- La CNIL - Commission nationale de l'Informatique et des Libertés - https://www.cnil.fr
- La CPVP - Commission pour la protection de la Vie privée - https://www.privacycommission.be
- Le site officiel du RGPD (en anglais) : https://www.eugdpr.org/
Le 27 avril 2016, le Parlement européen a voté une nouvelle directive appelée Règlement général de la Protection des Données (RGPD). Elle impose des procédures très précises, et parfois contraignantes, à tous ceux qui collectent, stockent et utilisent des données personnelles des personnes physiques citoyennes de l'EEE (l'Espace économique européen).
Dans la phrase qui précède, tous les termes sont importants :
- la réglementation concerne toutes les organisations (sociétés, associations, indépendants, collectivités, …), peu importe leur taille
- elle touche tous les aspects de la gestion des informations
- elle concerne toutes les données à caractère personnel, pas seulement celles dites "sensibles"
- elle s'applique aux personnes physiques, les données des entreprises ne sont pas concernées. Notez cependant qu'il s'agit autant des données internes à l'organisation (celles de ses employés ou collaborateurs) que des externes (celles de ses prospects et clients).
- elle s'applique aux données des résidents européens : une société non-européenne traitant des données de ressortissants de l'UE est concernée, pas une société européenne qui traiterait exclusivement des données de citoyens résidant hors de l'Union. Notez également qu'on parle bien de personnes résidant sur le territoire européen, pas de citoyens, donc cela concerne aussi la façon dont vous traitez les informations de touristes chinois de passage dans votre établissement du fin fond de la Corrèze.
- il s'agit bien de l'Espace économique européen, pas de l'UE. L'EEE comprend, outre les états membres de l'Union européenne, l'Islande, le Liechtenstein et la Norvège.
Comme vous le pressentez, tout va être dans les nuances, les détails et surtout le contexte. Nous avons essayé de déblayer au mieux le terrain pour que vous puissiez faire les adaptations nécessaires. Toutefois, nous ne prétendons pas couvrir toutes les situations possibles. En cas de doute, nous vous recommandons de prendre contact avec votre conseil juridique pour des éclaircissements.
Les aspects concrets
Le règlement prendra effet le 25 mai 2018. Il n'y aura pas de période d'essai. Vous devez êtes prêts à cette date.
Une des motivations de la directive est de de rendre les utilisateurs des données personnelles légalement responsables de leur traitement et de leur sécurité. Les amendes en cas de non-respect de la réglementation seront TRÈS importantes, jusqu'à 20 millions d'euros. On ne plaisante donc pas.
Quelques définitions
Pour bien comprendre la portée de cette directive, il est essentiel d'avoir une compréhension claire de plusieurs notions.
Le consentement
Au cœur de ce règlement, se trouve le consentement de la personne dont vous collectez les informations. Ce consentement doit être :
- donné librement : vous ne pouvez pas pénaliser ceux qui vous le refusent, soit en les privant de certains bénéfices, soit en les récompensant par un avantage quelconque
- spécifique : vous ne pouvez pas utiliser les données récoltées pour autre chose que ce pour quoi vous les avez demandées, à moins d'obtenir un nouveau consentement
- informé : vous avez un document écrit, disponible librement, expliquant dans un langage clair et concis la finalité de votre demande d'informations
- une indication non ambiguë du souhait de la personne de vous accorder le droit de traiter ses données personnelles dans le but que vous lui avez expliqué
Les données personnelles
Autre définition capitale dans cette affaire. Il s'agit ici de toute information permettant d'identifier une personne physique.
Il y a des cas où ce caractère personnel est évident : un numéro de sécurité sociale ou de document d'identité. Parfois, c'est l'association de plusieurs données qui lui confère ce caractère : un nom de famille seul ne suffit pas à identifier formellement un individu, "il y a plus d'un âne qui s'appelle Martin" dit le proverbe, mais s'il est accompagné d'une adresse postale, cela lèvera l'imprécision et donc le fera entrer dans le domaine de la réglementation.
