Suisse: le RGPD et mon site internet

Je suis propriétaire d’un site internet.

En quoi suis-je concerné par le RGPD?

Cet article ne remplace pas l’avis d’un professionnel du droit et n’engage pas la responsabilité de son auteur.

Le RGPD, c’est quoi?

 

Le Règlement Général sur la Protection des Données ou RGPD est le nouveau texte de référence Européen en matière de protection des données personnelles. Il s’applique à toute organisation traitant les données personnelles de citoyens européens, qu’elle soit établie ou non dans l’UE. Il vise à encadrer et protéger les données personnelles.

 

Adopté le 24 mai 2016, le RGPD est entré en application 2 ans plus tard, le 25 mai 2018 (art. 99 RGPD).

Les autres abréviations

En France, on parle de RGPD (Règlement général sur la protection des données)

 

En anglais, GDPR (General Data Protection Regulation)

 

En allemand, DSGVO (Datenschutz-Grundverordnung)

Qui est concerné?

Le RGPD s’applique à toutes les entreprises présentes dans l’Union européenne, les administrations et les associations, qui traitent des données à caractère personnel.

 

Le RGPD prévoit une application extraterritoriale, s’appliquant donc également à la Suisse, lorsque des données de personnes qui se trouvent sur le territoire de l’UE sont traitées, et que les activités de traitement sont liées soit à l’offre de biens ou de services à ces personnes dans l’UE (indépendamment de l’exigence d’un paiement), soit au suivi du comportement de ces personnes au sein de l’UE (profilage). Les données internes sont aussi concernées (liste d’employés…)

 

Qu’elle se situe dans l’Union européenne ou pas, toute entreprise est concernée, à partir du moment où elle adresse ses offres de biens et de services à des citoyens européens, ou à partir du moment ou elle utilise des méthodes de suivi et d’analyse du comportement de consommateurs européens.

Qu’est-ce qu’une donnée à caractère personnel?

Une donnée à caractère personnel concerne toutes les informations qui se rapportent à une personne physique identifiée ou identifiable:

  • nom
  • prénom
  • adresse
  • numéro de téléphone
  • e-mail
  • date de naissance
  • numéro de téléphone
  • IBAN
  • Adresse IP

 

Certaines données personnelles peuvent être à caractère sensible:

  • Opinion politique
  • Orientation sexuelle
  • Régime alimentaire lié à une religion
  • Situation médicale

Le règlement en bref

Obligation de notification

En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
En France, l’autorité de contrôle compétente est la Cnil. D’autre part, il est nécessaire également d’avertir les personnes dont les données ont été piratées, si la fuite peut engendrer un risque pour leurs droits et libertés (données sensibles).

Data Protection Officer – DPO

Désignation d’un délégué à la protection des données (Data Protection Officer – DPO) avec des tâches bien définies (conformité, documentation, reporting, liaison avec l’autorité de contrôle, analyses d’impact des traitements sur les données…) obligatoire pour :

  • les organismes publics
  • les organismes manipulant des données « à grande échelle »
  • les organismes qui manipulent des données sensibles (santé, juridique…)

Droit à la portabilité des données

Tout individu dont les données ont été collectées peut exiger de les récupérer dans un format structuré, couramment utilisé et lisible par une machine  et ceci en vue, par exemple, de pouvoir les transmettre à une autre entité de son choix.

Droit à l’effacement des données

Tout individu dont les données ont été collectées peut demander leur suppression. Cette demande devra être traitée « dans les meilleurs délais» et sous 1 mois maximum à compter de la réception de la demande (article 12)

Consentement explicite

Il est nécessaire de demander le consentement de manière explicite à l’internaute pour la collecte et/ou le traitement de ses données personnelles. Ceci est valable pour tous les services.

 

Et pour consulter le règlement dans son entier, c’est ici 🙂

Cookies

Avant de déposer ou lire un cookie il faut :

  • informer les internautes de la finalité des cookies
  • obtenir leur consentement
  • fournir aux internautes un moyen de les refuser.

Si l’internaute ne fait aucun choix (pas d’acceptation ou de refus des cookies), cette absence de choix doit être interprétée comme un refus.

La durée de validité de ce consentement est de 13 mois maximum.

 

Certains cookies sont cependant dispensés du recueil de ce consentement (https://www.cnil.fr/fr/cookies-comment-mettre-mon-site-web-en-conformite):

  • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
  • les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
    certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.

