RGPD - Faire le point pour tenter d'y voir clair

Les nouvelles réglementations européennes en matière de protection des données
Répondre
Avatar du membre
pdetre
Administrateur du site
Messages :10
Enregistré le :sam. 27 oct. 2018 21:03
Localisation :Menton
Contact :
RGPD - Faire le point pour tenter d'y voir clair

Message par pdetre » jeu. 1 nov. 2018 14:33

C'est quoi le RGPD ?
Tout part d'un constat.
Le traitement des données personnelles recueillies sur internet est devenu un des business les plus lucratifs du web.
Pour faire simple, disons qu'en recoupant plusieurs types d'informations comme :
  • les données que vous fournissez volontairement en vous inscrivant sur un site (Nom, prénom, age, etc.)
  • vos habitudes de navigation (les sites que vous consultez régulièrement, la façon que vous avez de passer d'un site à l'autre, etc.)
  • vos réflexes de consommations (vous commandez en ligne des voyages, de la nourriture pour animaux, etc.)
  • et bien d'autres choses encore...
certaines sociétés (plutôt américaines, mais pas que) sont capables de déterminer que vous êtes une femme de 35 ans qui aime les chaussures avec un talon de 4 cm et qui investit 37.75 € par mois pour le toilettage de son bichon maltais. Et ces informations là peuvent valoir très chères lorsque vous vendez des chaussures ou des brosses pour chien.

Autrement dit, ce que vous êtes devient source de profit à votre insu.

Tenter de moraliser certaines pratiques
Ce fonctionnement n'est pas forcément condamnable en soit car il correspond à un des principes du commerce : connaître sa cible pour répondre à ses attentes. Par contre depuis internet, cela a pris une telle ampleur et dans une telle opacité que les institutions européennes ont décidées de moraliser ces pratique par une sorte de charte de bonne conduite : le RGPD (Règlement général sur le traitement des données)

Ce règlement repose sur trois axes :
  1. la transparence - l'utilisateur doit être conscient que ses données seront recueillies et conservées
  2. la clarté - les informations sur le recueil des données doivent être claires, explicites et aisément accessibles (jamais à plus de 2 clicks)
  3. la réversibilité - l'utilisateur doit pouvoir prendre connaissance des informations le concernant et en demander la destruction
D'accord mais concrètement, je dois faire quoi moi alors ?
Tout dépend.
Si vous êtes une multinationale manipulant les données personnelles de millions d'abonnés, là franchement c'est chaud parce que vous êtes pile poil dans la cible des institutions européennes qui ne vous passeront aucune incartade.
Mais comme je doute qu'Amazon, Google ou Facebook consulte ce forum pour savoir ce qu'ils ont à faire (pfff... savent pas ce qu'ils perdent) attachons nous au cas d'une petite structure, voire d'un auto-entrepreneur travaillant seul.

Imaginons un café-théâtre installé dans une ville moyenne et qui cherche à recueillir les coordonnées de ses clients pour envoyer des invitations, organiser un petit festival, ou encore simplement envoyer le programme du trimestre par mail ou par courrier.
Soyons clair, sauf à utiliser votre listing à des fins crapuleuses (organiser des cambriolages chez les gens que vous invitez à un spectacle... ça s'est déjà vu) personne ne viendra jamais vous chercher des noises. Mais le fait de vous mettre en conformité avec le RGPD va instaurer un climat de confiance avec les utilisateurs de votre site qui du coup gagnera en "respectabilité".
Et puis sait-on jamais, le RGPD c'est comme les assurances ; ça ne sert à rien tant qu'on n'en a pas besoin.
Alors voyons ce qu'il faut faire étape par étape.

:!: D'abord, une bonne nouvelle : il n'est plus nécessaire de faire de déclaration de fichier à la CNIL (Commission Nationale Informatique et Liberté)
Avant l'entrée en application du RGPD (25 mai 2018) toute constitution de fichier de données personnelles devait faire l'objet d'une déclaration préalable auprès de la CNIL. Cette obligation est supprimée (c'est toujours ça de moins à faire)
Voilà, c'est la fin des bonnes nouvelles. Voyons ce qu'il y a à faire maintenant.

1 - Désignation d'un Délégué à la protection des données (DPO)
Le DPO, c'est la personne qui va être en charge de mettre techniquement en place la protection des données que vous recueillez.
Si vous travaillez seul, cette personne est toute trouvée, c'est vous ! Mais il faut savoir que plusieurs structures peuvent se regrouper pour désigner un DPO commun.

:?: Pratiquement, je fais quoi ?
Vous rajoutez juste une ligne dans vos mentions légales du genre :
  • Délégué à la protection des données : Nom de la personne
Première bonne chose de faite.

2 - Rendre l'information claire et accessible
Le plus simple est de créer un lien dans un des menus du site (généralement en pied de page, mais ça peut aussi être dans le menu principal). L'important est que ce lien soit disponible dans toutes les pages du site et sera du type :
  • Conditions générales d'utilisation (CGU)
  • Politique de confidentialité
  • ou autre chose au choix selon votre cas personnel
Ce lien doit renvoyer vers un texte où vous expliquez comment vous recueillez les données et surtout comment vous les exploitez. Surtout si vous revendez ces données à des tiers.

:?: - Grrrrr... et ce texte, je le trouve où ?
Je vous mets en fichier joint un texte un peu long et très exhaustif qui pourra vous servir de base.
:!: ATTENTION - J'ai récupéré ce texte (RGPD.zip) sur un site spécialisé. Il ne doit pas être utilisé tel quel. Il faut impérativement le personnaliser et très probablement largement le couper.

3 - Permettre aux utilisateurs d'exercer leur droit de Consultation, Mise à jour, Modification, Suppression
Et oui, le RGPD donne tous ces droits à l'utilisateur et vous êtes dans l'obligation de le leur permettre.
Pratiquement, le plus simple est de rajouter un paragraphe au texte du CGU (voir ci-dessus) du style :
  • Pour toute consultation, modification ou suppression de vos données personnelles, veuillez nous contacter au (rajouter à votre guise adresse courrier, email, n° téléphone...)
À la moindre demande il faudra vous exécuter.
Comment ? vous êtes le seul à pouvoir répondre car cela dépend de la façon dont vous gérez vos données. Fiches papier, fichier Excel, base de données, fichier JSON, ça ne regarde que vous mais souvenez-vous que la meilleure façon de sauvegarder des données est celle que vous êtes en capacité de gérer vous-même.

4 - Tenir un Registre des activités de traitement
Là, je sens que je ne suis pas loin de vous perdre !
Pourtant pas d'affolement, c'est juste une nouvelle petite ruse de Ninja administratif pour compliquer nos vies trop simples :mrgreen: mais ça se gère facilement. Un peu de paperasse à remplir puis à laisser dormir sur un coin d'étagère "au cas où..."
En fait, la CNIL met à disposition un exemple de registre plutôt bien documenté avec des formulaires qu'on n'a plus qu'à remplir. Je vous l'ai mis en fichier joint.
Fastoche quoi.

:?: Dernière question : c'est obligatoire ce registre ?
Ben... je ne le dis pas trop fort pour ne pas vous énerver mais si vous voulez être en règle, faut y passer.

That's all folks !!!
Fichiers joints
registre_rgpd_basique.zip
(345.21Kio)Téléchargé 29 fois
RGPD.zip
(9.37Kio)Téléchargé 23 fois

Répondre