RGPD Pour Freelance Et TPE

S’il est un sujet qui fait couler beaucoup d’encre ces derniers temps, c’est la mise en application de ce foutu RGPD. Comprenez par-là « Règlement Général pour la Protection des Données », connu aussi sous l’acronyme GDPR en anglais. Concrètement, c’est la réglementation européenne qui permettra à tout un chacun de contrôler et protéger ses données personnelles. Et à l’heure du scandale Facebook Cambridge Analytica, autant dire qu’elles sont devenues LE précieux que tout le monde s’arrache. Alors si évidemment les utilisateurs peuvent se frotter les mains, les entreprises elles, grincent un peu plus des dents. Au 25 mai 2018, tout professionnel tripatouillant des données personnelles devra être en conformité avec la Loi.

Seulement voilà, quand on est une TPE ou un travailleur indépendant, on ne sait pas forcément par quel bout commencer ! Puisque de toute façon on devait le faire pour nous, autant que ça serve à d’autres ! Diantre, on fait ça comment alors ?

Données et traitement, de quoi parle-t-on ?

Les données personnelles, c’est quoi au juste déjà ?

Une petite piqûre de rappel ne fait jamais de mal, revoyons déjà les basiques. Une donnée à caractère personnel est une information susceptible de permettre l’identification d’une personne, et ce directement ou non. Cela concerne donc logiquement toute information relative à l’état civil (nom, prénom, âge, date de naissance, photo…), mais pas seulement. Sont concernées également les données de contact (mail, téléphone, adresse…) et informatiques (adresse IP, identifiant de connexion, données comportementales…). Selon les entreprises, ces fameuses données peuvent être encore plus sensibles (numéro de sécurité sociale, empreinte, origine ethnique…). L’enjeu du RGPD est tout bonnement d’encadrer le traitement de ces données, de façon à mieux protéger les utilisateurs.

Et c’est quoi un traitement de données personnelles ?

C’est une notion plutôt vaste, qui regroupe toutes les actions portant sur lesdites données. La Loi entend par là : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation et communication notamment. Contrairement à ce qu’on pourrait penser, un traitement de données ne s’effectue pas seulement par voie numérique. Les données contenues dans des dossiers papier sont, elles aussi, soumises au RGPD.

J’y comprends rien au RGPD, c’est quoi ce truc ?

Quels sont les objectifs du Règlement Général pour la Protection des Données ?

Comme on l’a annoncé en introduction, le Règlement Général pour la Protection des Données est une mesure européenne. Rien que ça. En France, sa mise en application est gérée par la CNIL, la Commission Nationale de l’Informatique et des Libertés. Véritable garde-fou, cette structure accompagne tous les acteurs, qu’ils soient privés ou publics, dans leur mise en conformité. C’est elle aussi qui, en cas de pépin, viendra tirer les oreilles des récalcitrants ! Avec le RGPD, elle entend notamment renforcer les droits des utilisateurs, mais aussi responsabiliser les différents acteurs traitant les données. Concrètement, les professionnels devront respecter :

  • Une obligation de transparence et de traçabilité.
  • L’application des principes de protection des données dès la conception des produits, appelée aussi Privacy By Design.
  • Une obligation de garantir la sécurité des données.
  • Une obligation d’assistance, d’alerte et de conseil.

Qui est concerné par le RGPD ?

Eh bien, à l’exception des activités réalisées dans un cadre personnel, tout le monde ma bonne dame ! Si vous pensiez y échapper parce que vous êtes une petite entreprise ou un graphiste indépendant, vous allez être déçu… Car à moins de n’utiliser qu’un blog ou un site personnel et de vivre en orbite, c’est complètement râpé ! En réalité, quiconque tripatouillera des données personnelles de résidents de l’UE, pour son compte ou celui d’un client, est concerné. Cela vaut donc dès lors que votre entreprise est établie sur le territoire de l’UE OU si vos clients le sont. Si vous ET vos clients êtes localisés ailleurs qu’en Europe, ça ne veut pas dire qu’il n’existe aucune règle. Mais on traite un goulag administratif à la fois, hein !

La CNIL est quand même sympa. Les TPE, PME et freelance dont la collecte des données n’est pas le cœur de métier auront des contraintes allégées. Ce n’est en effet pas tant la taille de l’entreprise qui compte. C’est  bel et bien le volume de données traité ou leur degré de sensibilité. Malheureusement, à part un dossier destiné aux TPE, la CNIL reste assez vague sur le sujet… On abordera donc quelques actions concrètes à mettre en place dans la suite de cet article. En revanche, pour ceux qui mangent de la data au petit-déjeuner (webmarketeurs, e-commerçants…), cet article sera loin d’être suffisant. Dans ce cas, on vous invite à consulter notamment l’article publié par WP Marmite ou d’aller carrément à la source.

