Formulaires, cookies, boutons de partage : les internautes transmettent des données à chaque étape de leur navigation sur un site web. Comment collecter et conserver ces données en conformité avec le RGPD ? 5 conseils pratiques et concrets pour un site web en conformité avec le RGPD.
Le RGPD prévoit notamment que le traitement des données doit être licite, loyal, exact, transparent, limité dans ses finalités, limité dans la durée, intègre et confidentiel. À défaut, le responsable du traitement pourra voir sa responsabilité engagée dans des proportions sans précédent pour la matière (jusqu’a 4% du chiffre d’affaires mondial annuel). Mettre en place une stratégie efficace d’adaptation des pratiques pour se mettre en conformité avec le RGPD est donc essentiel.
1- Assurer les droits des personnes concernées en conformité avec le RGPD
Le responsable du traitement doit informer d’une manière extrêmement précise l’identité du responsable du fichier, la finalité du fichier, le caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse, les destinataires des données, leurs droits. Le responsable devra aussi s’assurer recueillir un consentement libre, éclairé et non univoque des personnes qui transmettent leurs données. Ainsi il faudra prévoir une case à cocher ou une signature manuelle, mais en aucun cas un acte négatif tel qu’une case à décocher, l’écoulement d’un délai, ou le défilement entier de la page.
Par ailleurs, il faut informer les personnes concernées par le traitement à chaque fois que leurs données ne suit pas un cours normal. Par exemple il faut délivrer une telle information lors d’un transfert en dehors de l’Union européenne.
En outre, les personnes concernées ont un droit d’opposition à la collecte de leurs données, un droit d’accès, un droit de rectification et parfois un droit de déréférencement (ou droit à l’oubli). En conformité avec le RGPD, tous ces droits doivent pouvoir être exercés dans de bonnes conditions par l’instauration d’outils sur les plateformes, de manière lisible et motivée en cas de refus, car ce sera cet acte qui servira de base s’il devait exister un contentieux.
2- La finalité du fichier
Avant de collecter des données, le responsable du traitement doit recueillir le consentement de la personne intéressé. Pour les mineurs, il faut obtenir le consentement du représentant légal.
Les utilisations possibles de ces données doivent être prévues, compréhensibles et en accord avec les objectifs poursuivis. Il serait par exemple inconcevable de collecter des données sur l’état de santé d’une personne pour tenter de lui vendre par la suite du shampoing.
3- La minimisation de la collecte conforme au RGPD
Il ne faut pas collecter plus de données que celles qui sont nécessaires à la finalité du traitement. Cette minimisation est d’autant plus importante lorsque la collecte concerne des données sensibles. Cet équilibre peut être difficile à prévoir et nécessitera de se poser des questions affinées.
Par exemple :
– Quelles données me sont vraiment nécessaires ? Est-ce que je peux faire mieux ou pareil, avec moins de données ?
– Est-ce que je craindrais devoir admettre à la personne concernée que je détiens ces informations sur elle ?
– Est-il utile de recourir à un traitement automatisé plutôt qu’à une collecte manuscrite des données ?
4- La durée de vie des données
Conformément au RGPD, les données doivent être supprimées lorsqu’elles ne servent plus à atteindre l’objectif poursuivi ou en raison de leur nature même. Il n’est pas aisé de savoir exactement combien de temps il est possible de conserver les données. Il faut mentionner la durée de conservation au moment de la collecte des données. Le mieux à faire est de s’interroger sur la durée minimale de conservation selon les obligations légales et le risque contentieux, puis de s’interroger sur la durée maximale. La durée maximale de conservation doit respecter le principe de minimisation de la collecte. Ainsi elle doit être supprimée dès lors qu’elle n’est plus nécessaire pour remplir son objectif,.
Les autorités feront du cas par cas, et rien ne remplacera l’expérience dans ce domaine pour déterminer une durée de vie des données la plus ample possible sans devenir illicite. Toutefois, le caractère plus ou moins sensible des données est déjà un bon indicateur dont il faudra prendre compte.
5- Sécuriser les données en conformité avec le RGPD
Il faut protéger les données des utilisateurs lors de la collecte puis pendant toute la vie du traitement. A cette fin, il faut mettre en place trois logiques : la prévention, la sécurisation et l’alerte.
La prévention consiste à mettre en place une analyse fondée sur les risques encourus par chaque traitement. Il faut aussi prévoir les mesures de sécurisation à apporter. Il faut faire une analyse d’impact cartographiant les traitements. Cette analyse d’impact doit prévoir le nombre de traitements, les droits concernés pour chaque personne, la sensibilité des données, les hypothèses d’atteintes aux données (fuite des données, modification non voulue, ou même disparition) ainsi que la gravité potentielle de ces atteintes.
La sécurisation en conformité avec le RGPD, ce sont toutes les réponses apportées à l’analyse des risques encourues par les données. Il faut donc veiller à minimiser les données conformément au principe de minimisation de la collecte. Il faut chiffrer grâce à des algorithmes de chiffrement et utiliser des protocoles spécialisés, anonymiser, sauvegarder régulièrement les données, en tracer l’activité, et gérer les violations. Surtout il ne faut pas perdre de vue de restreindre les accès et gérer les tiers. Les entreprises ont trop souvent tendance à laisser l’accès aux dossiers facilement. Un climat de confiance est nécessaire, ou à défaut une politique de sanctions dissuasives en cas de non-respect de la confidentialité. Enfin, il faut lutter contre les codes malveillants en réduisant la vulnérabilité des matériels, logiciels, réseaux et documents papier en tenant les technologies régulièrement à jour.
L’alerte aux autorités de contrôle intervient lorsque les deux premières logiques n’ont pas été respectées. Pour ne pas mettre en jeu la réputation de son entreprise, il faut prendre des mesures en amont. En cas d’alerte, il faut affiner ces mesures. Par exemple Sony a perdu de nombreux clients lors du piratage du Playstation Network en 2011. Cela a conduit à de lourdes pertes financières (plusieurs milliards de dollars). Par ailleurs, un grand nombre d’actions en justice ont été engagées contre la firme.
