqué par ce nouveau règlement : toutes les administrations ou entreprises récoltant des données personnelles, que ce soit celles de leurs administrés, de leurs clients, de leurs fournisseurs, de leurs prospects et même celles de leurs salariés !

Pour mieux comprendre, quelques exemples concrets :

  • Je suis blogueur et je récolte des emails pour envoyer mes newsletters, suis-je concerné par le RGPD ? OUI
  • Je suis freelance et je crée des sites pour mes clients, suis-je concerné par le RGPD ? OUI
  • Nous sommes une agence web qui crée des sites web, sommes-nous concernés par le RGPD ? OUI
  • Mon entreprise a des dizaines de salariés, le service des ressources humaines est-il concerné par le RGPD ? OUI
  • … OUI

Les principales sources de cet article proviennent du site de la CNIL