C’est quoi les risques mon capitaine ?

Bon. Clairement, ne pas jouer le jeu n’est pas sans risque. Visiblement, les sanctions pourront s’élever à 20 millions d’euros ou aller jusqu’à 4% du chiffre d’affaires annuel. Gloups. Et la pénalité retenue sera la plus avantageuse des deux ! Re-gloups. Ceci étant dit, on en a un peu ras les couettes de voir fleurir un marketing de la peur. Les sanctions ceci, les amendes cela… Beaucoup surfent sur cette nouvelle législation et la méconnaissance des personnes pour vendre des prestations parfois hors de prix.

Clairement, il faudra être en conformité avec le RGPD, c’est la Loi. Chaque structure concernée aura une obligation de rendre compte. C’est ce qu’on appelle aussi l’accountability. En somme, il faudra prouver par une documentation écrite que des actions concrètes et vérifiables sont mises en place. Mais dans un premier temps, selon l’envergure des chantiers à entreprendre, il faudra surtout montrer sa bonne foi. On imagine quand même mal une TPE écoper d’une amende administrative de 20 millions d’euros… Ça n’engage évidemment que nous ! Mais à moins d’utiliser des données à risque à mauvais escient… La CNIL se montrera sûrement indulgente !

Actions générales à mener quand on est freelance ou TPE

Et là, c’est le drame. Allez, on se détend, tout va bien se passer !

Cartographier ses traitements

En substance, cela revient à faire un état des lieux de vos pratiques. Concrètement, il faudra vous poser plusieurs questions et bien évidemment leur apporter des réponses.

  • Qui : le ou les responsables des traitements dans vos services, ainsi que les sous-traitants.
  • Quoi : les données traitées et leur degré de risque.
  • Pourquoi : les raisons pour lesquelles vous traitez des données.
  • Où : leur lieu de stockage.
  • Jusqu’à quand : leur durée de conservation.
  • Comment : les mesures de sécurité mises en œuvre pour minimiser les risques.

Tenir un registre

Le travail de cartographie préalablement effectué vous servira pour alimenter le registre. Ce document pourra être demandé par la CNIL en cas de contrôle. Comme la CNIL est sympa, elle a préparé un fichier modèle. Elle a même préparé un registre RGPD basique pour les entreprises de moins de 250 salariés. Ils sont tous les deux très moches, mais ils sont opérationnels. Il ne vous reste qu’à remplir et mettre à jour celui dont vous avez besoin pour chaque activité. Objectif, catégorie de données collectées, personnes ayant accès aux données en question, durée de conservation… Pas besoin d’y mentionner les traitements occasionnels (inauguration…), seulement les permanents.

Pour résumer, il faut tenir un registre si : vous tenez un fichier clients, collectez des coordonnées de prospects via un questionnaire, mettez à jour un fichier fournisseurs…

Il n’est pas nécessaire de tenir un registre si : vous tenez un fichier ne contenant que des coordonnées d’entreprises du type Compagnie Machin, adresse postale, téléphone du standard et mail générique. Dans ce cas, ça n’entre pas dans le cadre d’un traitement de données personnelles.

Nommer un DPO

Un quoi ? Le DPO, ou Data Protection Officer est la personne en charge de la protection des données dans les entreprises. Il doit informer son entreprise et les salariés et bien sûr veiller à l’application du RGPD. Dans le cas des organisations traitant des données à risque, il doit aussi conseiller sur une étude d’impact. Enfin, il est le point de contact privilégié entre la CNIL et son employeur. Un DPO est obligatoire pour les organismes publics, ou toute structure nécessitant une surveillance à grande échelle (banques, assurances…). Évidemment il l’est aussi dans les entreprises traitant des données sensibles (hôpital, site de rencontre…). Encore une fois, ce n’est donc pas la taille de l’entreprise qui prime. C’est bien le volume et le degré de sensibilité des données collectées !

Clairement il n’existe aucune limitation, toutes les entreprises peuvent désigner un DPO. Dans le cas des TPE, il convient donc de savoir si vous entrez ou non dans les champs obligatoires. Pour un travailleur indépendant, il convient a priori de déterminer un responsable du traitement des données, en l’occurrence le freelance en question !

Mettre ses listes en conformité

Selon votre activité et l’intensité de vos actions de communication, vous avez des listes d’abonnés plus ou moins fournies. Vous les pensiez acquises ad vitam aeternam, mais il n’en est rien. Que ce soit pour l’envoi de votre newsletter ou de vos offres commerciales, il va falloir redemander le consentement de vos utilisateurs. Ce n’est malheureusement pas une option, mais bien une obligation. Certes la manœuvre risque de faire un sacré écrémage. Mais après tout, c’est une façon comme une autre de faire une petite opération séduction pour raviver la flamme !

