1. RGPD
Règlement général sur la protection des données
Le règlement no 2016/679, dit règlement général sur la
protection des données (RGPD, ou encore GDPR, de l'anglais
General Data Protection Regulation), est un règlement de
l'Union européenne qui constitue le texte de référence en
matière de protection des données à caractère personnel.
Il renforce et unifie la protection des données pour les
individus au sein de l'Union européenne.
Ce règlement a été définitivement adopté par le Parlement
européen le 14 avril 2016. Ses dispositions sont directement
applicables dans l'ensemble des 28 États membres de
l'Union européenne à compter du 25 mai 2018.
Les principaux objectifs du RGPD sont d'accroître à la fois la
protection des personnes concernées par un traitement de
leurs données à caractère personnel et la responsabilisation
des acteurs de ce traitement.
2. Glossaire
Donnée personnelle
Une donnée permettant d’identifier directement ou indirectement une personne physique
Directe -> Nom Prénom, mail (quand il y a le nom), photo
Indirecte -> n° de sécurité sociale, n°CB, adresse IP, plaque immatriculation véhicule…
Donnée sensible
La santé, orientation sexuelle, opinions politiques, religieuses, pays d’origine, etc
Traitement
Ce qui est visé par la réglementation, toute opération sur la donnée : stockage, organisation,
collecte, revente, envoi de newsletter, statistiques de consultations.
Qui est soumis aux obligations du RGDP ?
Organismes privée ou publique à des fins professionnelles.
Les sanctions
Sanction administrative : jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise
RGPD
Règlement général sur la protection des données
3. Qui est responsable ?
Responsable du traitement : il détermine les finalités, les objectifs du traitement. C’est le
responsable de la com, le directeur de l’établissement…
Sous-traitant : Celui qui traite la donnée pour le compte du responsable. Hébergeur,
webmaster, agence de com, fournisseur de solutions emailing…. et leurs sous-traitants.
Ils engagent leur responsabilité conjointement.
RGPD
Règlement général sur la protection des données
4. La Cnil
La Commission nationale de l'informatique et des libertés de France est une autorité
administrative. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et
qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux
libertés individuelles ou publiques.
Elle donne des conseils aux internautes sur l’usage des réseaux sociaux, la maîtrise de ses données,
comment réagir en cas de problèmes ….
https://www.cnil.fr/fr/10-conseils-pour-rester-net-sur-le-web
https://www.cnil.fr/fr/configurer
Il n’y a plus de déclarations à la Cnil quand on traite des données personnelles.
La Cnil peut faire des contrôles auprès des personnes ou organismes traitant des données
personnelles. Les personnes controlées devront être en capacité de démontrer qu’ils ont respecté les
obligations.
En cas de violations de données privées une déclaration doit être faite à la Cnil, une violation cela
peut-être le vol de son ordinateur ou être victime d’un piratage. Il faudra démontrer les mesures mises
en place pour limiter la violation des données personnelles. Il faudra aussi informer la personne
concernée par le vol de ces données.
RGPD
Règlement général sur la protection des données
5. Que dit la loi ?
La loi indique les traitements interdits, par principe le reste est autorisé.
Le traitement des données sensibles est interdit, sauf personnes autorisées comme le personnel
médical, dans certains cas les données sensibles peuvent être traités avec le consentement des
personnes.
Pour la prospection commerciale, envoyer de la pub par mail ne peut être fait qu’avec le consentement
des prospects. Sauf dans le cas d’échanges commerciaux contractuels passés pour des produits ou
services analogues.
Les grands principes :
• Collecter des données de façon loyale, licite.
• Les objectifs de la collecte de cette donnée doivent être définis clairement à la personne concernée.
• Ne collecter que les données nécessaires à cette finalité (pas besoin d’avoir des infos sensibles pour
envoyer une newsletter).
• Un traitement de données personnelles implique une durée limitée et doit être annoncée. Un fichier
de prospect peut être conservé 3 ans. Au bout de 3 ans on doit redemander le consentement des
personnes.
• Les données récoltées avec des cookies, adresses IP ne peuvent pas être conservés plus de 13
mois.
• Les données personnelles doivent être sécurisées, mettre en place les outils nécessaires pour
préserver la confidentialité (perte, piratage, revente).
RGPD
Règlement général sur la protection des données
6. Les personnes concernées
Le responsable de la données ou le sous-traitant doivent être en capacité de répondre aux
droits des personnes concernées.
Droit à l’information, pouvoir fournir à la personne concernée les données collectées.
Droit à l‘accès, à la rectification, droit d’opposition ou effacement des données.(notamment à la
prospection commerciale, comme se désinscrire d’une newsletter).
Droit de faire transférer ses données à un autre prestataire. (Exporter une mailing-list, pour
changer de service)
RGPD
Règlement général sur la protection des données
7. Les obligations
Privacy by design, le respect de la vie privée dès la conception. Le concept de “Privacy by
Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les
nouvelles applications technologiques et commerciales dès leur conception.
Privacy by default, principe de ne traiter que les données nécessaires à ce qu’on veut faire au
regard de la finalité des traitements. C’est un principe de minimisation.
Le registre de traitement, (obligatoire pour les organismes au delà de 250 salariés). Tableur dans
lequel il est précisé :
• les catégories de données : prospects, clients, salariés…
• les traitements
• nommer le délégué à la protection des DP. En droit européen, le Délégué à la protection des
données (abrégé DPD, ou DPO, pour Data Protection Officer) est la personne chargée de la
protection des données au sein d'une organisation.
RGPD
Règlement général sur la protection des données
8. Bandeau des cookies
Les internautes doivent être informés et donner leur consentement préalablement à l'insertion de traceurs. Ils
doivent disposer d'une possibilité de choisir de ne pas être tracés lorsqu'ils visitent un site ou utilisent une
application. Les éditeurs ont donc l'obligation de solliciter au préalable le consentement des utilisateurs. Ce
consentement est valable 13 mois maximum.
Exemple : l’utilisation de Google analytics sur son site, objets facebook…
Une grande partie des entreprises ne respectent pas à 100% la loi sur cette question.
Schématiquement, on exige 3 éléments :
Expliquer aux internautes la finalité du dépôt : à quoi sert le cookie ? Mesures d'audience, publicités ciblées... ?
Permettre aux internautes de s'opposer au dépôt : il est impossible pour les utilisateurs de "subir" et de ne pas
pouvoir refuser le traitement de données.
Obtenir l' "accord" des internautes : le consentement est présumé si l'utilisateur poursuit sa navigation.
Les sites web ne réalisent en général pleinement que la première situation. En clair, le "bandeau cookie" informe
seulement qu'un ou plusieurs cookies sont déposés, souvent de manière évasive. Et que l'on effectue ou pas une
action, le cookie s'inscrit sur le terminal, sans consentement préalable donc.
RGPD
Règlement général sur la protection des données
9. Dans wordpress
Plugin de consentement cookies, à personnaliser.
RGPD
Règlement général sur la protection des données
La page Politique de confidentialité créée automatiquement qui est à compléter en fonction
des options du site (Google analytics, newsletter, formulaire, commentaires, e-commerce….).
Dans Réglages/confidentialité.
Outils exporter les données, qui compile toutes les données conservées associées à un
utilisateur et permet de les télécharger et de les supprimer.
Cookies consent GDPR Cookie Consent GDPR Cookie Compliance