Si vous avez utilisé Internet au cours de ces derniers 18 mois, vous avez dû entendre parler des réglementations Européennes pour la protection des informations personnelles, mises en vigueur sous le joli nom de GDPR (General Data Protection Regulation).
Depuis son grand lancement, le 25 mai 2018, vous avez certainement reçu un tas d’e-mails avec le titre “Nous avons mis à jour notre Politique de confidentialité”, pendant que de nombreux sites vous proposent d’accepter ou non l’utilisation de cookies, avec différents niveaux de consentement.
Dans un paysage tout numérique, où les informations personnelles se vendent à prix d’or (des algorithmes vont jusqu’à déduire les préférences sexuelles ou politiques, pour cibler avec des messages publicitaires adaptés), cette réglementation a pour but de moderniser et uniformiser la juridiction. Ceci tout en donnant plus de contrôle aux utilisateurs sur le traitement et la protection des données à caractère personnel.
Mais que savent vraiment les utilisateurs sur ce qui se passe avec ces données ? Et comment peuvent-ils contrôler ce qu’ils veulent bien distribuer ou non ? C’est là que le GDPR intervient avec le plus gros changement législatif pour le respect de la vie privée depuis des dizaines d’années, et il va dans le sens de la valorisation et responsabilisation des personnes physiques.
“ A ce jour, la plus grosse amende pour le non-respect de la réglementation a atteint un montant de 205 million d’euros “
La règle s’applique pour toutes les compagnies qui collectent des informations sur des citoyens européens. Sur le web, cela concerne donc tout site accessible depuis un ordinateur en Europe, en bref, une grosse majorité du Web.
Une amende peut être envoyée pour le non-respect de la règle, et peut monter jusqu’à 4% du chiffre d’affaire annuel de la compagnie ciblée. A ce jour, la plus grosse amende a été payée par la compagnie British Airways pour un montant de 205 million d’euros, à cause d’une fuite des données de 500.000 utilisateurs, suite à une attaque informatique de leurs serveurs.
Pour vous assurer que votre site est en règle, voici la recette à suivre.
Les 4 règles à suivre pour votre site web
Le GDPR ne concerne pas que les informations numériques et automatisées. Il couvre toute forme de collection d’information, manuelle, papier, photographique ou vidéo.
Vu le penchant de l’agence Cherry Pulp pour le digital, je me concentrerai sur les implications qu’a eu la règle sur la création de sites webs.
La directive européenne s’articule autour de 4 principes clés :
1. Le consentement
Avant d’entamer toute collecte de données, le consentement doit explicitement être donné par l’utilisateur. Et celui-ci doit avoir accès à toutes les informations nécessaires à justifier son choix, telles que les finalités derrière un transfert d’information. En cas de contrôle, l’entreprise doit pouvoir justifier qu’une autorisation explicite lui a été donnée.
En pratique : avant toute navigation ou collection de cookies, le choix doit être donné à l’utilisateur de continuer avec ou sans cookies, avec éventuellement un choix dans le type de cookies acceptés. C’est pour cette raison que les boîtes de dialogue de cookies sont devenues plus intrusives récemment.
Le consentement implicite, du genre “En continuant la navigation sur ce site web, vous acceptez notre politique de confidentialité”, n’est plus acceptable.
Finalement, l’utilisateur doit pouvoir rectifier son choix à tout moment.
2. La transparence
L’entreprise doit être claire quant à ses intentions concernant les données traitées. Ces informations doivent être facilement accessibles et compréhensibles.
En pratique : une page “vie privée” doit décrire quelles informations sont enregistrées, et dans quel but. Cette page doit être accessible dès le premier écran, lorsque l’on demande au visiteur de consentir au traitement de ses données.
Lorsque qu’un service externe est installé sur le site, comme un sous-traitant publicitaire ou un système de tracking de statistiques, cela doit être clairement précisé.
3. Le droit des personnes
Une personne physique peut demander à consulter les informations détenues sur elle. En cas de demande d’accès de la part d’un utilisateur, l’entreprise disposera d’un délai d’un mois maximum pour la satisfaire. De façon similaire, le droit à l’oubli, permet aux personnes de demander la suppression complète des données conservées, l’entreprise dispose également d’un délai d’un mois pour s'exécuter. Il revient aux entreprises de garantir les droits des personnes par la mise en place de mesures, d’outils et de procédés appropriés.
En pratique : le service responsable du traitement des données de l’entreprise doit pouvoir exporter et supprimer les informations des personnes concernées. Selon la complexité de la plateforme, et la fréquence des demandes, des outils peuvent être mis en place.
4. La responsabilité
Toute entreprise faisant du traitement à caractère personnel doit garantir leur bonne sécurité (anonymisation, tests d’intrusion, analyse d’impact etc), et a l’obligation d’informer ses utilisateurs en cas de violation à la sécurité des données stockées.
En pratique : la sécurité est un facteur à ne jamais négliger lors de la création d’un site web. Depuis le GDPR, des manquements à la mise en place d’un système solide peuvent être punis par la loi informatique et peuvent entraîner des amendes en cas d’exposition de données sensibles.
Suivre ces règles ne nuit pas au succès du site web
Pour de nombreux sites web, la conservation de données personnelles ne fait pas partie du business model. Dans ces cas, se mettre en conformité à la règle ne devrait pas être une limitation à l’expérience de l’utilisateur.
Il faut également souligner que certaines informations peuvent toujours être utilisées sans le consentement explicite. On peut, par exemple, enregistrer un cookie pour retenir le choix de la langue du site, tant que cette information ne peut pas être liée à un utilisateur identifiable.
Depuis le lancement de la réglementation, les statistiques montrent que plus de 90% des utilisateurs acceptent l’utilisation de leurs données sans trop regarder, un peu comme pour les fameux Terms & Conditions que personne ne lit. Ce n’est bien sûr pas une raison d’ignorer la règle, mais cela veut dire que dans bien des cas, votre site web fonctionnera exactement de la même manière qu’avant sa mise en oeuvre.
Cherry Pulp vous accompagne
La mise en conformité à cette nouvelle réglementation européenne peut paraître une tâche ardue. Chez Cherry Pulp nous prenons la protection de la vie privée et la législation très au sérieux.
Nous travaillons sur des outils permettant à nos sites web de se conformer au nouveau règlement, tout en travaillant continuellement sur la sécurité des serveurs contenant des données personnelles. N’hésitez pas à prendre contact avec nous si vous avez des questions concernant le GDPR, ou si vous désirez mettre à jour votre site web.
Si vous avez des questions ou désirez mettre votre site à jour pour le GDPR, contactez-nous !
Contactez-nous