De même une adresse email isolée, bien qu'unique, ne permet pas toujours de connaître son propriétaire : "
Car, oui, si les données des entreprises ne sont pas visées (pour l'instant), il s'agit de celles qui ne sont pas rattachées aux personnes qui y travaillent, comme l'adresse de contact de la société,
Les données sensibles
Elles nécessitent une attention particulière, surtout au niveau de leur protection. Sont considérées comme sensibles les données :
- qui révèlent les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale
- relatives à la santé ou à l'orientation sexuelle
- génétiques ou biométriques
- concernant des infractions ou des condamnations pénales
- concernant des mineurs de moins de 16 ans
Le traitement
On appelle traitement des données toutes les opérations effectuées avec les données personnelles, comme leur collecte, leur sauvegarde, leur modification, leur accès, leur effacement ou leur destruction. Ce traitement est effectué par deux acteurs qu'il convient de définir.
Le responsable du traitement (Data Controller)
C'est le propriétaire des données : si votre association ou entreprise collecte les données des visiteurs via le site Internet, vous êtes le propriétaire de ces données, vous êtes le responsable du traitement. En tant que tel, vous êtes responsable vis à vis des citoyens de l'usage que vous en ferez (ou que d'autres pourraient en faire !) et c'est à vous de prendre les mesures techniques nécessaires pour en assurer la protection et l'utilisation conforme à celle pour laquelle les utilisateurs vous ont donné leur consentement. Consentement dont, par ailleurs, vous détenez la preuve.
C'est aussi à vous qu'il incombe d'être en conformité avec la directive, d'informer correctement les personnes concernées et d'avoir une convention écrite avec vos sous-traitants.
L'ensemble des responsabilités des responsables du traitement est reprise dans l'article 24 du RGPD.
Le sous-traitant (Data Processor)
C'est l'entité qui traite les données en votre nom. Le sous-traitant suit les instructions que vous lui avez fournies, est responsable vis à vis de vous des traitements effectués et doit mettre en place les mesures de sécurité appropriées à l'utilisation et à la nature des données qui lui sont confiées. Il doit tenir un journal des opérations de traitement, vous informer de toute fuite ou violation de données et, s'il s'agit d'une entreprise publique ou traitant les données personnelles à grande échelle, nommer un délégué à la protection des données (Data Protection Officer).
L'ensemble des responsabilités des sous-traitants est reprise dans l'article 28 de la directive.
Traduction pour un site Joomla!
Concrètement, en tant que propriétaire du site, vous êtes le responsable du traitement. Vous êtes donc légalement responsable de la sécurité des données qu'il collecte, utilise ou conserve. Ce n'est pas la responsabilité de la Fondation Open Source Matters, propriétaire de Joomla!, ni celle de votre Webmaster. Bien entendu, ce dernier pourra vous aider à mettre en place les mesures de sécurité et de conformité adéquates.
Votre hébergeur, lui, est un sous-traitant : c'est via son infrastructure que vous collectez des données et ce sont ses serveurs qui les stockent, même temporairement. Si celui-ci emploie des sous-traitants pour l'une ou l'autre de ces opérations, il doit le faire avec votre accord écrit.
Et vous faites peut-être aussi appel à d'autres sous-traitants : pour votre interface de paiement en ligne (PayPal, votre banque, …), pour vos réservations d'évènements (Weezevent, …), pour votre marketing par email (Mailchimp, Mailjet, ...), etc.
Implications de la notion de consentement
La clé dans ce domaine est la transparence. Il faut que les personnes concernées comprennent, sans ambiguité, dans quel but vous leur demandez leurs données. Cela doit se faire dans un document écrit, facilement consultable (pas d'accès payant ou réservé aux membres) et lisible (pas de jargon juridique ni de "petits caractères").
Un autre point important est la légitimité de la demande, ce qu'on appelle la minimisation de la collecte de données au regard de la finalité : vous ne demandez que ce dont vous avez strictement besoin pour accomplir la mission qu'on vous sollicite.
