7 exemples de mise en conformité RGPD
Vous avez sûrement entendu parler de ce nouveau règlement européen sur la protection des données. Toutes les entreprises opérantes en Europe doivent s’y conformer. Ici, voici quelques exemples concrets des impacts de la RGPD sur un site web.
Si vous n’avez pas encore lu l’article sur les détails du règlement sur les données, c’est ici :
#1. Les données doivent être collectées à des fins explicites et légitimes.
Dans le cas d’un formulaire d’inscription, il faut être clair sur la manière dont les données vont être utilisées et sur la légitimité de les récolter. Un site e-commerce n’a peut être pas besoin de connaître la date de naissance de ses clients.
Sans doute grâce au RGPD, de plus en plus de site communiquent précisément sur l’utilisation des cookies. Il est important que vous précisiez quelle est leur finalité. Vous devez obtenir le consentement des utilisateurs sur cet usage et offrir un moyen de le refuser. La Cnil donne un bon exemple de ce qu’il faut faire.
#2. Les données collectées doivent être limitées à ce qui est nécessaire.
Sur un site de vente, un utilisateur n’a pas à fournir son adresse postale s’il se fait livrer dans un point relais (exception faite à l’adresse de facturation).
#3. Les données collectées doivent être sécurisées.
Toute entreprise doit nommer un responsable du traitement qui doit s’assurer que ses sous-traitants sont conformes au RGPD. Par exemple, si elle utilise une solution peu sécurisée et que les données personnelles des utilisateurs fuitent alors la responsabilité sera partagée à parts égales entre l’entreprise et le sous-traitant.
#4. Les utilisateurs ont le droit à la portabilité de leurs données.
Le site doit fournir à l’utilisateur un moyen de télécharger ses données simplement.
Le réglement précise que le fichier téléchargé doit être dans un format structuré, couramment utilisé et lisible par machine.
#5. Les données sont traitées de manière licite.
Bien entendu, le règlement s’inscrit dans le cadre juridique habituel, notamment en ce qui concerne les mineurs.
Il faut savoir qu’il est interdit de traiter les données personnelles d’un enfant de moins de 13 ans. Et jusqu’à 16 ans si le site lui est directement adressé. Le traitement des données ne sera légal que si le consentement est accordé ou autorisé par le parent ou tuteur.
#6. Les utilisateurs ont le droit à la rectification ou à l’effacement de leurs données (droit à l’oubli).
Il s’agit tout simplement d’offrir à l’internaute un moyen aisé de modifier et supprimer une donnée ou effacer son compte. Il doit être aussi facile de fournir une donnée que de l’effacer.
#7. Les utilisateurs ont le droit de s’opposer au traitement de leurs données.
Vous devez laisser la liberté aux utilisateurs de s’opposer à ce que leurs données soient récoltées, traitées ou diffusées. Simplement par la possibilité de ne pas répondre lors d’une collecte non obligatoire de données. Également l’utilisateur doit pouvoir à tout moment contacter le responsable du traitement pour le notifier de son refus. La CNIL donne plus de détails ici.
Il y a beaucoup d’actions à mener qui relèvent du bon sens pour être en conformité, comme de laisser la possibilité de modifier une adresse email par exemple. Mais de nombreuses autres ne relèvent pas de règles précises, il ne s’agit pas d’une recette magique. Le RGPD relève finalement d’un état d’esprit et de bon sens moral.
Sources : Cnil, Les Echos, Lebigdata.fr, Exer.
Emeric Gatelier, UX Designer chez Napoleon Agency
