RGPD, cookies, CNIL... Quelles sont les normes à respecter ? - L'artisane

Depuis le 31 mars 2021, les nouvelles lois concernant le RGPD doivent obligatoirement être appliquées aux marques et prestataires. C’est en octobre 2020 que la CNIL (Commission Nationale de l’Informatique et des Libertés) a rédigé ces règles ayant pour principal objectif de recueillir le consentement des internautes lorsqu’ils visitent un site internet. Les éléments tels que les cookies ou les traceurs sont désormais mis en évidence. Mais que sont les RGPD et les cookies ? Quelles sont les nouvelles mesures RGPD et comment avertir ses visiteurs ?

Qu’est-ce que le RGPD ?

L’historique du RGPD

Le RGPD (Règlement Général sur la Protection des Données) est la loi sur la confidentialité et la sécurité la plus stricte au monde. Rédigé et adopté par l’UE (Union Européenne), il est entré en vigueur le 25 mai 2018. Il se base sur le droit à la vie privée mentionné dans la Convention européenne des droits de l’homme de 1950. Il y est décrit comme suit : « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ». Petit à petit, l’informatique a pris une place très importante dans la vie quotidienne de chacun. L’UE a donc décidé qu’il était temps de mettre en place un règlement protégeant les internautes et leurs données. En 1995, l’Union Européenne adopte alors la directive européenne sur la protection des données. Mais au fil des années, la publicité est devenu un élément omniprésent sur internet. C’est alors que le RGPD est entré en vigueur en 2016 avant d’être rendu obligatoire à toutes les institutions deux ans après.

A qui s’adresse le RGPD ?

Le RGPD s’adresse à toutes les institutions proposant des services et/ou produits à des personnes habitant dans l’Union Européenne. Qu’une société fasse partie ou non de l’UE, si elle traite des données personnelles provenant d’individus y résidant, elle est dans l’obligation de se conformer au RGPD. En cas de non respect, les amendes peuvent être très élevées : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. En plus de cette amendes, les victimes peuvent également demander des dommages et intérêts.

Quelques définitions…

Les données personnelles : ce sont les informations liées à un individu avec lesquelles il est possible de l’identifier, directement ou indirectement. Il s’agit par exemple du nom, de l’adresse mail, de la localisation, du sexe, de l’origine ethnique, des croyances religieuses, des opinions politiques, etc.
Le traitement des données : il s’agit de l’action effectuée, manuellement ou automatiquement, sur des données personnelles. Cela peut être une simple sauvegarde ou bien l’organisation de ces éléments.
Les cookies : ce sont de petits fichiers qui se greffent à votre ordinateur, smartphone ou tablette lorsque vous vous rendez sur un site internet en particulier. Le cookie publicitaire, par exemple, est capable de comprendre et de retenir vos habitudes (clics, produits ajoutés au panier, mots-clés recherchés, etc).

Quel est le nouveau RGPD de la CNIL ?

La CNIL a désormais pour principal objectif de suivre un fil rouge précis : informer les utilisateurs avant d’utiliser des cookies et leur permettre de personnaliser et refuser ces derniers. Ainsi, le recensement des données pour un but publicitaire doit s’effectuer uniquement sous le consentement de la personnes concernée. Jusqu’à maintenant, le RGPD n’était pas clair sur l’utilisation des cookies. Aujourd’hui, il stipule précisément la protection des données à travers ces derniers. La France va d’ailleurs devenir l’un des pays les plus stricts en matière de protection des données.

Comment s’adapter au RGPD mis en place ?

Contacter un professionnel

Les experts en droit du web et en protection des données sont de plus en plus nombreux. Si vous en avez une équipe sous la main, contactez-les afin d’être sûr de mettre en place les mesures nécessaires. Les agences web ont aussi la capacité de vous renseigner à ce sujet, notamment lorsqu’elles sont en charge de la création de votre site internet.

Protéger l’accès aux données selon le RGPD

Qu’elles soient recensées sur papier ou digitalisées, il est important de protéger ces données personnelles. Si elles sont présentes sur votre ordinateur, pensez à verrouiller votre écran avec un mot de passe lorsque vous quittez votre poste. Ce mot de passe doit être unique avec un minimum de 8 caractères, comprenant une majuscule, une minuscule et un chiffre par exemple. Il existe des générateurs de mot de passe, n’hésitez pas à les consulter. Pensez également à changer votre mot de passe deux fois par an. Il est aussi recommandé d’utiliser un antivirus de qualité et un système d’exploitation sûr. Si vous avez opté pour un format papier, il est indispensable de les abriter dans une armoire fermée à clé. N’hésitez pas à prévoir un clause de confidentialité lorsque des personnes tiers ont accès à ces données.

Collecter et transmettre les données nécessaires avec soin

La CNIL ne demande de collecter les données uniquement « adéquates, pertinentes et limitées ». Les données superflues ou celles dont vous n’avez plus besoin doivent être supprimées. Il existe un temps de conservation recommandé selon l’activité exercée. L’ordre des médecins, par exemple, recommande de garder les dossiers des patients pendant 20 ans après la consultation, puis de les détruire.

La transmission des données doivent s’effectuer de manière sécurisée. Vous devez donc utiliser une adresse mail cryptée et de hiérarchiser les personnes de votre entreprise selon la limitation de transmission des données.

Prouver le respect des règles RGPD

Vous avez pour obligation de tenir un registre des activités de traitement afin de recenser toutes les actions mises en place pour respecter le RGPD. Vous devez y indiquer vos changements de méthodes de protection des données, la date des changements de mots de passe, ou encore le but de la collection de données. Vous pouvez vous référer au modèle de registre de base proposé par la CNIL. Ce document est essentiel en cas de contrôle.

Adopter le principe de « Privacy by Design »

Le principe de « Privacy by Design », ou « Confidentialité par Conception » permet d’intégrer la confidentialité des données personnelles dès la conception d’un produit ou d’un service. Ainsi, lors de la création de votre site internet, l’agence web peut intégrer des mesures RGPD à celui-ci (page de politique de confidentialités, pop up de consentement concernant l’utilisation des cookies…).

Cookie	Durée	Description
Cookie Law Info - Nécessaires	1 year	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie «Nécessaire».
Cookie Law Info - Non nécessaires	1 year	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie «Non nécessaire».

Cookie	Durée	Description
Google Analytics	2 years	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données du visiteur, de la session, de la campagne et pour suivre l'utilisation du site pour le rapport d'analyse du site. Les cookies stockent des informations de manière anonyme et attribuent un numéro généré de manière aléatoire pour identifier les visiteurs uniques.
Google Analytics Data	1 day	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport d'analyse de la façon dont le site Web fonctionne. Les données collectées, y compris le nombre de visiteurs, la source d'où ils viennent et les pages consultées sous forme anonyme.