28 janvier 2023 : 17ème journée de la protection des données

Il y a 42 ans, le 28 janvier 1981, la première convention sur la protection des données personnelles, connue sous le numéro STCE n° 108, a été ouverte à la signature.

En 2006, le Conseil de l’Europe a décidé de lancer la journée de la protection des données chaque 28 janvier.

Cette année elle tombe le :

samedi 28 janvier 2023

Cette journée a pour objectif de sensibiliser tous les utilisateurs de services numériques, aux enjeux liés à la protection des données.

____________________

Qu’est-ce qu’une donnée personnelle ?

____________________

Une donnée personnelle, c’est toute information se rapportant à l’identification d’une personne physique.

Que cette personne physique soit identifiée :

• directement (par son nom, prénom)
• ou indirectement (par un numéro de téléphone, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi par la voix ou l’image)

Que cette personne physique soit identifiée :

• à partir d’une seule donnée (numéro de sécurité sociale, ADN…)
• à partir du croisement d’un ensemble de données (un homme vivant à telle adresse, travaillant dans telle entreprise, né tel jour à tel endroit)

____________________

Qu’est-ce qu’un traitement de données personnelles ?

____________________

Un traitement de données personnelles est une opération, ou un ensemble d’opérations, portant sur des données personnelles.

Il peut s’agir d’une collecte, d’un enregistrement, d’une conservation, d’une transmission… À partir du moment où des données personnelles sont conservées ou utilisées, il s’agit d’un traitement.

Un traitement de données doit avoir un objectif précis. À chaque opération de données, un but doit être assigné.
____________________

Qu’est-ce que le RGPD ?

____________________

Le RGPD signifie Règlement Général sur la Protection des Données. Il a été adopté par le Parlement européen en 2016 et est entré en vigueur en 2018.

Il harmonise en Europe, les règles relatives aux données personnelles, en offrant un cadre juridique unique aux professionnels. Toute entité amenée à manipuler des données personnelles de résidents européens doit se conformer au RGPD. 

Le RGPD renforce la protection des personnes dont les données sont collectées et leurs droits. Elles peuvent par exemple accéder à leurs données collectées, décider de les rectifier ou de les supprimer et demander leur portabilité. 

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est chargée de veiller à ce que toutes les entités respectent la protection des données personnelles.

Elle a d’ailleurs, en septembre 2022 prononcé une sanction de 250 000 euros à l’encontre du GIE INFOGREFFE pour avoir manqué à plusieurs obligations du RGPD en matière de durées de conservation et de sécurité des données personnelles.

Comment rendre son site internet conforme au RGPD ?

____________________

La politique de confidentialité 

Votre site doit contenir une page politique de confidentialité (ou politique de protection des données personnelles).

Attention, la page politique de confidentialité doit être dissociée des CGV/CGU (Conditions Générales de Vente/ Conditions Générales d’Utilisation) et de la page mentions légales, qui recense les informations relatives à l’éditeur du site (coordonnées, numéro d’identification au Registre du Commerce et des Sociétés (RCS), numéro de TVA, capital social, nom du responsable de la rédaction et coordonnées de l’hébergeur du site).

Votre politique de confidentialité doit être accessible sur chaque page de votre site et recenser l’ensemble des informations concernant le traitement de données :

• L’objectif des collectes de données personnelles
• L’identité de la personne qui collecte ces données
• Leur durée de conservation
• Le rappel des droits des utilisateurs
• Les personnes susceptibles de prendre connaissance de ces données
• Les mesures de sécurité que vous avez mises en place
• Le moyen permettant aux utilisateurs d’accéder à leurs données personnelles 

Le consentement éclairé

• Les collectes de données :

Le RGPD spécifie dans l’article 13 que lors de chaque collecte de données, l’utilisateur doit connaître toutes les informations nécessaires relatives au traitement de ses données.

Concrètement, vous pouvez lors de chaque collecte (en dessous d’un formulaire par exemple) :

• Ajouter une case à cocher confirmant que l’utilisateur consent à partager ses données ou non
• Expliquer le but de cette collecte de données (“pour recevoir notre newsletter” par exemple)
• Ajouter une case à cocher “J’ai lu et j’accepte la politique de confidentialité”. Attention de ne pas pré-cochez la case, car cette action vaut pour consentement.

Pensez également à vérifier que vos plugins sont bien conformes au RGPD.

Les cookies

Lorsqu’un internaute se rend sur votre site internet, le bandeau de cookies doit impérativement spécifier à l’utilisateur :

• Que des cookies vont être déposés sur son terminal
• Le but de ces cookies
• Le fait que la poursuite de la navigation autorise le dépôt de cookies

L’internaute doit pouvoir soit accepter, soit refuser soit modifier les paramètres grâce à un lien directement présent dans le bandeau.

Ce bandeau cookies ne doit pas disparaître tant que l’internaute n’a pas fait son choix.

La sécurisation des données

Le RGPD précise que votre site internet doit être sécurisé afin de pouvoir protéger les données personnelles de vos utilisateurs.

Pour ce faire :

• sécurisez votre site en https (Hyper Text Transfer Protocol Secure). Le https garantit à vos visiteurs une connexion sécurisée à votre site. Les informations sensibles, telles que les mots de passe ou les coordonnées bancaires sont protégées, et les visiteurs peuvent naviguer sur votre site en toute sécurité. La différence entre HTTP et HTTPS est le “S“, qui signifie ”Sécurisé”.
• imposez à vos clients un mot de passe complexe à la création de leur compte
• ne transmettez pas de données personnelles par email (exemple : mot de passe, coordonnées personnelles)
• ne conservez pas les coordonnées bancaires de vos clients 
• sécurisez la transaction bancaire
• mettez régulièrement votre site à jour. C’est la base d’un site sécurisé. Les mises à jour sont faites pour éviter les failles de sécurité et limiter les risques de piratage.

Un dossier documentaire prouvant votre conformité au RGPD

Une fois en conformité avec le RGPD, vous devez constituer un dossier documentaire prouvant que votre traitement des données personnelles respecte ce dernier.

___________________

Selon une étude menée par l’institut Odoxa, en 2022 76 % des Français craignent pour la protection de leurs données personnelles.

Respecter scrupuleusement les règles vous permettra, non seulement d’être dans la légalité, mais également de gagner la confiance de vos clients.

Nous serons heureux de vous aider à avoir un site conforme au RGPD.