Blog & Actualité » RGPD – Règlement Général de protection des données

RGPD – Règlement Général de protection des données

Qu’est-ce que le RGPD ?

Le RGPD (ou GDPR en anglais) est le Règlement Général sur la Protection des Données (ou General Data Protection Regulation) qui vise à renforcer la protection des données à caractère personnel au sein de l’Union Européenne.

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’Union européenne en se fondant sur la confiance des utilisateurs.

Ce nouveau règlement est entré en vigueur en mai 2016 et mis en application le 25 mai 2018.

Le RGPD modifie les règles de gestion des données à caractère personnel dans les entreprises. Il remplace l’originale obligation de déclaration à la CNIL par une obligation de prouver à cet organisme institutionnel que vous êtes conforme aux obligations du RGPD.

Que risque-t-on en cas de non-conformité ?

Dans le cas où votre société n’est pas conforme au RGPD vous risquez de lourdes sanctions pénales et une amende pouvant atteindre 20 millions d’euros ou 4% de votre chiffre d’affaires annuel.

Nous vous rappelons que depuis le 25 mai 2018 vous avez l’obligation de démontrer à la CNIL que vous êtes en conformité avec le Règlement Général sur la Protection des Données.

Une marge de progression et des seuils de tolérance devraient être instaurés. L’intervention de l’autorité de contrôle est progressive en fonction de la gravité du manquement de l’entreprise à une des obligations découlant du RGPD.

Les infractions sont donc sanctionnées graduellement et en fonction de leur gravité :

Etape 1 : Avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD. Vous disposez d’un délai d’un mois pour vous mettre en conformité.
Etape 2 : Injonction de cesser la violation
Etape 3 (dans certains cas) : Limitation ou suspension temporaire des traitements de données
Etape 4 : Sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle

Comment être en conformité avec le RGPD ?

1 – Déclarer un DPO à la CNIL

Dans le cadre du RGPD, WEBMAY , votre prestataire ( sous-traitant ) est le responsable de l’hébergement et de la sécurisation de vos bases de données si votre entreprise enregistre moins 250 salariés et ne traite pas de données « sensibles ».

Sinon vous êtes tenu de déclarer une personne référente, un Délégué à la Protection des Données (DPD ou DPO en anglais) , qui s’assurera de la sécurité et du bon traitement de vos données pour votre structure seulement si vous employez plus de 250 salariés ou que vous réalisez un traitement sur des données « sensibles » (santé, politique, ethnie, etc…).

Si vous souhaitez toutefois procéder à l’enregistrement d’un DPDO auprès de la CNIL vous pouvez déclarer une personne compétente au sein de votre structure ou faire appel à un cabinet d’avocat ou un juriste. Dans le cas où vous n’avez aucune ressource en interne, nous pourrons vous aider pour votre déclaration lors de la réalisation de votre projet.

2 – Cartographier vos données et établir le Registre de traitement de données

Le RGPD oblige les responsables du traitement et les sous-traitants de tenir un registre des traitements. Le RGPD impose de prendre les mesures internes nécessaires pour optimiser la protection des données et faciliter l’apport de preuve en cas de contrôle ou en cas de litige devant un tribunal.

Webmay permet au marchand de consulter l’ensemble des traitements et de pouvoir en faire une extraction et ainsi de communiquer ces traitements sous la forme d’un fichier informatique lisible (ici au format csv).

Toutes les modifications des propriétés d’abonnement aux newsletters et aux campagnes SMS sont tracées et depuis toutes les sources (boutique, administration du site (Back Office), interface XML, Web Services, …). Les modifications des données personnelles du client (adresse, téléphone, …) sont aussi tracées depuis toutes les sources (sauf les Web Services qui sont exclus du tracking actuellement).

3 – Gestion du consentement sur les formulaires ou étapes de validation

Cela concerne tous les formulaires de demande de contact, devis, etc… qui impliquent une collecte des données.

Chaque formulaire nécessitera d’informer le visiteur sur la politique de gestion des données personnelles et de recueillir son consentement.

Vous devez ajouter sur vos formulaires (Pages sur mesure) un message du type :

« J’accepte que mes informations personnelles soient conservées sur ce site. Voir notre politique de protection de la vie privée : Oui / Non »

Vous devez personnaliser le lien vers votre politique de protection de la vie privée (CGV, page spécifique, mentions légales).

4 – Le double opt-in (consentement) par email

Insertion d’un consentement supplémentaire dans l’emailing de confirmation du compte client.
Le message contient une demande de confirmation pour recevoir les informations souhaitées. C’est seulement à partir de ce clic que l’adresse peut être ajoutée à la base de données.

Inscription à la newsletter (lettre d’informations commerciales)

Webmay a créé un nouveau modèle de personnalisation d’email conforme à la RGPD.

5 – Gestion des cookies sur le site

En accord avec le RGPD, vos clients doivent être informés et donner leur consentement préalable à l’insertion de traceur. Ils doivent disposer d’une possibilité de choisir ou pas d’être tracés lorsqu’ils visitent votre site.

Ce consentement est valable 13 mois maximum. Le renouvellement du consentement se fera de manière automatique.

On distingue 3 types de cookies :

Les cookies obligatoires qui assurent le fonctionnement du site
Les cookies fonctionnels qui servent à se souvenir de vos préférences de navigation
Les cookies publicitaires

6 – L’application des droits de vos clients

Webmay fournit tous les éléments nécessaires pour faire valoir leur droit à vos clients. Il vous appartient de procéder à un audit régulier de vos bases de données afin de prendre en compte leurs demandes et de mettre à jour votre base de données.

Droit à la rectification des données

Vos clients peuvent librement rectifier leurs données directement depuis leur espace client “Mon compte” en se rendant sur votre site.

  1. Droit à l’oubli : Possibilité pour vos clients de ne plus vouloir être dans la base utilisateurs
  2. Droit à la portabilité : Possibilité pour vos clients de demander le transfert de ses données vers un autre responsable de traitement.
  3. Droit à la limitation du traitement des données : Possibilité pour vos clients de demander une limitation du traitement des données qui permet de faire une pause dans l’utilisation de vos données.

7 – Affichage de la Politique de protection de la vie privée

Obligation de proposer dans le site une page de contenu expliquant toute la politique de gestion des informations personnelles en lien avec le RGPD. Il est conseillé d’avoir une page de vos CGV et une page pour votre Politique de protection de Vie Privée.

Contenu de votre politique de protection de la vie privée

  • Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
  • Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
  • Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.) ;
  • Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
  • Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
  • Si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Nous vous suggérons de faire appel à un juriste spécialisé pour faire valider vos CGV. Puis d’activez la confirmation à vos CGV dans votre processus de commande

Pour plus d’informations sur la RGPD : Consultez le site de la  CNIL

Vous pouvez passer gratuitement des certifications auprès de la CNIL , une formation au RGPD sous forme d’atelier Mooc , vous est proposé sur:

https://www.cnil.fr/fr/le-mooc-de-la-cnil-est-de-retour-dans-une-nouvelle-version-enrichie

 

CERTIFICATION CNIL

Partager cette information