Notez que la personne en charge du traitement devra être en capacité de prouver qu’elle a bien obtenu le consentement de ses abonnés. Pour cela, vous devez impérativement vous assurer que les outils utilisés pour vos envois sont bien en conformité eux aussi. On vous rassure, les principaux opérateurs d’envoi (MailChimp, Mailjet, Sendinblue…) le sont, ou le seront !

Paramétrer Google Analytics

Si vous utilisez une solution du géant américain du type Google Analytics, vous devez impérativement paramétrer votre compte. Vous avez certainement dû recevoir un mail vous invitant à le faire. Si comme nous vous n’utilisez l’outil que de façon minime, la démarche n’est pas très compliquée. Accédez à votre compte, allez dans Administration > Suivi des données. Vous devrez notamment y spécifier leur durée de conservation et accepter la modification de leur traitement. Si vous utilisez d’autres produits Google, il faudra paramétrer chacun de vos comptes.

Actions concrètes à faire sur un site vitrine WordPress

Bon, là on parle de WordPress parce que c’est l’outil de création de site qu’on utilise. Mais sur les autres plateformes aussi, il faudra mettre les mains dans le cambouis !

Utiliser la version 4.9.6 de WordPress, puis la 4.9.7

Eh oui, car à partir de cette version, la plateforme WordPress intégrera des fonctionnalités conformes au RGPD dans sa version de base. D’après le calendrier des équipes bûchant là-dessus, tout n’y sera pas complètement, mais la version 4.9.7 comblera les manques. Ainsi, trois nouveaux outils seront disponibles directement dans le back-office.

Création de la page Politique de Confidentialité

Elle sera accessible dans Réglages > Confidentialité. Voilà qui devrait nous faciliter la tâche dans la création de cette page puisqu’un texte prêt à l’emploi y sera disponible. Il suffira de sélectionner les passages vous correspondant et, pourquoi pas, de changer un peu l’ordre des mots. Histoire d’éviter le duplicate content.

Parmi les obligations que les professionnels ont, celle d’informer est une des principales. Concrètement, vous devrez préciser clairement plusieurs informations :

  • Vos coordonnées ainsi que celles de l’éditeur du site en identifiant la personne physique ou morale responsable des données et de leur traitement.
  • Les coordonnées et modalités de contact de l’hébergeur.
  • Le type de données récoltées (nom, mail…), l’objectif associé (newsletter, paye, facturation…) et la durée de conservation. Par exemple, vous pouvez conserver des données marketing au maximum 3 ans ou 6 ans pour celles liées à la facturation des commandes.
  • La façon dont vos utilisateurs peuvent exercer leur droit de modification ou de suppression des données les concernant. Par exemple, directement depuis un compte client ou grâce à un mail dédié à cet usage. Sauf exception, le processus interne permettant le traitement de ces demandes ne doit pas excéder un mois.
  • Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données. Bon ça, c’est quand même la partie où le serpent se mord la queue. Il faut mettre en place des mesures précises et adéquates selon votre activité. Mais d’après nous, trop en dire, c’est aussi tendre le bâton pour se faire battre par d’éventuels pirates informatiques. Mieux vaut ici rester un minimum général et ne pas entrer non plus dans les détails !
  • S’engager à signaler à la CNIL et si besoin aux personnes concernées, tout incident dans les 72h.

Votre politique de confidentialité devra être accessible depuis l’ensemble des pages de votre site. Elle devra aussi l’être à chaque fois que vos clients ou utilisateurs seront amenés à partager leurs données avec vous. En gros, sur un formulaire de contact, sur une page de compte client, pour l’inscription à une newsletter… Comment mon capitaine ? Tout simplement grâce à une case à cocher. Ce faisant, vous demanderez à la personne de confirmer qu’elle a bien pris connaissance de votre politique de confidentialité. Pour éviter de faire des formulaires longs comme le bras et plus très pratiques, ajoutez un lien vers votre politique. La case à cocher ne devra évidemment pas être pré-cochée puisque c’est l’action de cocher qui vaut pour consentement ! Cette politique devra aussi être matérialisée sur vos contrats et conditions d’utilisation si vous en avez.

Export et suppression des données de vos utilisateurs

Ces fonctionnalités seront accessibles dans Outils > Export des données personnelles ou Outils > Suppression des données personnelles. Chaque administrateur pourra alors rechercher un utilisateur dans sa base de données, lui envoyer ses infos dans un fichier ZIP ou encore tout supprimer. Enfin, sauf l’utilisateur quand même !

