GDPR et site internet : quelles sont les bonnes pratiques ?
La GDPR, ou Règlement européen sur la protection des données personnelles en français, concerne principalement la gestion des données à caractère personnel par l'application de procédures liées à un cadre légal renforcé.
Le 25 mai 2018, entrera en vigueur cette nouvelle réglementation européenne donnant de nouvelles responsabilités aux entreprises en matière de collecte et de traitement des informations à caractère personnel, notamment de ses prospects et clients.
Qui doit respecter la GDPR ?
Toute société située dans un état membre de l'Union Européenne qui, dans le cadre de son activité, récolte et traite des données personnelles.
Quelles sont les données concernées par la GDPR ?
Toutes données à caractère personnel telles que l'adresse mail, le nom, le prénom, la plaque d'immatriculation, l'adresse IP, le login, l'âge, le sexe, …
Qu'implique la mise en place une politique GDPR ?
Transparence et information générale
Lorsque vous collectez des données personnelles, vous devez le faire dans un langage clair et compréhensible. Dans le cadre d'un site internet, toutes ces informations doivent se trouver dans un document appelé « charte de vie privée » ou « privacy statement ».
Consentement des personnes concernées
La personne doit donner expressément son consentement pour le traitement de ses données.
Contrôle de ses données
La personne dont les données personnelles sont recueillies a le droit d'y accéder, d'en demander la suppression ainsi que l'arrêt de leur diffusion. Elle peut également en demander une copie dans un format utilisable de tous.
Assurer la sécurité et la légalité du traitement des données
Il est nécessaire de mettre en place des mesures (techniques et organisationnelles) afin de sécuriser au maximum les données.
Tenir un registre
Pour les grandes entreprises, obligation de tenir un registre mentionnant qui a accès à quelles informations, dans quel but, à qui sont transférées ces données ainsi que les mesures de sécurité mises en place.
Nomination d'un Data Protection Officer
Le DPO sera la personne experte dans le domaine de la protection des données et qui veillera, au sein d’entreprises gérant une quantité importante de données personnelles, à ce que les données soient traitées de manière conforme à la réglementation. Il pourra s’agir d’une personne interne à l’entreprise ou d’un partenaire externe.
Obligation spéciale d’information en cas de violation des données
Le responsable du traitement des données doit informer l’autorité de contrôle (en Belgique c’est la Commission de la Protection de la Vie Privée) dans les 72h ainsi que les personnes concernées.
Quels sont les risques en cas de non-application de la GDPR ?
Des sanctions importantes sont prévues pour les entreprises ne respectant pas la GDPR. Le règlement prévoit des sanctions allant du simple avertissement à l'amende pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires pour les entreprises générant un chiffre d'affaires supérieur à cette limite.
Que peut vous apporter Synchrone concernant la GDPR de votre site internet ?
Votre agence joue un rôle important puisqu’elle a mis en place des outils vous permettant de traiter des données. Elle vous accompagnera et vous conseillera dans votre mise en conformité.
- En cartographiant votre site internet (qui a accès à quoi ? pourquoi ? où sont stockées ces données ? où vont-elles ?)
- En intégrant une « Charte de confidentialité de vos données » sur votre site et en obtenant le consentement d’utilisation des données de vos visiteurs via des « cookies ».
- En fournissant des solutions d'hébergement pour votre site dans un data center en Europe, respectant le GDPR.
- En vous remettant un devis pour la création de votre site Internet
Être proactif dans votre mise en conformité vous permettra de fluidifier les actions à mener. Vous pouvez vous faire aider par des spécialistes, tant sur le plan juridique que technique.
Contactez votre agence dès maintenant, nous nous ferons un plaisir de vous conseiller.