RGPD : mieux comprendre les enjeux pour mieux informer votre équipe municipale

Le RGPD est une loi européenne qui est entrée en vigueur le 25 mai 2018. Elle vise à mieux informer l’internaute sur les collectes de données et ses droits par rapport à celles-ci.  Obligatoires pour votre site web, quelles sont les modalités de la loi RGPD ?

Loi RGPD : qu’est-ce que c’est ?

Le RGPD ou Règlement Général sur la Protection des Données est un texte de loi qui a été adopté par l’Assemblée européenne en avril 2016. Il s’agit d’un projet d’uniformisation au niveau européen de la protection des données à caractère personnel lorsqu’un internaute navigue sur le web.

Quels sont les objectifs de la loi RGPD ?

La loi RGPD distinguent 3 objectifs : le renforcement des droits du citoyen mineur et majeur ; la responsabilisation des acteurs de la collecte de données (entreprises et intermédiaires) et le renforcement du contrôle et l’application de sanction sur l’ensemble du territoire européen.

À qui s’adresse la loi RGPD ?

Le règlement général sur la protection des données concerne les entreprises ou institutions qui possèdent un site web et/ou sont présentes sur les réseaux sociaux et collectent des données sur les internautes. La collecte peut s’effectuer de différentes manières :

• Lors d’une commande sur un site de vente en ligne
• En remplissant un formulaire de contact
• En cliquant sur un lien publicitaire (Google Adwords, Facebook Ads, Linkedin Ads …)
• En naviguant sur le site internet d’une entreprise ou institution (cookies).

Concrètement, comment la loi s’applique-t-elle ?

Le texte de loi européen contient près de 200 articles détaillant la mise en application de RGPD. Koba Civique vous dresse la liste des principaux points à retenir.

Garantir de nouveaux droits aux internautes

La législation française comptait déjà parmi les plus pointues en matière de droits pour les surfeurs du web mais le RGPD va encore plus loin en proposant 3 nouvelles alternatives.

Ainsi, a été créé le droit à la portabilité des données. L’entreprise disposant des données de l’internaute doit pouvoir les lui transmettre et l’informer si elles ont été transférées à un autre organisme partenaire. L’internaute se voit également en droit de diffuser ces données à tout autre organisme sans restriction. Il est aussi précisé que le format du transfert doit être « structuré, couramment utilisé et lisible par machine ».

Ensuite, le RGPD met en avant le droit à l’oubli : chaque personne est en mesure de demander la suppression ou destruction des données la concernant.

Enfin, le droit sur la protection des données des mineurs de moins de 16 ans rend obligatoire l’accord d’un représentant légal pour la collecte des données des plus jeunes.

Mieux identifier les intervenant de la collecte de données personnelles

Souvent considérées comme floues par de nombreux surfeurs, les collectes de données doivent désormais faire l’objet d’une explication en détail sur le site web de l’organisme concerné. Chaque entreprise ou institution doit être en mesure de prouver que le traitement des données est conforme et sécurisé à tout instant. Ce dernier doit aussi être traçable afin de pouvoir faire acte de justification de la collecte jusqu’à la destruction en passant par le stockage ou le partage.

Dans un souci de clarté totale, la loi RGPD s’étend également à tous les sous-traitants d’une société ou organisme auquel les données sont transmises.

Demander l’autorisation de l’internaute pour collecter des données

Déjà en place sur la plupart des sites web français suite à la législation en vigueur avant le RGPD, les entreprises et institutions ont l’obligation de demander le consentement de l’internaute pour la collecte de ses données.
Pour ce faire, il faut obtenir une autorisation claire du visiteur et pouvoir le prouver en cas de contrôle.
Cela peut par exemple se traduire par un bouton indiquant à l’internaute qu’il est d’accord pour fournir ses données personnelles à l’organisme et il est possible d’ajouter un lien vers la page dédiée aux Données Personnelles.

Le Data Protection Officer

La loi RGPD encourage les entreprises et institutions d’ordre publique à employer un Data Protection Officer . Il s’agit d’une personne dont le travail consiste à gérer et mettre en œuvre la politique de traitement des données personnelles des internautes en respectant les législations en vigueur.

Le Data Protection Officer est obligatoire pour les 3 cas suivants :

• Les organismes publics
• Les organismes qui manipulent des données de niveau national et/ou international . Les grosses plateformes e-commerce ou les sites générant beaucoup de visites sont notamment concernés.
• Les organismes manipulant des données sensibles : santé, juridique …

Comment mettre en pratique la loi RGPD ?

Vous l’aurez compris, le RGPD s’applique donc à votre site institutionnel de mairie, communauté de communes ou autre. La mise en application de la loi se fait en créant une page spéciale pour les données personnelles.

Cette page doit contenir l’ensemble des informations de votre collecte de données :

• Quels types de traitement de données utilisez-vous? Il existe de nombreuses variantes : les cookies, le suivi analytique Google, les publicités cliquables, les formulaires de contact, les données lors d’une commande en ligne…
• Indiquez la finalité de votre collecte de données aux internautes. Il peut s’agir d’améliorer votre site web pour les actions de suivi Google ou les moyens de contact avec vos clients pour le formulaire de contact. Ce paragraphe doit également faire part de la durée de conservation des données, du transfert éventuel qui en est fait et des modalités d’exercice du droit des internautes à demander la suppression de celles-ci (via le compte personnel, par mail, par courrier …)
• Sécurisez la collecte de données personnelles grâce à des réflexes simples : changement de mots de passe régulièrement, mise à jour des antivirus et logiciels, chiffrement des données pour les institutions.

Pensez aussi à rendre facile les droits d’accès, de rectification, d’opposition, d’effacement, de portabilité et de limitation du traitement pour chaque internaute.

Quelles sont les sanctions en cas de non-respect du RGPD ?

Les plafonds de sanctions pour les organismes et entreprises n’étant pas conformes à la loi RGPD sont élevées. Une infraction peut donner lieu à des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Le montant retenu entre les deux situations est celui qui est le plus élevé.

Ne tardez donc plus pour vous rendre conforme !

N’oubliez pas que Koba Civique met à votre disposition un logiciel de travail 100% conforme à la loi RGPD : respect des réglementations européennes et françaises, hébergement web aux normes, personnel qualifié pour répondre à vos questions …
Contactez-nous pour en savoir plus sur nos services !