Newsletter

Le RGPD ne s’applique pas seulement aux données collectées après le 25 mai 2018, mais à toutes les données à caractère personnel, également celles qui auront été collectées avant.

 

Le double opt-in est obligatoire. La demande d’inscription doit être suivie d’un email de confirmation avec un lien de validation cliquable. Sans validation, l’inscription à la newsletter ne doit pas se faire.

 

L’opt-in, c’est quoi?

  • Opt-out actif : l’internaute doit agir volontairement, par exemple en cochant une case, pour ne pas être inscrit. S’il ne fait rien, il est inscrit par défaut.
  • Opt-out passif: l’internaute est automatiquement inscrit sans aucune intervention de sa part. La désinscription ne peut se faire qu’après l’inscription. L’accord de l’internaute est demandée à posteriori.
  • L’opt-in passif : une case était pré-cochée, l’internaute s’est inscrit peut-être sans s’en être rendu compte.
  • L’opt-in actif : l’internaute doit effectuer une action pour s’inscrire, comme remplir un formulaire d’inscription ou cocher une case lui-même.
  • Le double opt-in : l’internaute doit effectuer une action pour s’inscrire, comme remplir un formulaire d’inscription ou cocher une case lui-même. Puis il doit valider son inscription en cliquant sur un lien envoyé par e-mail, ceci pour être sûr que l’adresse e-mail est bien la sienne.

 

Il est nécessaire d’inclure un lien de désabonnement dans chaque newsletter où l’abonné peut :

  • Se désabonner de la newsletter
  • Demandé à être complètement supprimé de votre fichier d’adresses et ne plus recevoir aucune communication de votre part
  • Vous contacter

Quelles sanctions?

Les amendes en cas de violations peuvent s’élever jusqu’à EUR 10’000’000.- (ou dans le cas d’une entreprise jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu). Pour les violations les plus graves ou en cas de non-respect d’une injonction émise par l’autorité de contrôle (en vertu de l’art. 58 par. 2 RGPD), l’amende pourra s’élever jusqu’à EUR 20’000’000.- ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. D’autres sanctions sont

Les dommages sur la réputation de l’entreprise doivent aussi être pris en compte.

Je vous conseille, dans la mesure de vos possibilités, de tout mettre en oeuvre pour être en confirmité avec le RGPD.
Mais je pense qu’il ne faut pas paniquer. La sévérité des sanctions dépendra de nombreux critères. La nature, la gravité et la durée de la violation seront évalués. Le RGPD prévoit une progressivité des sanctions, en premier lieu un avertissement.

Quelle loi en Suisse?

La Loi sur la Protection des Données (LPD) est en cours de révision. Il semble qu’elle s’alignera sur le niveau de protection garanti par le règlement européen.

Pour en savoir plus

Document PDF très complet édité par le Préposé fédéral à la protection des données et à la transparence PFPDT “Le RGPD de l’UE et ses conséquences sur la Suisse

 

CNIL (France): Comprendre le règlement européen https://www.cnil.fr/fr/comprendre-le-reglement-europeen

 

CNIL (France): Règlement européen : se préparer en 6 étapes https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

 

Cours en ligne sur le RGPD proposé parla fédération romande des entreprises (Suisse)

 

Logiciel PIA (Privacy Impact Assessment) qui vise à faciliter la conduite et la formalisation d’analyses d’impact sur la protection des données (France):  https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

 

Un joli résumé de la Commision européenne: http://ec.europa.eu/justice/smedataprotect/index_fr.htm

Et pour mon site internet?

Lister toutes les extensions qui pourraient récolter ou traiter des données utilisateurs

Mettre en conformité tous les formulaires, demande de devis…

Mettre en conformité la/les demandes d’inscription à une/des newsletter(s)

Mettre en conformité la/les future(s) newsletters

Mettre en conformité les commentaires/avis sur des articles de blog, produits vendus en ligne dans le cas d’un e-shop WooCommerce

Cookies: informer les internautes de la finalité des cookies, obtenir leur consentement (la durée de validité de ce consentement est au maximum de 13 mois). L’internaute doit pouvoir également les refuser, dans ce cas ils ne devront pas être activés.

L’internaute doit pouvoir demander la suppression ou la modification de ses données personnelles.

Mettre WooCommerce en conformité.

Je vous recommande de prendre contact avec un avocat si votre entreprise est concernée par la nouvelle règlementation et que vous n’êtes pas encore au clair.

Je peux également vous proposer mon aide pour la mise en conformité de votre site WordPress.