Par exemple, il est normal qu'un assureur demande de lui fournir une date de naissance car il en a besoin pour établir l'offre d'assurance vie que vous lui avez commandée. Demander votre opinion religieuse lors de votre inscription sur un forum informatique n'est pas légitime et sera en contravention avec le RGPD. Ce n'est pas la fin du marketing et du "profilage" des utilisateurs, c'est une mesure contre les demandes abusives, ainsi que contre une exploitation, à l'insu des utilisateurs, des données via une revente de celles-ci à des partenaires commerciaux. Cette revente est autorisée pour autant que, là aussi, il y ait eu consentement explicite préalable.
Demande de consentement
Lors de la création d'un compte sur un site, vous pouvez demander l'accord de l'utilisateur pour l'envoi ultérieur de vos offres commerciales. Si vous comptez également faire envoyer des offres par vos partenaires, prévoyez une seconde mention, indépendante de la première. L'utilisateur pourra choisir, librement, l'une ou l'autre option, ou les deux ou aucune. Comme le consentement doit être un acte volontaire et positif de la part du prospect ou du client, vous utiliserez deux cases à cocher (Attention : plus de cases déjà cochées !). N'utilisez pas non plus de formulation négative dans laquelle l'utilisateur doit cocher la case s'il ne veut PAS recevoir d'offres.
Autre exemple classique : l'abonnement à une lettre d'information. Ici aussi, le consentement doit être explicite et le plus facile pour le rendre effectif, c'est d'utiliser ce qu'on appelle le "double opt-in" : l'utilisateur envoie le formulaire d'inscription puis doit confirmer celle-ci en cliquant sur un lien reçu dans un email. Si le lien n'est pas cliqué, l'inscription n'est pas valide. Remarque : comme c'est à vous qu'il incombe d'apporter la preuve du consentement, gardez une trace de cette confirmation.
Cela semble très contraignant mais en réalité il s'agit de ce qui est recommandé comme Bonne Pratique par tous les spécialistes du marketing par email depuis des années. Fini d'inscrire "de force" un visiteur qui a seulement laissé un commentaire sur votre site, vous a contacté pour une offre il y a des mois (voire des années) ou vous a glissé sa carte de visite lors d'une foire commerciale.
C'est sans doute un bon moment pour faire un grand nettoyage de vos listes d'emailing !
Retrait du consentement
Rien n'est éternel ! Vous devrez permettre aux utilisateurs de retirer leur consentement quand ils le souhaiteront et ce, d'une manière facile (et gratuite) pour eux. Attention aux accords données également à des partenaires : si l'accord est retiré pour toutes les utilisations, vous devrez vous assurer que la demande a été relayée, et suivie d'effet, chez les partenaires concernés.
Pour une newsletter, c'est aussi l'application d'une recommandation déjà ancienne : incluez toujours un lien de désabonnement dans vos lettres d'information.
Les (nouveaux) droits des utilisateurs
Le RGPD donne un cadre juridique aux droits des utilisateurs :
- Le droit d'accès : en général, il est déjà respecté. Il est très rare, quand on est inscrit sur un site, de ne pas pouvoir mettre à jour son "profil". Mais il faut veiller à ce que toutes les données soient présentes et modifiables. Attention aussi si vous modifiez le profil d'un utilisateur, vous devrez l'en informer.
- Le droit à la portabilité : il s'agit ici d'une nouveauté. Après le 25 mai, les utilisateurs auront le droit de "récupérer" leurs données, dans un format utilisable (ne nécessitant pas un logiciel spécial ou coûteux pour le consulter) et sous forme non chiffrée. Ils pourront par exemple reprendre toutes les données qu'il ont fournies à une plate-forme pour les confier à une autre.
- Le droit à la rectification : si des données sont inexactes, l'utilisateur a le droit d'exiger leur correction dans le délai le plus court possible, et de toutes façons endéans 30 jours maximum.
