Depuis quelque temps, on entend énormément parler du GDPR (General data protection regulation) ou RGPD (Règlement général pour la protection des données). Mais de quoi s’agit-il exactement? En quoi cela peut-il vous concerner? Quelles actions devez-vous mettre en place?
Avant de poursuivre cet article qui, nous l’espérons, éclairera vos lanternes et vous donnera des pistes d’action, nous souhaitons préciser qu’il ne s’agit pas de conseil juridique. Bonheur en vrac n’est pas un cabinet d’avocats. Nous avons rassemblé dans cet article le fruit de nos recherches et de nos analyses dans le seul but de vous aider à y voir plus clair. Si vous souhaitez un avis juridique, adressez-vous à un juriste ou un avocat.
1. Quels sont les points-clés de GDPR?
Le GDPR a été établi par l’Union européenne dans le but de protéger les données à caractère personnel des individus au sein des pays membres. Il ne s’agit pas de mettre un terme à la collecte des données personnelles, mais plutôt de réguler leur utilisation et leur stockage.
Plusieurs points sont à retenir :
Qu’est-ce qu’une donnée personnelle?
Selon l’article 4.1 du texte de loi, une donnée à caractère personnel équivaut à «toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale». (Source : http://www.privacy-regulation.eu/fr/4.htm)
Ainsi, si vous demandez quel est le courriel, quels sont les loisirs ou encore quelle est la ville d’un utilisateur, il s’agit de données personnelles.
L’obtention du consentement
Ce que dit le texte de loi :
« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant […]. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, […] ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. » (Source : http://www.privacy-regulation.eu/fr/r32.htm)
Le texte de loi est précis : il s’agit de demander aux utilisateurs leur consentement de façon claire.
Informer les utilisateurs
La nouvelle réglementation demande aux entreprises d’informer les utilisateurs sur la façon dont leurs données seront traitées, utilisées et stockées.
Astuce : Pour intégrer une demande de consentement dans l’expérience de l’utilisateur, montrez-lui qu’il a tout à gagner à transmettre les données que vous lui demandez. En effet, vous pourrez ainsi l’informer sur les sujets qui l’intéressent. Ainsi, si vous avez affaire à une femme de 30 ans intéressée par les produits biologiques, vous ne lui enverrez pas de l’information sur des logiciels informatiques ou l’aviation. En procédant de cette façon, vous demandez le consentement, informez l’utilisateur et améliorez son expérience client.
2. C’est une loi européenne… pourquoi cela s’appliquerait à moi?
Si on en parle beaucoup ces dernières semaines, c’est parce qu’à partir du 25 mai 2018, le règlement est « obligatoire dans tous ses éléments et directement applicable dans tout État membre » (http://eur-lex.europa.eu/eli/reg/2016/679/oj/fra). Ce que le Canada n’est pas, me direz-vous.
Mais…
Peu importe l’origine de l’entreprise, si vous collectez n’importe quelle information de visiteurs provenant d’Europe, cela vous concerne et vous devez vous conformer. Cela s’applique même si vous ne récoltez pas les données dans le cadre d’une vente : le simple fait de publier des commentaires sur votre blogue (avec nom et courriel), d’utiliser Google Analytics, de demander un courriel pour s’abonner à votre infolettre… tout cela, c’est aussi de la collecte de données!
3. C’est une opportunité
Être transparent et montrer votre bonne foi sont importants pour la relation que vous créez et entretenez avec les visiteurs de votre site web. Le GDPR vous pousse à revoir vos pratiques, à les bonifier ou à les changer. Prenez donc cela comme une opportunité d’amélioration!
4. Que dois-je faire concrètement sur mon site web?
Selon ce que vous faites déjà, plusieurs actions peuvent être nécessaires :
- Mettez à jour votre page présentant votre politique de confidentialité ou de protection de la vie privée, ou vos Termes et conditions, pour être certain que vous répondez à tous les requis de la GDPR. Vous n’en avez pas? C’est le temps d’en avoir une!
- Si vous avez un site WordPress, une nouvelle option « Confidentialité » a été ajoutée dans les réglages. Vous pouvez désormais y indiquer la page sur laquelle est écrite votre politique de confidentialité. WordPress vous donne même des recommandations des éléments à inclure dans votre politique!
- Assurez-vous également, quand vous avez des formulaires d’adhésion à une liste d’abonnés, de placer un lien renvoyant vers ces politiques.
- Finalement, si vous collectez des données de n’importe quel type sur votre site web, installez un pop-up « durable », i.e. un pop-up qui reste affiché jusqu’à ce que la personne clique dessus. Celui-ci doit stipuler que vous utilisez des cookies sur votre site web pour en informer le visiteur. Placez-y également un lien menant vers votre politique de cookies. Ce pop-up peut être discret, dans un mince bandeau au bas ou au haut de votre site, par exemple.
Vous avez besoin d’aide pour faire ces quelques mises à jour? Notre équipe de professionnels du web se fera un plaisir de vous soutenir au niveau technique.
5. Et les abonnés actuels à ma liste?
Ah, c’est ici que cela se complique. Vous avez dû, comme nous, recevoir des tonnes de messages ces temps-ci concernant la conformité à GDPR, et aucun ne se ressemble. Alors, qui fait la bonne chose?
En théorie, ce qu’il faudrait faire, c’est demander à toute votre liste de se réabonner une fois que vous vous serez conformé au GDPR.
Évidemment, si vous faites cela, vous risquez de perdre de nombreux abonnés… De fait, la plupart des grandes compagnies que nous avons observées envoient un courriel à leur liste avec leurs nouvelles politiques de protection de vie privée et de cookies. Dans ce courriel, les utilisateurs ont la possibilité de se désabonner s’ils sont en désaccord avec ces nouvelles politiques.
Vous devriez toutefois déjà avoir en place ce mécanisme de désabonnement pour vous conformer à la loi C-28, en vigueur depuis longtemps déjà.
6. C’est pour durer!
Ces derniers mois, la population a pris plus que jamais conscience de l’importance de protéger ses données sur Internet – notamment suite au scandale Facebook-Cambrige Analytica. C’est pourquoi ce type de règlementation est là pour durer. Prenez donc le temps de mettre en place les actions nécessaires afin d’être conforme au GDPR.
Pour en savoir plus :
Texte de loi : http://www.privacy-regulation.eu/fr/index.htm