Site web : bien veiller à la mise en conformité avec le RGPD
Le règlement n° 2016/679, dit règlement général sur la protection des données (RGPD), qui constitue le texte de référence européen en matière de protection des données personnelles, est entré en application le 25 mai 2018 et a apporté des changements significatifs. Il ne faut pas négliger lors de l’exploitation d’un site web certaines obligations.
LA LIMITATION DES FINALITÉS.
L’article 5-1 b) du RGPD prévoit que les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités initiales prévues lors de la collecte. Les données collectées pour l’envoi d’une newsletter ne peuvent pas être utilisées ultérieurement pour une prospection commerciale des personnes.
LA MINIMISATION DES DONNÉES.
L’article 5-1 c) du RGPD dispose que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Il convient de se demander si les données collectées sont nécessaires par rapport au service proposé au client. Par exemple, une société qui recueille les coordonnées d’une personne pour lui envoyer une documentation technique sur un produit ne doit pas demander les références bancaires.
L’INFORMATION DES PERSONNES.
L’article 13 du RGPD exige du responsable de traitement qu’il fournisse, au moment où les données sont collectées, différentes informations (les finalités du traitement et sa base juridique, les destinataires, la durée de conservation, les droits dont bénéficient les personnes (accès, modification, retrait, portabilité…).
Lorsque le consentement est requis, un dispositif devra être mis en place permettant à la personne concernée d’être en capacité de manifester sa volonté de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair, en gardant une preuve de son consentement.
De plus, le consentement n’est ni définitif, ni illimité, il est accordé relativement à une ou plusieurs finalité(s) de traitement et peut être retiré à tout moment par la personne concernée, qui doit être informée de cette faculté de retrait avant de donner son consentement.
Par exemple, si une personne accepte de recevoir des offres de partenaires commerciaux, cela ne signifie pas qu’elle consent également à l’envoi de newsletters à des fins commerciales. En pratique, cela doit se traduire par une case à cocher pour chaque finalité envisagée.
LA LIMITATION DE LA DURÉE DE CONSERVATION DES DONNÉES.
L’article 5-1 e) du RGPD dispose que les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Les données personnelles ne peuvent être conservées indéfiniment. Les durées de conservation diffèrent suivant la typologie des données et les obligations légales. La durée de conservation des données devra être vérifiée suivant les données concernées et conduire à la mise en place d’une procédure d’effacement.
Par exemple, après le délai de conservation des données des clients, la conservation de leur adresse électronique et de leur mot de passe, afin que ceux-ci puissent se reconnecter à leur compte, n’est pas conforme au RGPD.
LA SÉCURITÉ DES DONNÉES.
L’article 32-1du règlement dispose notamment que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et notamment des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.