- Le droit à l'oubli : s'il le souhaite, l'utilisateur peut demander que ses données soient entièrement supprimées sur la plateforme qui les a collectées
Autres aspects à prendre en compte
Si votre collecte de données implique, ou peut impliquer, des enfants, sachez qu'en-dessous de l'âge de 16 ans, vous aurai besoin de l'accord parental. C'est la première fois qu'une mesure est prise en ce sens dans l'Union européenne. Et il ne suffira pas de mettre un menu déroulant permettant d'indiquer sa date de naissance : vous devrez être en mesure de vous assurer de l'âge réel des personnes qui vous laissent leur données. Pas simple donc.
Enfin, n'oubliez pas de prendre en compte la durée de conservation des données personnelles. Celle-ci doit être communiquée aux personnes concernées et être également légitime, c'est-à-dire en accord avec le but annoncé pour leur utilisation. Il est normal de conserver les données personnelles de vos collaborateurs tant qu'ils sont employés chez vous (et sans doute même quelques années après leur départ) car vous en avez besoin pour accomplir toutes sortes de formalités les concernant. De même, pour des raisons fiscales, vous devrez en général conserver 10 ans les informations de facturation d'un client. Mais pourquoi conserver des années les données d'une personne ayant simplement rempli votre formulaire de contact. S'il est devenu client, tant mieux, vous pourrez conserver ses données, sinon, proposez-lui de s'abonner à votre lettre d'information (ne l'abonnez pas d'office !) et s'il ne donne pas de suite à cette proposition, effacez-le de votre base de données. De toutes manières, comme il s'agit d'un prospect obtenu avant la nouvelle législation, il ne vous a pas donné son consentement pour conserver ses informations.
Par où commencer ?
Bien qu'elle ait une portée avant tout éthique, le RGPD a beaucoup d'implications techniques et pratiques. Il est donc important de s'organiser. En France, la CNIL a publié un document détaillant le processus en 6 étapes.
Désigner un "pilote"
Pour un organisme public ou une organisation traitant des données personnelles sensibles ou à grande échelle, c'est une obligation mais, même si c'est fait de manière plus informelle, c'est également utile pour une petite organisation, dès lors qu'il y a plusieurs collaborateurs impliqués. De cette façon, une seule personne est chargée de coordonner les actions et de centraliser les informations.
Cartographier les données
Un bon point de départ consiste à faire un inventaire complet et détaillé des données en votre possession. La tenue d'un registre des traitements mis en œuvre est d'ailleurs obligatoire. Posez-vous les bonnes questions pour effectuer cet inventaire :
- Quels types de données possédez-vous : une liste d'emails pour une newsletter, les nom et adresse complètes des membres de votre association, les informations bancaires des clients de votre boutique en ligne, … ?
- Où se trouvent-elles : dans une ou plusieurs tables de votre base de données, votre CRM, votre ordinateur portable, ... ?
- Sous quelle forme se trouvent-elles : en clair ou chiffrées ?
- Qui y a accès : un administrateur, plusieurs collaborateurs, un prestataire extérieur ?
- Comment les avez-vous obtenues : liste d'emailing "légitime" (inscription en double-opt-in, nettoyage des rebonds, liens de désabonnement dans tous les envois) ou "pirate" (liste achetée sur Internet, adresses collectées via les demandes de contact ou les commentaires,…) ?
- Quels types d'information contiennent ces données : des données "classiques" (nom, email,…) ou "sensibles" (numéro de sécurité sociale, données médicales, données financières,…) ?
Évaluer vos données
Maintenant que vous avez une idée claire des informations en votre possession, posez-vous les questions suivantes :
- Ai-je vraiment besoin de toutes ces informations ? Si vous envoyez toujours une lettre d'information de façon anonyme, pourquoi demander (et conserver) aussi le nom de la personne. De toutes manières, c'est rarement utilisable. Faites le ménage et effacez toutes ces données inutiles.
