Tout savoir sur le RGPD (ou GDPR)

RGPD Règlement Général sur la Protection des Données

Écrit par Frédéric Schauffler

Frédéric est le fondateur de Nomad Click, un collectif de consultants qui aident les entreprises à développer leur revenu avec Google Ads.
Temps de lecture : 8 minutes

Mise à jour le 10 juin 2024 @ 10:23 pm

Dans la continuité de la loi informatique et libertés de 1978, le RGPD a été l’occasion de rétablir encore plus de confiance en imposant plus de transparence aux acteurs du numérique.

En effet, certains événements dans le passé ont ébranlé la confiance des utilisateurs auprès des acteurs numériques.

Nous pouvons citer le scandale de Cambridge Analytica.

Dans ce contexte, le RGPD a été une conséquence en partie des abus et dérives constatées ces 10 dernières années.

👉 Dans cet article, nous allons expliquer la loi RGPD et comment l’appliquer dans votre organisation.

 

1. Qu’est-ce que le RGPD ?

Dans cette section, nous allons donner une définition du RGPD et montrer qui sont les acteurs concernés par cette nouvelle réglementation.

 

1.1 Définition du RGPD

Le RGPD veut dire : le « Règlement Général sur la Protection des Données« .

Ou en anglais GDPR pour “General Data Protection Regulation”.

Ce nouveau règlement européen, entré en application le 25 mai 2018, est venu encadrer le traitement des données personnelles sur le territoire de l’Union Européenne (UE).

Cette nouvelle loi européenne a modifié les règles applicables aux entreprises et aux administrations qui gèrent des données personnelles.

👉 Sa fonction est d’encadrer la manière dont ces dernières vont utiliser les données personnelles de leurs utilisateurs.

 

1.2 Quels sont les objectifs du RGPD ?

Le RGPD harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels.

👉 Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Ses objectifs sont de :

  • Renforcer la protection de la vie privée des citoyens européens
  • Eviter tout accès non autorisé aux données personnelles
  • Se prévenir de toute manipulation non conforme aux données personnelles

 

1.3 Qui est concerné par le RGPD ?

Le RGPD s’adresse à tous les établissements privés ou publics basés dans un pays de l’union européenne.

Ce texte de loi concerne également toutes les autres entités qui collectent ou traitent des données des utilisateurs de résidents européens.

Ainsi les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) sont concernés par le RGPD.

Pour résumer, le RGPD est applicable à tout organisme, quelle que soit sa taille, à partir du moment où il traite des données personnelles d’utilisateurs européens.

👉 Cette notion est importante car elle englobe également les sous-traitants.

Que se passe-t-il avec les sous-traitants ?

En général, nous déléguons à des prestataire de service certaines activités :

  • Analyse web
  • Activité commerciale
  • Gestion clientèle (CRM)

Exemple :

Google avec son outil Google Analytics pour l’analyse web de votre site est un sous-traitant qui traite les données personnelles de vos utilisateurs.

👉 Dans ce cas, il faut vous assurer que votre prestataire de service respecte la réglementation du RGPD car il traite des données personnelles de résidents européens.

Le responsable du traitement des données de l’entreprise doit s’assurer que chaque sous-traitant (étranger ou européen) est en conformité avec le RGPD.

 

1.4 Le risque de ne pas respecter le RGPD ?

À partir du 25 mai 2018, les entités qui ne seront pas conformes au RGPD seront sanctionnées.

Elles devront payer 10 à 20 millions d’euros ou 2 à 4% de leur chiffre d’affaires mondial.

Elles pourront faire l’objet d’actions collectives.

👉 La CNIL ne sera plus la seule à pouvoir les mener.

 

2. Qu’est-ce qu’une donnée personnelle ?

Une donnée à caractère personnel (ou « donnée personnelle ») est le cœur de projet du RGPD.

Une donnée personnelle représente toute information qui permet d’identifier directement ou indirectement une personne.

Une personne morale telle qu’une société n’a pas de données personnelles.

👉 Nous parlons uniquement de personnes physiques avec le RGPD.

Il existe deux types d’identification :

  • identification directe (nom, prénom, adresse email…)
  • identification indirecte (activité sur le web, les habitudes de consommation, un numéro de sécurité sociale, des données sur la santé, un numéro de téléphone, une donnée biométrique, plusieurs éléments spécifiques propres à son identité …).

L’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée
    Exemple : numéro de sécurité sociale, ADN
  • à partir du croisement d’un ensemble de données
    Exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association

 

 

3. Qu’est-ce qu’un traitement de données personnelles ?

Un traitement de données personnelles désigne toute opération ou série d’opérations appliquées à des données personnelles, quel que soit le moyen utilisé.

