publié par :
Quentin CASACCI
MAI 2018

la loi RGPD, tout le monde est concerné !

Le 25 Mai 2018, la loir RGPD entre en vigueur ! Changement majeur dans la traçabilité, le stockage et le traitement des données personnelles de vos utilisateurs.

Le 25 mai 2018, le Règlement général sur la protection des données (RGPD ou GDPR) entrera en vigueur pour toutes les entreprises françaises et européennes. Cette loi permettra de renforcer la transparence sur l’utilisation des données personnelles sur internet et accorde de nouveaux droits aux utilisateurs.

Toutes les entreprises sont concernées, en cas de non respect, vous vous exposez à des amendes pouvant atteindre 4% de votre chiffre d’affaires dans la limite de 20 millions d’euros.

Avant d'entrer dans le vif du sujet, il est important de rappeler quelques points essentiels ...


1/ Il n'existe pour le moment aucun label / organisme labellisé "RGPD"

Les premières certifications du Data Protection Officer (DPO)
 ayant pour mission de protéger les données en entreprise, se feront après la mise en application de la nouvelle règlementation comme le confirme la CNIL : « Les référentiels de certification seront élaborés après une phase de consultation publique, approuvés par la CNIL et publiés sur son site. Il appartiendra ensuite aux candidats de se rapprocher des certificateurs, qui procèderont à l’instruction de leurs demandes. »

Personne n’est donc à l'heure actuelle certifié RGPD, mais vous êtes néanmoins dans l’obligation de se mettre en conformité !

2/ Qu'est-ce qu'une donnée personnelle ?

En droit français, toute donnée personnelle est une information relative à une personne physique identifiée ou qui peut l’être avec cette donnée : un prénom, une adresse e-mail, un nom de société… comprenez que vous détenez une information personnelle dorénavant réglementée et soumise à des obligations.

Cette nouvelle réglementation permet ainsi de clarifier les droits dont disposent les utilisateurs quant à l’accès à leurs propres données, leur modification, leur portabilité, jusqu’au droit à l’oubli.

Vous stockez des données personnelles sans but précis ? La loi ne l’autorise plus. Le RGPD est clair sur le sujet : toute donnée collectée et stockée doit poursuivre un objectif précis, pour une période donnée et l’utilisateur doit en être informé. Dès lors que cet objectif est atteint (ou non), la donnée ne peut être conservée sans limite dans le temps.

Concrètement que devez-vous faire pour être conforme ?

Si la loi RGPD a été créée c'est essentiellement pour que les données personnelles ne soient plus exploitées sans le consentement explicite de l'utilisateur, aussi afin de se conformer au mieux au texte de loir RGPD, il est nécessaire de respecter certaines étapes.

1/ Mettre à jour les mentions légales et les rendre accessibles facilement (ou plus facilement)

Ex: ajouter, au bandeau spécifiant que vous utilisez des cookies, un lien explicite vers vos mentions légales et / ou votre politique de confidentialité.

2/ Mettre à jour ou définir votre politique de confidentialité (exploitation des données), que vous pouvez tout à fait intégrer à vos mentions légales, dans un article spécifique.


C'est dans ce document (ou article), que vous allez devoir spécifier les informations relatives au traitement des données personnelles (temps de conservation des données etc ...)

3/ Mettre en place le protocole HTTPS

Toujours dans le but de la protection des données de votre utilisateur (ex : envoi de formulaire)
Cette intervention nécessite des aménagements techniques au niveau du site internet.

4/ Modifier l'ensemble des formulaires

Modifier l'ensemble des formulaires présents sur votre site internet / plateforme, afin de les accompagner des mentions nécessaires (renvoi vers mentions légales + politique de confidentialité).
Dans le cas d'un formulaire de site web possédant une cas "inscription newsletter", celle-ci devra désormais être décochée par défaut (opt-in), l'idéal étant également de prévoir un email envoyé à l'utilisateur rappelant les grandes lignes de votre politique de confidentialité ainsi qu'un lien vers vos mentions légale et / ou votre politique de confidentialité, suivi d'un lien d'acceptation (double opt-in), cette dernière action n'est pas obligatoire mais conseillée.

5/ Réaliser un mapping des données

Cette carte du traitement des données est un document privé (à ne pas communiquer à votre utilisateur) nécessaire au contrôle de votre conformité à la RGPD, celui-ci vous sera demandé en cas de contrôle.
Concrètement vous devez cartographier le chemin parcouru par la donnée personnelle (stockage dans les BDD, utilisation dans le cadre de campagnes emailing, export etc ...).

6/ Fourni le registre du traitement des données

Chaque sous-traitant intervenant sur vos données personnelles (ayant accès ou ayant eu un jour accès aux donnée), doivent vous fournir un registre de traitement des données, dans votre posture client vous devez faire respecter ce principe.

Maintenant comment procéder ?

En tant que prestataire ayant un accès aux données personnelles de vos utilisateur et dans le cadre du développement informatique de vos solutions, nous vous fournirons sur simple demande le registre des sous-traitants.

Du côté opérationnel (Mapping, Formulaires, Https etc ...), nous vous invitons à nous contacter rapidement afin d'auditer vos solutions et établir un devis personnalisé pour la mise en conformité.