- Ces données sont-elles toujours valides ? Si vous respectez les bonnes pratiques en matière d'emailing, vous avez mis en place un système de traitement des "rebonds" (les emails qui vous sont renvoyés pour différentes raisons). Une extension professionnelle comme Acymailing Enterprise fait ça très bien de manière automatique. Votre liste est donc propre et à jour. Si ce n'est pas le cas, sachez qu'après 6 mois, environ 5% des adresses email seront devenues obsolètes. Si vous en conservez certaines depuis des années, sans avoir effectué d'envoi, il y a de fortes chances qu'elles soient périmées.
- Ces données ont-elles une valeur ? C'est aussi une recommandation des spécialistes en marketing et peut-être est-ce le moment de la mettre en œuvre : vous faites régulièrement des envois de newsletters et d'offres promotionnelles à votre liste et vous constatez que certains de vos abonnés n'y répondent jamais, ne cliquent jamais sur aucun lien, ne semblent même pas ouvrir les emails. Cela peut se comprendre pour quelques envois, mais après 6 mois ou un an d'envois réguliers, pourquoi conserver ces abonnés qui ne sont pas intéressés par vos produits ou services ?
Mettez à jour vos mentions légales
Il est temps de réviser vos mentions d'informations pour qu'elles soient conformes au RGPD. Mettez également en place les procédures qui permettront aux personnes concernées d'exercer les droits mentionnés plus haut. Attention, le règlement fixe un délai de 30 jours maximum pour le traitement des demandes, avec une seule possibilité de prolongement à un mois supplémentaire en cas de demandes nombreuses ou complexes.
Mettez en place les mesures de protection
Assurez-vous d'abord de savoir où sont conservées les données concernées, puis protégez-en l'accès contre les intrusions externes (pirates) mais aussi éventuellement internes (collaborateur non autorisé). Enfin, si les données sont traitées par des prestataires extérieurs (et leurs éventuels sous-traitants), assurez-vous qu'ils sont bien en conformité avec la réglementation et prévoyez un contrat explicite avec vos propres sous-traitants.
Enfin, n'oubliez pas d'informer correctement tous vos collaborateurs afin que les procédures de sécurité soient respectées, aujourd'hui et sur le long terme.
Documentez vos mesures
Pour être, et rester, en conformité avec le RGPD, vous devez documenter toutes les mesures et procédures que vous avez mises en place, les réviser et les mettre à jour régulièrement pour tenir compte des modifications éventuelles dans le type de données collectées, l'identité des sous-traitants, les mesures de sécurité mises en place, la marche à suivre en cas de violation des données, ...
Conclusion
Il y a probablement encore beaucoup à dire sur le sujet mais nous pensons vous avoir brossé le plus gros du tableau. Il est certain que pour beaucoup d'organisations il s'agira (si ce n'est pas encore fait) d'une tâche compliquée et éventuellement coûteuse à accomplir mais pour d'autres, ce sera plutôt l'occasion d'adopter de bonnes habitudes en matière de communication. Au-delà de l'aspect contraignant qu'il peut avoir dans l'immédiat, il faut voir avant tout ce nouveau réglement comme une mesure de responsabilisation collective de la gestion de nos données personnelles. Des vols massifs d'informations parfois sensibles ont eu lieu ces dernières années et il est temps que certains opérateurs soient mis face à leurs responsabilités dans de telles situations.
Pour les organisations plus modestes, des solutions techniques existent, pour Joomla! et les autres CMS, et nous sommes à votre disposition pour les aider à les mettre en conformité.
Laissez-nous vos commentaires ou questions sur la Page Facebook de Better Web.
Pour recevoir automatiquement nos nouveaux articles, abonnez-vous à notre lettre d'information.
- La CNIL - Commission nationale de l'Informatique et des Libertés - https://www.cnil.fr
- La CPVP - Commission pour la protection de la Vie privée - https://www.privacycommission.be
- Le site officiel du RGPD (en anglais) : https://www.eugdpr.org/