Cela inclut:

  • la collecte
  • l’enregistrement
  • l’organisation
  • la conservation
  • la modification
  • l’utilisation
  • la consultation
  • le transfert
  • la diffusion
  • ou toute autre forme de mise à disposition

👉 Par exemple si vous collectez des informations d’un prospect via un questionnaire alors vous réalisez un traitement de données personnelles.

En revanche, un fichier contenant uniquement des coordonnées d’entreprises (par exemple, l’entreprise « Menuisier Montpellier » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « contact@menuisiermontpellier.fr ») n’est pas considéré comme un traitement de données personnelles.

Un traitement de données personnelles n’est pas obligatoirement informatisé.

👉 Les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

 

Principe de finalité

Un traitement de données doit avoir un objectif précis.

C’est-à-dire qu’il est interdit de collecter ou de traiter des données personnelles simplement au cas où elles pourraient être utiles un jour.

Chaque traitement de données doit être associé à une finalité.

Il doit être légale et légitime par rapport à votre activité professionnelle.

👉 Par exemple, vous collectez de nombreuses informations sur vos clients lorsque vous effectuez une livraison, éditez une facture ou proposez une carte de fidélité.

Toutes ces opérations sur ces données constituent un traitement de données personnelles ayant pour objectif la gestion de votre clientèle.

 

4. Qu’est-ce que le RGPD change pour les utilisateurs ?

Voici les 3 grands changements pour les utilisateurs.

 

4.1 Age du consentement

Le premier correspond à l’âge du consentement du mineur pour le traitement de ses données personnelles.

Concrètement le RGPD dit :

« Les États membres doivent décider d’une limite en dessous de laquelle le mineur doit avoir le consentement de ses parents. »

Par exemple, pour utiliser une plateforme de réseau social comme Facebook, l’utilisateur doit avoir plus de 15 ans.

👉 Au-dessus de 15 ans, le mineur peut consentir librement tout seul à avoir un compte

En dessous, le consentement des parents est obligatoire.

Cette réglementation s’applique également pour les autres réseaux sociaux tels que Tik Tok, Snapchat ou LinkedIn.

 

4.2 Portabilité des données

Le droit à la portabilité des données est la possibilité donnée aux utilisateurs de pouvoir récupérer toutes leurs données et les transférer à un autre service.

👉 Par exemple, un service d’e-mail doit donner la possibilité à ses utilisateurs de récupérer tous leurs messages, tous leurs emails et de les transférer à une autre entreprise pour utiliser son service.

 

4.3 Conditions d’utilisation

Les entreprises doivent avoir des conditions d’utilisation.

C’est-à-dire des règles qui encadrent la manière dont elles utilisent les données personnelles.

 

5. 4 actions à mettre en place pour être conforme avec le RGPD

Dans cette section, nous verrons les 4 actions principales à mener pour entamer et maintenir sa mise en conformité avec les règles de protection des données :

  1. Créer et entretenir un registre de vos traitements de données
  2. Devoir d’informations des utilisateurs
  3. Donner la possibilité facilement aux individus d’exercer leurs droits
  4. Sécurisation de vos données

 

5.1 Créer et entretenir un registre de vos traitements de données

Le registre permet d’avoir une vision d’ensemble de vos traitements de données.

👉 C’est le document que la CNIL va vouloir prendre connaissance lors d’un contrôle.

Ce registre de traitement peut être sous format Excel ou sous format Word.

Il doit répondre aux questions suivantes :

  • Qui sont les services/personnes concernées par ces traitements ?
    (le service RH, les statistiques de ventes, la gestion des clients et prospect)
  • Quelles sont les personnes qui peuvent accéder à ces données personnelles ?
  • Combien de temps doivent être conservées ces données ?
  • Quelles sont les mesures de sécurité qui sont mises en œuvre (pour notamment sécuriser les données personnelles) ?

La CNIL a créé une template pour vous aider à créer un registre de vos traitements de données :

https://www.cnil.fr/fr/RGPD-le-registre-des-activites-de-traitement

5.2 Devoir d’informations des utilisateurs

Les individus doivent conserver le contrôle des données les concernant.

👉 Cela implique qu’ils soient clairement informés de l’utilisation de leurs données dès leur collecte

Vous devez informer les utilisateurs qui visitent votre site web sur les données personnelles que vous collectez :

  • Données comportementales via les cookies à destination d’une campagne de remarketing
  • Données récoltées dans un formulaire pour envoyer un devis

Alors comment les informer ?

 

Bandeau de consentement des cookies

Si vous déposez des cookies soumis au consentement de l’internaute sur son navigateur, vous devez impérativement mettre en place un bandeau cookies en conformité avec les lignes directrices de la CNIL.

Il existe plusieurs CMP (ou Consent management platform) qui permettent de diffuser des bandeaux conformes à la CNIL.

Par ailleurs, certains s’intègrent facilement avec Google Tag Manager.

