Le RGPD et vous - Que faire rapidement sur votre site Drupal

Le RGPD et Drupal
Le Règlement Général pour la Protection des Données (RGPD) entre en vigueur le 25 mai 2018. Cette nouvelle loi apporte des solutions aux utilisateurs pour mieux gérer les données personnelles sur internet et oblige à être plus transparent sur la collecte et l’usage des données. Il est temps de mettre à jour son site internet pour se conformer au RGPD. Dans ce post, nous vous expliquons comment procéder à la mise en conformité de votre site internet au règlement.

Que prévoit le RGPD ?

Il n'est pas question de débattre ici sur l'opportunité et la finalité du réglement. Ce fameux RGPD veut initier un début de contrôle des données personnelles que nous semons, malgré nous, lors de nos vagabondages sur les réseaux.  Dans un souci d’harmonisation et d’unification de la législation dans l’Union Européenne, le RGPD couvre l’ensemble des résidents de l'Union Européenne. 

Est considérée comme une donnée à caractère personnel « toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » (article 2 du RGPD). Ainsi, quelque soit la donnée personnelle, sa collecte doit être fondée sur l’une des bases légales suivantes prévues par le RGPD :

  • L’intérêt vital de la personne ;
  • L’intérêt public ;
  • La nécessité contractuelle ;
  • Le respect d’obligations légales ;
  • Le consentement non ambigu de l’utilisateur ;
  • L’intérêt légitime du responsable de traitement.

Une seule des bases légales mentionnées ci-dessus suffit pour qualifier un traitement de données "personnelles". Par exemple, pour le cas le plus courant des sites collectant des données à des fins marketing, les bases légales pour justifier le traitement de données seront :

  • Le consentement non-ambigu de l’utilisateur : il faudra par exemple, mettre en place un bandeau clair avec les boutons « Accepter » « Refuser » pour laisser le libre choix à l’utilisateur sur la collecte ou non des données. En interne, la société doit garder un registre des consentements.
  • L’intérêt légitime du responsable de traitement : si le traitement de données à des fins commerciales est considéré comme un intérêt légitime, il ne faut pas oublier de mettre en place des mesures de sécurité pour réduire les risques liés à la vie privée des utilisateurs. Il convient d’informer clairement le visiteur notamment sur :
    • La finalité de la collecte : pour quelles raisons les données sont-elles recueillies ? dans quels objectifs ?
    • Les données collectées et leur traitement : quelle est la nature des données traitées et bénéficient-elles d’une protection dans le cadre du RGPD ?
    • La durée de conservation des données : pendant combien de temps sont conservées les données dans mon registre ? au bout de combien de temps je m’engage à détruire les données ?

D’une manière plus générale, l’internaute pourra contrôler l’utilisation faite des données et de son expérience utilisateur. Il peut se désinscrire facilement de la collecte de données avec des explications accessibles pour comprendre en quoi cela affectera son expérience utilisateur.

Ainsi, l’application du RGPD présente de nouvelles prérogatives pour les internautes avec par exemple :

  • Une meilleure protection de la vie privée des utilisateurs par l'expression d’un consentement express ;
  • La reconnaissance du droit à l’oubli pour obtenir la suppression des données personnelles en cas d’atteinte à la vie privée ;
  • La portabilité facilitée des données pour pouvoir passer d’un service à un autre sans contrainte ;
  • La possibilité de déclencher des actions de groupe en vue de faire cesser le traitement illicite de données.

Qui est concerné par cette loi ?

Sont concernées par le RGPD, toutes les entités manipulant des données personnelles européennes, incluant :

  • Le responsable du traitement des données personnelles à savoir « Toute personne physique, moral, l’autorité publique, le service ou un autre organisme, qui détermine les finalités et les moyen du traitement de données à caractère personnel » (article 4 du RGPD) » ;
  • Le sous-traitant des données personnelles à savoir « Toute personne physique, moral, l’autorité publique, le service ou un autre organisme qui traite les données à caractère personnel pour le compte d’un responsable de traitement » (article 4 du RGPD).

En somme, si vous disposez d’outils (notamment un site internet ou une application) qui vous permettent de collecter des données à caractère personnel, vous devez impérativement mettre en place des actions pour vous conformer au RGPD.

Les sanctions pour non-respect du règlement

En cas de non respect du RGPD, des sanctions sévères sont prévues. En effet, les risques encourus peuvent aller de l’interdiction de collecter des données jusqu’à une amende comprise entre 2 et 4% de votre chiffre d’affaire annuel. Inutile de préciser que mettre votre site internet en conformité vous coûtera moins cher.

Mais pas de panique non plus !! Le texte prévoit une phase de transition permettant aux acteurs de se mettre en conformité. L'important, aujourd'hui, est de déclencher une démarche de mise en conformité.

Les dispositifs à mettre en place sur votre site Drupal

Nous tenons à souligner que la mise en conformité au RGPD ne concerne pas seulement la mise à jour « technique » de votre site. Elle implique également une réorganisation interne du processus général de traitement des données (mise en place du registre de données, désignation d'un responsable, etc.)

Les actions à mener : 

1. L’adaptation du bandeau cookies proposant clairement les options d’acceptation ou de refus de collecte de données ;

2. L’adaptation des formulaires lors de la collecte des données en mettant en évidence les options d’acceptation ou de refus de collecte des données ou de toute autre décision liée à la collecte et au traitement des données ;

3. Auditer chaque cookie créé par le code Drupal dans le but de les documenter et d'en vérifier la conformité ;

4. Auditer et consigner les applications tierces pour en vérifier la conformité ;

5. Créer un formulaire de demande de suppression des données personnelles simple à utiliser ;

6. Modifier vos mentions légales en ajoutant une clause de "Politique de confidentialité de la société" mentionnant les informations sur la confidentialité des données et celles concernant les droits sur les données personnelles fournies ;

7. Disposer d'un certificat SSL valide pour les retardataires afin de favoriser la sécurité des échanges des données sensibles.

Nous sommes à votre disposition pour analyser votre site Drupal, leurs utilisateurs, leurs données, la collecte et les cookies déposés. Cet audit vous aidera à planifier les interventions - que vous pourrez mener en totale autonomie la plupart du temps - et à cartographier les données personnelles manipulées. Cette étape est importante car elle va permettre de communiquer de manière transparente sur les conditions de traitement des données aux utilisateurs, comme le prévoit le nouveau règlement.

Pour aller très très loin : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679

Si vous souhaitez rédiger une thèse sur le RGPD :) ... Merci de vous adresser à Myriam !