Qu’est-ce que le RGPD ?
Le RGPD, acronyme pour « Règlement Général de la Protection des Données« , a été adopté par le Parlement européen le 27 avril 2016. Son objectif principal est de réguler le traitement des données personnelles au sein des pays membres de l’Union européenne. Les données personnelles, englobant des informations telles que l’identité, le numéro de téléphone, l’image, ainsi que des éléments culturels, sociaux, et économiques, sont soumises à cette régulation. En France, la CNIL est chargée de superviser la mise en œuvre du RGPD.
Quelles sont les règles du RGPD ?
Le processus débute avec la collecte des données
Le recueil de consentement pour l’utilisation des cookies est impératif. Le « bandeau » ou la fenêtre pop-up dédiée à la configuration des cookies doit être accessible depuis toutes les pages du site internet, permettant à l’utilisateur de choisir les cookies à activer. Toutefois, les cookies essentiels au fonctionnement du site ne nécessitent pas l’approbation de l’utilisateur.
Les informations, souvent collectées via un outil de gestion des cookies (également appelé « Cookies Management Platform »), doivent être traitées par un membre de l’entreprise. Ces fichiers peuvent servir à mesurer l’audience du site, regrouper des éléments tels qu’un panier d’achats, la langue d’affichage, la géolocalisation, un identifiant de connexion, ou encore retracer le parcours de navigation.
Si des outils comme Google Analytics sont utilisés, il est essentiel de respecter le choix de l’utilisateur et de bloquer le script si nécessaire. Une page dédiée à la politique de confidentialité doit également être disponible sur le site, permettant aux utilisateurs de consulter les types de cookies utilisés et leurs finalités.
Les collaborateurs, sensibilisés aux enjeux de la protection des données, doivent tenir un registre détaillé, comprenant des fiches par activité recensée. Ce registre doit inclure le nom et les coordonnées du responsable, les personnes ayant accès aux données, la classification des personnes concernées et des informations utilisées, les mesures de sécurité mises en place, la transmission de données en dehors de l’UE, et la durée de conservation des informations.
Le RGPD et la classification des données personnelles
Il est essentiel de vérifier la pertinence des informations collectées par rapport aux besoins spécifiques. Par exemple, dans le cas d’une association sportive, l’orientation politique d’un individu n’est pas pertinente et ne doit pas faire partie des données collectées. Ceci doit être pris en compte lors de la mise en place de formulaires de contact, qui doivent également inclure un lien vers les conditions d’utilisation.
Certaines données personnelles sont plus sensibles que d’autres, notamment celles liées aux enfants, aux adolescents, et à leur santé. Ces données doivent être classifiées différemment et stockées de manière sécurisée. De même, les informations liées à l’état civil doivent être accessibles uniquement par le personnel autorisé.
La durée de conservation des données personnelles doit être définie, et cette information doit être communiquée à l’utilisateur via la politique de confidentialité. Un suivi régulier est essentiel pour respecter la période de conservation définie.
Le RGPD implique le respect des droits des utilisateurs
Dès que des données personnelles sont collectées, la personne doit être informée de manière transparente des conditions d’utilisation de ses informations. Cela sert également à rappeler l’importance du maintien d’un registre. Il est de la responsabilité de l’entreprise de permettre aux utilisateurs d’exercer leurs droits, tels que le droit de rectification, le droit d’effacement, le droit à la limitation, le droit à la portabilité, le droit d’opposition, et le droit d’accès.
La sécurisation des données personnelles
Cette étape implique la mise en place de mesures de sécurité adaptées au classement des données, allant de sensible à très sensible. Les risques potentiels comprennent l’accès non autorisé aux données, la modification non désirée d’informations, ou leur perte.
La mesure la plus fondamentale consiste à avoir des installations sécurisées, notamment des postes de travail avec des mots de passe forts et des antivirus. La mise en place de sauvegardes régulières est également cruciale pour récupérer les données en cas d’intrusion.
Vous souhaitez mettre votre site WordPress en conformité avec le RGPD ?
Ou vous avez des questions après une violation de données, n’hésitez pas à nous contacter.