Voici des exemples :

  • Cookiebot
  • Onetrust
  • Usercentrics

Ce type de CMP permet de diffuser les boutons :

  • tout refuser
  • tout accepter
  • gérer les préférences

 

Les Mentions Légales

Les mentions légales doivent être à jour.

👉 Elles doivent respecter la réglementation.

Si vous mettez en place une newsletter, il faudra mettre une mention d’information qui dit que vous allez utiliser leur email pour pouvoir leur envoyer des actualités par rapport à un sujet spécifique.

 

Les Formulaires

Lorsque vous récoltez des informations dans un formulaire, vous devez préciser la raison (ou la finalité) de cette demande de données personnelles.

👉 Par exemple, pour un achat en ligne, vous avez besoin des données personnelles (nom, prénom, adresse…) pour traiter la commande.

Si vous réalisez un suivi avancé des conversions Google Ads, vous devez le préciser dans le formulaire.

 

Renvoyez vers une page de confidentialité

La politique de confidentialité va informer l’internaute de tous les traitements de données qui le concernent :

  • les mesures de sécurité mises en place
  • qui a accès aux données
  • etc.

Cette page vous permet d’éviter des mentions trop longues au niveau de vos formulaires ou d’un bandeau de sensibilisation.

👉 Ainsi vous pouvez renseigner dans vos formulaires les éléments les plus importants.

Et renvoyer vers la page de confidentialité (insérez la dans le footer de votre site web) pour détailler toute votre approche sur le traitement des données.

 

5.3 Donner la possibilité facilement aux individus d’exercer leurs droits

Les personnes dont vous traitez les données personnelles tels que vos clients, collaborateurs ou prestataires ont des droits sur leurs données :

  • droit d’accès
  • de rectification
  • d’opposition*
  • d’effacement
  • à la portabilité
  • et à la limitation du traitement

Vous devez leur fournir les moyens d’exercer effectivement leurs droits.

👉 Si vous disposez d’un site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée.

👉 Si vous proposez un compte en ligne, donnez à vos clients la possibilité d’exercer leurs droits directement depuis leur compte.

Mettez en place un processus interne garantissant l’identification et le traitement des demandes dans des délais courts (maximum d’un mois).

 

5.4 Sécurisation de vos données

Bien que le risque zéro n’existe pas en informatique, il est essentiel de prendre les mesures nécessaires pour sécuriser les données.

L’objectif est d’éviter les impacts négatifs potentiels aussi bien pour vos clients que pour votre entreprise.

Les mesures à prendre peuvent être de nature physique (protection du pc avec une clé USB) et informatique.

👉 Tout dépendra de la sensibilité des données que vous stockez.

Voici quelques conseils à adopter :

  • mettre à jour vos antivirus et logiciels
  • choisir des mots de passe sécurisés
  • chiffrer vos données dans certaines situations
  • et effectuer des sauvegardes régulières

👉 Une faille de sécurité vous rend responsable des données personnelles qui vous ont été confiées.

 

Exemple pour un site e-commerce

Au moment de passer la commande, vos clients vous communiquent leur adresse précise avec des informations sensibles tels que le digicode du bâtiment (nécessaire pour pouvoir réaliser la livraison de leur commande).

Imaginons que ces informations soient piratées.

👉 Elles peuvent être utilisées pour s’introduire frauduleusement au domicile de votre client.

Un risque réel pour vos clients qui pourraient se retourner contre vous.

 

6. Qu’est-ce que le Privacy by Design ?

Le Privacy by Design consiste à intégrer les considérations liées au RGPD dès la phase de conception.

👉 L’objectif est de déterminer le plus tôt possible la méthodologie pour le traitement et le stockage des données personnelles.

Cette approche implique de :

  • réfléchir à la nature des données à traiter
  • à leurs finalités et aux risques associés
  • puis de prendre les mesures nécessaires pour garantir la conformité au RGPD.

Il s’agit d’une méthode préventive fortement recommandée par le RGPD, permettant d’assurer la protection de la vie privée dès le début.

 

Conclusion sur le RGPD

Il est évident que se conformer au RGPD n’est pas seulement une question de légalité.

👉 C’est également offrir une expérience client qui respecte leur droit en tant qu’individu.

Voici une checklist proposée par la CNIl pour respecter la vie privée de vos utilisateurs ou clients :

https://www.cnil.fr/sites/cnil/files/atoms/files/check-list_rgpd_pour_les_tpe-pme.pdf

Merci d’avoir lu cet article jusqu’au bout !

Si vous avez des doutes, merci de poser vos questions dans l’espace commentaire ✍️

Et merci de partager cet article sur les réseaux sociaux 🚀

Sur ce, à bientôt.

 

Tu pourrais également aimer…

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Inscrivez-vous à la newsletter 📩

(comme plus de 620 personnes)

Recevez un email par mois sur les sujets chauds du moment sur Google Ads et les stratégies d’acquisition 🚀
Share This