Les collectivités qui ont entendu parler du RGPD se demandent sans doute quelles implications celui-ci aura sur leur site internet… voire de quoi il en retourne. C’est qu’il s’agit d’un gros morceau, assez indigeste il faut bien l’avouer.

Un petit point s’impose.

Disons tout de suite que les informations que nous donnons ici émanent de notre propre analyse des documents disponibles en avril 2018 et ne constituent en aucun cas un guide à suivre. Nous vous invitons vivement à vous documenter sur le RGPD et à établir vos propres conclusions.

Qu’est-ce donc que le RGPD ?

Le règlement général de l’Union européenne sur la protection des données (ci après « RGPD »), s’appliquera à tout organisme européen collectant et gérant des données personnelles à compter du 25 mai 2018, date à laquelle il remplacera toutes lois ou directives antérieures adoptées par les pays membres. Le RGPD imposera de nouvelles règles en matière de protection des donnés personnelles et instaure des sanctions financières lourdes en cas de non respect et/ou de faute grave.

Quels sont les principes que le RGPD impose aux éditeurs des sites internet qui récoltent des données personnelles ?

Les nouvelles règles imposées par le RGPD obéissent aux 3 principes suivants :

  1. Tout enregistrement et/ou traitement de données personnelles doit obtenir l’accord explicite et sans équivoque de leur propriétaire et les organismes qui utilisent ces données doivent pouvoir en fournir la preuve ;
  2. Tout individu doit pouvoir obtenir copie de l’intégralité des données qui le concerne, leur modification ou leur effacement sur simple demande, ou avoir accès à des outils lui permettant de procéder à ces opérations lui-même ;
  3. Les éditeurs de sites récoltant des données personnelles doivent mettre en place des mesures spécifiques visant à sécuriser la protection et l’accès aux données, et doivent pouvoir en fournir la preuve.

Précisons que l’interprétation du terme “donnée personnelle” est large puisque le nom, le prénom ou l’adresse email d’un individu rentrent dans la définition du RGPD. Cependant, une distinction est faîte entre données personnelles “non-sensibles” (identité, coordonnées…) et “sensibles” (informations lié à la santé, à l’appartenance politique, à la religion…).

Les responsabilités établies par le RGPD

Le RGPD rend responsables en premier lieu les éditeurs des sites internet récoltant des données personnelles mais également leurs prestataires dans la mesure où leurs missions touchent directement ou indirectement à l’hébergement ou la gestion des données personnelles.

Les types de données personnelles saisies via les sites Commu’net de nos clients

Par défaut, le formulaire de contact proposé avec Commu’net enregistre les nom, prénom et adresse email des demandeurs. Par ailleurs, selon les modules installés d’autres informations personnelles peuvent être enregistrées : adresse, téléphone, genre… A priori, aucune donnée sensible n’est toutefois collectée.

En conclusion…

Le RGPD impose de nouvelles règles dans la gestion des données personnelles et implique la mise en place de mesures, dont certaines lourdes. Conformément à nos engagements (lire la FAQ) celles-ci seront déployées sans surcoûts pour nos clients Commu’net. Elles s’accompagneront d’une sensibilisation de nos clients sur leurs responsabilités et les précautions à prendre.

Voici la liste (non-exhaustive) des mesures que nous mettons en place gratuitement pour nos clients Commu’net:

  • Modifier les mentions légales afin d’informer les visiteurs de la politique de confidentialité appliquée,
  • Modifier les formulaires de contact afin d’obtenir des utilisateurs leur consentement explicite et sans équivoque quant à la collecte de leur données,
  • Alerter nos clients sur la nécessité d’en faire de même pour chaque formulaire personnalisé (le cas échéant),
  • Alerter nos clients sur la nécessité de limiter l’accès et le traitement des données personnelles aux seules personnes nécessaires,
  • Sécuriser la saisie des données par l’installation d’une connexion sécurisée https,
  • Mise en place de routines automatiques en vue d’effacer les données au-delà d’une durée établie,
  • Alerter nos clients sur la nécessité de répondre favorablement à toute demande formulée par un individu d’accéder, modifier ou effacer ses données personnelles (en vérifiant son identité !),
  • blocage des tentatives de connexion frauduleuses,
  • Alerter nos clients sur la nécessité de sécuriser les mots de passe des administrateurs, et de les renouveler régulièrement,
  • Enregistrement intégral de l’activité des systèmes.

Commu’net sera donc dans les prochains jours parfaitement conforme au RGPD.

Pour en savoir plus…

La CNIL a publié un guide téléchargeable ici (PDF – 638 Ko)

CapCom, l’association des communicants publics a publié un point le 15 mai 2018 et un second le 20 septembre 2018, en rapport avec l’utilisations des fichiers et l’approche des élections municipales.

 

Catégories : Juridique