RGPD : protection des données de vos utilisateurs
La RGPD/GDPR - Tout ce que vous devez savoir sur les changements de la loi européenne qui impacte votre site ou application
Le RGPD/GDPR est la règlementation européenne visant à réguler l’utilisation des données personnelles collectées, en vue de protéger l’utilisateur final.
Elle concerne à la fois les responsables de traitement (propriétaires de sites internet/applications/base de données) ainsi que les prestataires qui les développent (comme nous). Elle est entrée en vigueur le 25 mai 2018 et les sanctions de non-conformité peuvent être très lourdes.
Principes
L’objectif est de redonner à l’utilisateur le contrôle sur ses données et ce qui en est fait, et d’éviter les dérives. En voici les principes majeurs :
- Le consentement explicite et positif – Pour chaque donnée privée l’utilisateur doit choisir ce qu’il autorise ou pas en terme d’utilisation
- Le droit au contrôle des données – L’utilisateur peut à tout moment vous demander de lui extraire, transférer ou effacer ses données
- Principe de minimisation des données – On ne doit demander à l’utilisateur de manière obligatoire que les données ayant un lien direct avec le fonctionnement du cœur de la plateforme qu’il utilise, le reste doit être facultatif voire disparaitre
- Interdiction du profilage – Les données ne doivent pas être utilisées pour effectuer des traitements automatisés affectant l’utilisateur de manière significative
- Création du DPO – Le Data Protection Officer est le responsable de la mise en application de la RGPD tout au long de la vie de la plateforme, il est obligatoire dans certains cas (données sensibles, organisme public ou volume de données traitées importants). Dans le cas où le DPO n'est pas nécessaire, un responsable de traitement des données doit tout de même être désigné.
Impact sur mon activité
Ces principes impactent de manière très concrète les plateformes qui collectent et utilisent les données de leurs utilisateurs. Il est notamment obligatoire de respecter les prérequis suivants :
Collecte des données
La loi encadre autant la collecte des données personnelles que leur utilisation. Aussi il faut appliquer le principe de minimisation des données et ne récolter de manière obligatoire auprès de l’utilisateur que les données importantes pour le bon fonctionnement de la plateforme.
Pour chaque donnée récoltée il faut donc se poser les questions suivantes :
- Pourquoi collecter cette donnée ?
- Est-il pertinent de la conserver ?
S’il n’y a pas de justification, la donnée est à supprimer.
Exemple : si vous vendez des vêtements, il est nécessaire au bon fonctionnement de votre site demander l’adresse postale de vos utilisateurs pour leur envoyer leurs commandes. Si vous gérez une application pour réviser le code de la route, ça ne l’est pas.
Consentement, preuve et durée
L’utilisation des données personnelles des utilisateurs ne peut se faire que dans le contexte de bon fonctionnement du site ou de l’application, toute autre utilisation (analyse, publicité…) devra systématiquement être soumise à la demande de son consentement.
Le consentement est à demander de manière explicite pour le traitement et la collecte de chaque donnée, y compris pour tous les services du site qui les collecteraient (Analytics, Twitter, Adsense, AddThis, Yoast, Pixel Facebook,…). Les scripts déjà en place ne devront fonctionner qu’une fois le consentement donné, et la preuve du consentement de l’utilisateur devra être stockée.
Le consentement doit être explicite et positif, il est donc interdit de pré-cocher des cases pour l’utilisateur ou d’utiliser des tournures de phrases compliquées en vue de le pousser à accepter.
Les cookies qui servent au bon fonctionnement de l’application ne doivent pas forcément être mentionnés. Les logs serveurs s’ils servent uniquement à faire de la recherche d’incidence ne sont pas concernés non plus.
Exemple : Si vous avez sur votre site un script qui collecte des cookies sur vos visiteurs afin de leur proposer de la publicité ciblée, vous devez le soumettre à leur consentement et ne déclencher le script qu’après validation.
Transparence et traçabilité
L’ensemble de la base de données devra être cartographiée. Pour chaque traitement de donnée, la finalité devra être clairement établie, et liée au consentement de l’utilisateur lorsque c’est nécessaire.
Chaque donnée devra également être liée à tous les services qui peuvent y avoir accès pour vérifier la finalité de leur utilisation et valider que l’utilisateur a bien donné son consentement. Si ce n’est pas le cas, il devra être demandé avant tout traitement.
Les utilisateurs doivent également avoir accès à l’ensemble des données collectées sur eux et pouvoir changer leur consentement lorsqu’ils le souhaitent. Les mentions obligatoires de toute plateforme (mentions légales, CGU, CGV) doivent être mises à jour pour intégrer les mentions obligatoires de la RGPD.
Chaque formulaire devra également disposer d’un lien d’accès pour que l’utilisateur ait le détail de la finalité de l’utilisation des informations qu’il accepte de remplir, ainsi que le contrôle sur leur utilisation.
Les actions à entreprendre pour se mettre en conformité
Les responsables de sites internet et applications ont l’obligation de se mettre en conformité avec cette législation. La procédure de mise en conformité se se faire conjointement avec l’équipe de l’agence. Les actions à mener sont les suivantes :
Cartographie des données
Il est obligatoire de créer un registre de traitement des données. Pour chaque traitement de donnée il faut donc recenser :
- Les personnes ayant accès et le responsable de traitement
- La catégorie de donnée et son niveau de sensibilité
- La finalité de la collecte ou du traitement de cette donnée
- Le lieu et pays où la donnée est hébergée
- La durée de conservation des catégories de données
- Les mesures de sécurité en œuvre pour la protéger
Une interface spécifique développée à cet effet par l’agence est déployée afin de faciliter la gestion de la cartographie.
Nous mettons en place un outil en ligne pour effectuer la cartographie de votre site internet ou application mobile. Il permet de tout centraliser sur une instance sécurisée et de pouvoir accéder facilement aux justificatifs en cas de contrôle. Voici un exemple d'application de l'outil :
Gestion des formulaires :
Page de la cartographie pour un formulaire :
Durée de conservation des données personnelles
Pour chaque donnée cartographiée, vous devrez déterminer la durée de conservation. Celle ci doit forcément être limitée, de manière générale vous ne pouvez conserver des données que le temps d'accomplir l'objectif qui a été annoncé à l'utilisateur lors de leur collecte. Au moment de renseigner la donnée dans la cartographie de votre plateforme, il faut donc nécessairement associer à chacune une date d'effacement qui devra être respectée.
À l'exception des données qui comportent un intérêt spécifique (historique, judiciaire, statistique) et qui doivent être archivées selon des procédés définis, aucune donnée ne doit être conservée sans raison. Par exemple lors d'un paiement, les données de la carte ne doivent être conservées que le temps du paiement.
De manière générale, les données personnelles de tout utilisateur inactif pendant 3 ans doivent être supprimées.
Mise en place du système de consentement
Mise en place sur la plateforme d’un script permettant à l’internaute de donner ou non son consentement pour le traitement de ses données pour des finalités autres que le bon fonctionnement de la plateforme (RH, analyse, communication, …). Déploiement pour l’utilisateur de l’interface de gestion de son consentement.
Pour chaque cookies ou script de tracking comme Google Analytics, Adwords, etc, nous devons demander à chaque utilisateur leur consentement avant d'activer ces scripts.
Depuis septembre 2020, il est nécessaire de proposer à l'utilisateur la possibilité de "tout refuser" (source CNIL) afin d'éviter tout contournement. L'outil de gestion de consentement Advency a été mis à jour en ce sens.
Exemple de bandeau de consentement sur les cookies et scripts de tracking :
Pour que chaque formulaire soit conforme RGPD, vous allez donc devoir afficher soit un lien renvoyant sur une page d'explications sur la finalité de la collecte ou du traitement des données, soit un lien et une case à cocher pour obtenir l'autorisation de l'utilisateur sur l'exploitation éventuelle des données (newsletter, revente, etc).
Exemple de widget sur vos formulaires (il doit y avoir à minima le lien) :
L'ensemble des preuves de consentements accordés par les utilisateurs devront être stockées, et le seront via l'outil que nous mettrons à votre disposition.
Au moment de se mettre en conformité, vous devrez redemander une première fois à vos utilisateurs l'ensemble des consentements correspondants au traitement de leurs données pour les leur faire valider. Vous pourrez ensuite poursuivre les traitements pour ceux qui l'auront accepté.
Comment ça fonctionne ?
L'outil ne sauvegarde pas les données utilisateurs renseignées dans les différents formulaires. Afin d'assurer leur anonymisation, nous stockons un token (une clef, par exemple "qZgyt23eo24dzLnsd3") qui fera référence à un consentement. Ce token sera également enregistré sur votre plateforme : il permet d'avoir la preuve de consentement (positif ou négatif) et fait le lien entre une donnée dans votre site Drupal ou Application mobile et la plateforme de traitement des données personnelles ou est géré votre cartographie. Concernant l'autorisation des cookies, ce dernier est stocké au maximum 1 an dans la navigateur de l'utilisateur, il devra ensuite renouveller sont consentement. Un utilisateur doit pouvoir changer son consentement à tout moment : il est donc nécessaire de mettre en places des pages spécifiques ou à minima une rubrique de contact pour que l'utilisateur puisse à tout moment changer sont consentement sur une données ou un ensemble de données.
Votre devoir :
- Ne jamais utiliser une donnée dans une autre finalité que celle prévue
- Ne jamais utiliser une donnée en dehors ou contre le consentement de votre utilisateur
Révision des mentions d’information
Vos mentions d’informations (mentions légales, CGU, CGV, …) doivent être modifiées afin d’être conformes aux exigences de la nouvelle législation. L’agence prendra en charge les modifications opérationnelles si nécessaires, mais pas son édition (à faire effectuer par un juriste ou avocat)
Contrat
Conclusion de la clause contractuelle liant l’agence à votre structure pour fixer nos obligations et notre rôle en tant que sous-traitant en matière de sécurité, confidentialité ou protection des données. Dans le cas d’un hébergement à l’agence, les informations relatives à la sécurité de l’hébergement s’y trouveront.
Organisation des processus internes et documentation
Des processus internes doivent être définis pour la prise en compte de la protection des données dès la conception de chaque évolution, pour traiter les réclamations des utilisateurs dans le cadre de l’exercice de leurs droits et pour fixer le processus en cas de violation des données.
Il s'agit également de consigner l’ensemble des opérations de mise en conformité avec la RGPD.
Les actions de mise en conformité peuvent prendre plus ou moins de temps à mettre en place en fonction de l’historique et de la densité fonctionnelle de votre plateforme. Elle est obligatoire et prioritaire dans le cas de plateformes traitant de données personnelles d’utilisateurs.
Votre chef de projet sera votre référent dans l’agence pour tout le suivi de cette mise en conformité. À noter que dans le cas où vous traitez des données sensibles (données de santé, religion, ethnie, liées à des condamnations etc) le processus peut être différent.