Nulle entreprise ne peut se passer de l’utilisation d’un site web pour sa visibilité. Toutefois, il importe de préciser de l’utilisation de site web contraint l’entrepreneur à assurer la protection des données personnelles collectées. Il doit ainsi être conforme avec le RGPD ou Règlement Général sur la Protection des Données. Comment faire pour mettre son site en conformité à ce cadre juridique de l’Union européenne ? Quelles sont les étapes à suivre ?
RGPD : Comprendre ces quatre lettres
Ces 4 lettres correspondent au Règlement Général sur la Protection des Données. C’est une législation de l’Union européenne mise en vigueur depuis le 25 mai 2018. Elle s’applique uniformément à tous les Etats membres. Elle impose des obligations sur la protection des données privées.
- Les principes fondamentaux du RGPD
L’article 5 du Règlement encadre les principes essentiels du RGDP. En d’autres termes, cet article précise les principes relatifs au traitement des données à caractère personnel. Ce sont notamment :
- Un traitement de manière licite, loyale et transparente à l’égard de la personne concernée ;
- Les finalités de l’opération doit être explicites, déterminées et légitimes. En conséquence, sont exclus les traitements de données à des « fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » ;
- Les données à caractère professionnel doivent être exactes et tenues à jour ;
- La conservation des données doit être faite sous une forme pouvant permettre l’identification des personnes concernées pendant une durée limitée ;
- Le traitement des données requiert l’obligation de sécurité et confidentialité. Cela suppose que des mesures doivent être mises en œuvre afin de protéger contre le traitement illicite ou contre la perte ou dégât d’origine accidentelle.
- Les droits des personnes concernées
Ces droits sont principalement prévus par le chapitre 3 du règlement. Ce sont notamment :
- Droit d’accès ;
- Droit de rectification ;
- Droit de suppression ;
- Droit d’opposition ;
- Droit à la portabilité ;
- Droit à la limitation du traitement ;
- Droit de définir le sort des données après la mort ;
- Droit de ne pas faire l’objet d’une décision automatisée.
Les étapes à suivre pour se mettre en conformité avec le RGPD
Selon la CNIL ou commission nationale de l’informatique et des libertés, il existe 6 étapes à suivre pour s’adapter au Règlement Général sur la Protection des Données. Quelles sont ces étapes ?
- Étape 1 : Nommer un délégué à la protection des données
Le délégué à la protection des données ou en encore DPO est, selon le droit européen, la personne en charge de la protection des données personnelles au sein d’une organisation. La désignation de DPO est en principe impérative, en l’occurrence pour les autorités publiques et les organismes publics.
La fonction ainsi que les missions du délégué à la protection des données sont prévues par les articles 38 et suivants du Règlement général sur la protection des données. Ainsi, d’une part, le DPO est tenu d’informer et de conseiller toutes les parties prenantes au traitement des données sur les obligations qui leur incombent et sur l’analyse d’impact relative à la protection des données. D’autre part, le délégué à la protection des données contrôle le respect du Règlement général sur la protection des données. Enfin, il coopère avec l’autorité de contrôle. Par ailleurs, il fait office de point de contact pour l’autorité de contrôle.
Le délégué à la protection des données exerce ses missions tout en étant soumis au secret professionnel ou à une obligation de confidentialité.
- Étape 2 : Recenser les traitements des données
Il convient d’établir, de manière précise, une cartographie des traitements de données à caractère personnel réalisés. Pour ce faire, les traitements de données personnelles réalisés en interne doivent être constatés dans un document appelé : registre des traitements. Ce dernier doit permettre au délégué à la protection des données de faire un bilan sur l’effet du règlement et pour la transparence du traitement.
Cette cartographie permet également de mesurer l’impact du règlement sur l’entreprise. Ainsi, dans le cadre de cette seconde étape, il convient de recenser les points suivants :
- Les différents traitements de données personnelles ;
- Les catégories de données personnelles traitées ;
- Les finalités des opérations de traitements de données ;
- Les personnes en charge du traitement de ces données ;
- Les flux en indiquant l’origine et la destination des données.
- Étape 3 : Définir les actions correctives
Les actions à mettre en œuvre dépendent principalement du niveau de risques sur les droits et libertés personnels. C’est la raison pour laquelle des mesures supplémentaires doivent être réalisées en cas de transfert de données hors de l’Union européenne.
Par ailleurs, les actions considérées comme prioritaires dépendent du registre des traitements.
- Étape 4 : Analyser les risques
Cette étape entraîne la réalisation d’une analyse d’impact relative à la protection des données. Cette analyse doit permettre d’établir des traitements de données respectueux de la vie privée. En effet, la finalité de la gestion des risques est d’établir une sécurité des données.
- Étape 5 : Établir des procédures internes
La mise en place d’une procédure interne de traitement des données permet de garantir une protection des données à caractère personnel. De ce fait, il est primordial que tous les collaborateurs aient les connaissances essentielles pour pouvoir faire face aux différentes réclamations des utilisateurs ou des risques sur leurs droits, en l’occurrence : le droit à l’accès aux données, le droit à la rectification des données.
- Étape 6 : Tenir une documentation
La documentation des traitements de données personnelles permet principalement de justifier la conformité de l’entreprise au règlement général de la protection des données. En conséquence, elle doit refléter les éléments suivants :
- Le registre des traitements ;
- Les analyses d’impact relatives à la protection des données ;
- L’encadrement des transferts de données hors de l’Union européenne ;
- L’information des personnes.