Consentement des auteurs de commentaires

Eh oui, les commentaires publiés sur un site ou un blog sont eux aussi concernés ! Pourquoi ? Tout simplement parce que les personnes sont susceptibles d’y saisir des infos, notamment leur mail et leur pseudo. De fait, ils doivent être informés que ces données vont être collectées. Dès lors, les utilisateurs auront accès à une case à cocher supplémentaire, avant de publier leur commentaire. Après, libre à vous aussi de supprimer la possibilité de commenter. C’est un peu radical, mais c’est bigrement efficace

Soumettre des formulaires conformes

Un formulaire de contact, l’inscription à une newsletter, le téléchargement d’un livre blanc sont autant de formulaires qu’il faudra retravailler pour être RGPD friendly. Vous serez donc dans l’obligation de :

  • Ajouter une case à cocher indiquant que l’utilisateur consent à partager ses données avec vous. Par exemple, « J’autorise le Studio La Baignoire à enregistrer mes données« .
  • Spécifier la raison de la collecte. Par exemple, « Saisissez votre mail pour recevoir notre newsletter« .
  • Proposer à vos utilisateurs de se désabonner de vos listes et d’accéder à leurs données grâce à des liens.
  • Collecter les données à bon escient et selon un objectif spécifique. Révolu, le temps où vous glaniez tout et n’importe quoi auprès de vos utilisateurs pour dessiner leur profil type. Désormais, si votre formulaire a pour but l’inscription à la newsletter, vous ne pourrez demander que le mail. Éventuellement le prénom et le nom en champs facultatifs pour personnaliser vos envois. En aucun cas en revanche vous ne pourrez demander l’âge, le sexe, la ville ou la couleur du slip. Bah nan, car ça n’a aucun lien avec l’envoi d’une newsletter !
  • Privilégier le double opt-in pour une demande de consentement, même si pour l’heure, ce n’est visiblement pas une obligation. Désormais, l’opt-out et l’opt-in passif sont interdits, seule la méthode dite opt-in est valable. Pour info, l’opt-out consiste à inscrire directement une personne à une liste, lui laissant à charge de se désinscrire. L’opt-in passif consiste quant à lui à obtenir l’accord d’une personne de façon détournée, avec une case pré-cochée par exemple. L’opt-in consiste à laisser l’utilisateur donner librement son consentement par le biais d’une action positive. Vous l’aurez compris, le double opt-in permettrait donc de renforcer cet accord. Si on considère qu’une case peut tout à fait être cochée par erreur, se tromper deux fois de suite est improbable.

Préparer une nouvelle recette de cookies

La plupart des sites utilisent des cookies. Certains sont indispensables au bon fonctionnement du site, alors que d’autres permettent seulement d’améliorer l’expérience utilisateur. C’est évidemment de ceux-là dont on va parler ici. Jusqu’à présent, on se contentait d’un simple bandeau d’information qui avertissait les internautes de l’utilisation de cookies. Sauf que dans cette histoire, on ne demandait pas vraiment l’avis des utilisateurs. Et ça, c’est pas RGPD du tout ! Désormais, un plugin de cookie conforme au GDPR doit permettre de :

  • Fournir des informations claires sur le but des cookies.
  • Détenir une documentation complète de tous les consentements donnés.
  • Refuser l’utilisation des cookies, sans que cela ait un impact sur la visite du site en question.
  • Retirer un consentement quand l’utilisateur le souhaite.

Les propriétaires de site ont donc plusieurs choix. Arrêter d’utiliser des cookies, ou obtenir le consentement de leurs usagers. Et pour ça, il faut dégoter un plugin complètement conforme. Pour l’heure, on a trouvé un outil qui semble être parfaitement en conformité, le plugin Cookiebot. Mais son prix risque d’en faire passer plus d’un à côté… Du coup, on poursuit nos recherches et on vous tient au jus. On y verra sûrement plus clair à l’approche du 25 mai !

RGPD, le Règlement Galère Particulièrement Dense

Clairement, cette nouvelle réglementation va nous en faire chier des ronds de chapeau. La CNIL donne beaucoup de directions. Trop presque. Alors on a bien saisi les réflexes à adopter. Ne collecter que les données nécessaires, être transparent, penser aux droits des personnes, identifier les risques et sécuriser ses données. En revanche elle ne dit jamais vraiment quoi faire concrètement. Sauf peut-être dans cette vidéo illustrée. Et autant se le dire, ce truc reste un gros sac de nœuds pour nous.

À force de recherches, on a donc essayé de compiler des actions à mener pour les TPE et freelance. Loin de nous l’idée de prétendre que cet article est complet… On est même persuadé que ce n’est pas le cas, mais on ne manquera pas de le mettre à jour. On espère toutefois qu’il vous aura permis de bien déblayer le sujet et de mieux comprendre quoi faire…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *