Le Règlement Général Européen pour la Protection des Données (RGPD ou GDPR en anglais) entre en vigueur le 25 Mai 2018. Les données sont à caractère personnel et peuvent concerner aussi bien des clients, des utilisateurs récurrents ou des visiteurs occasionnels d'un site. Le RGPD va impacter toutes les structures disposant d'un site internet proposant une intéraction avec des utilisateurs (formulaires, commentaires, téléchargements, espaces privés, likes, achats en ligne, localisation ...), et même ceux qui n'offrent pas d'intéraction mais qui effectuent des statistiques de connexion et de tracking. Dès lors que des données à caractère personnel sont stockées dans une base de données, ces nouvelles règles Européennes vont s'appliquer.
Pour faire court, nous sommes tous potentiellement concernés.
L'esprit de ce nouveau règlement est de responsabiliser les structures en matière de traitement des données. Il s'agit de contraindre à un inventaire précis des données collectées, d'inciter à plus de sécurité pour les protéger, et d'offrir aux utilisateurs une plus grande transparence et des moyens d'actions sur le traitement de leurs informations. Si vous souhaitez bénéficier d'un accompagnement pour mettre votre site en conformité avec le RGPD, découvrez nos forfaits d'audit.
La CNIL est l'organisme chargé en France de faire respecter ces nouvelles directives Européennes, qui seront donc communes à l'ensemble des pays de l'UE. Le non respect du RGPD peut entrainer des sanctions financières lourdes pouvant aller jusqu'à 4% du CA annuel. A partir de la mise en place du RGPD, la déclaration à la CNIL ne sera plus obligatoire.
A partir de la date du 25 Mai 2018 d'entrée en vigueur des RGPD, nous allons entrer dans une période transitoire de mise en place (probablement 2 ans), durant laquelle il est à espérer que l'organisme de contrôle va faire preuve d'indulgence et de pédagogie.
2- Quelles sont les données concernées?
4- Identifier tous les traitements liés aux données personnelles
5- La durée de conservation des données
6- Le consentement préalable au traitement
7- L'accès aux données personnelles
8- Les mentions légales : espace de synthèse de vos actions
9- La relation de sous-traitance avec Nosyweb
10- Ressources et documentation RGPD
1- Les enjeux du RGPD
1.1- Des droits nouveaux pour les utilisateurs
Avant d'évoquer l'impact du RGPD pour les structures collectrices de données personnelles, soyons positifs et évoquons les droits nouveaux dont vont disposer les utilisateurs personnes physiques. Il s'agit principalement :
- Droit d'information : l'utilisateur devra être informé de la finalité du traitement de ses données,
- Droit de rectification : l'utilisateur a le droit d'obtenir toute modification ou ajout concernant ses données,
- Droit à l’effacement : la personne a le droit d’obtenir l’effacement de ses données lorsqu’elle a retiré son consentement, ou lorsque les données ne sont plus nécessaires au regard des finalités du traitement.
1.2- Les enjeux pour nos organisations
Entamer une démarche pour intégrer le RGPD à votre culture d'entreprise et vos procédures va permettre :
- de limiter considérablement le risque financier associé au non respect de la protection des données personnelles,
- de limiter considérablement le risque de contentieux,
- de gagner en crédibilté auprès de vos clients (conserver leur confiance, améliorer leur expérience utilisateur),
- d'entamer une vraie réflexion de mise à niveau en matière de sécurité,
- de maîtriser la co-responsabilité avec les sous-traitants participant au traitement des données personnelles,
- d'adapter votre management et de sensibiliser votre équipe aux questions de sécurité et de protection des données.
2- Quelles sont les données concernées ?
Selon l’article 2 du RGPD : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ... ».
Par exemple : le nom, l'adresse mail, le N° de téléphone, le N° de SS, la localisation, l'adresse IP, des informations liées au paiement, le tracking d'url à des fins de statistiques ou de suivi, etc...
3- Les acteurs du RGPD
Le responsable de publication du site est le responsable de la sécurité des données.
Une structure importante peut avoir plusieurs responsables de traitement (le département marketing pour les données collectées via les newsletters, le département RH pour des données collectées via un formulaire de dépot de candidatures etc...).
Pour un volume de données traitées "à grande échelle" (à partir de 5000 personnes par an, chiffre non officiel), un DPO (Data Protection Officer) doit être désigné. La nomination d'un DPO est également obligatoire pour des entreprises de plus de 250 salariés ou dans certains secteurs notamment les organismes publics (mairies par exemple). Le DPO peut être externe à la structure et partagé par plusieurs structures.
Le DPO apparaît comme un réel « chef d’orchestre » principalement chargé de piloter la mise en place des RGPD et d’informer et de conseiller le responsable de publication, le responsable de traitement ou les sous-traitants, mais aussi les employés.
4- Identifier tous les traitements liés aux données personnelles
4.1- Un inventaire obligatoire
La première démarche consiste à effectuer l'inventaire de toutes les données personnelles collectées, ainsi que des composants Joomla concernés.
Au cours de cette démarche, réfléchissez à l'utilité de certaines informations collectées. Par exemple, des informations telles que la date de naissance ou la société sont-elles vraiment pertinentes et réellement exploitées?
Par ailleurs, certains composants, notamment de formulaires, ont pour fonction de stocker les informations collectées. Il peut arriver qu'un paramétrage un peu rapide, permette ce stockage alors qu'il n'est pas nécessaire. Il faut donc vérifier, chacun des composants que vous utilisez.
4.2- Le Registre des Traitements
L'inventaire doit servir à la tenue d'un registre des traitements qui est obligatoire. Le registre devra être complété en cas de mise en place de nouvelles fonctionnalités collectant des données personnelles.
Cette formalité de tenue d'un registre doit garantir qu'à tout moment les process de traitement sont conformes, sécurisés et permettent la confidentialité des données. Il sera un référent en cas de contrôle ou d'audit.
Le registre des traitements doit comporter :
- Les objectifs généraux poursuivis par chaque traitement de données : gestion d’une boutique en ligne, administration d’une communauté, gestion de la relation commerciale, collecte d’informations à des fins statistiques ...
- Les catégories de données - et leur durée de conservation, ci-dessous les principales catégories :
- Etat civil : coordonnées, données d'identification, images ...
- Vie personnelle : habitudes de vie, situation familiale
- Informations financières : revenus, endettement ...
- Données de connexion : logs, adresses IP
- Données de localisation
- etc...
- Les acteurs concernés : responsable du traitement (à défaut le responsable de publication), DPO, sous-traitant (hébergeur, en charge de la maintenance tel que NosyWeb, prestataire en lien avec la gestion de newsletters en nombre important ...)
- Les différents types de traitements concernés (ou leur origine) : collecte via un formulaire, logs d’adresses IP, tracking de clics ...
- Les mesures de sécurité techniques et organisationnelles
Exemples de mesures organisationnelles : sensibiliser les utilisateurs aux mesures de sécurité et en premier lieu à la gestion des mots de passe, charger un utilisateur de contrôler certains traitements ...
Exemples de mesures techniques : HTTPS, revoir la force des mots de passe, limiter les droits de certains utilisateurs, s'interroger sur la qualité de l'hébergement, valider les conditions de restauration des données, proposer aux utilisateurs nouvellement inscrits une confirmation par mail (opt-in), proposer l’utilisation d’un pseudonyme de sorte qu’il soit impossible de faire le lien entre l’utilisateur et ses données et donc de l’identifier sans information additionnelle, réduire ou supprimer la collecte de certaines données ... - Données sensibles éventuelles (santé, opinions politiques ...) : un registre de traitement doit leur être consacré avec les mêmes types d'informations que celles évoquées ci-dessus.
Nous recommandons d'utiliser le tableau Excel fourni par la CNIL en téléchargement en bas de la page "Cartographier vos traitements de données personnelles". Ce fichier Excel comporte 2 onglets : une liste des traitements, un modèle pour structurer les informations évoquées ci-dessus. Ce modèle sera à dupliquer pour chaque traitement. Ce tableau confidentiel sera à stocker en toute sécurité sur votre serveur, nous recommandons qu'il ne soit accesible que via FTP.
5- Durée de conservation des données
Le RGPD stipule que l'internaute doit être informé de la durée de conservation de ses données personnelles.
Pour positiver, les bénéfices que l'on peut attendre de la mise en place de règles de conservation des données vont au-delà de la protection des données des personnes, puisque cela permettrait à chaque base de données d'être nettoyée de données obsolètes et inutiles; avec un impact sur l'amélioration des performances du site voire de son administration.
Pour le moment, très peu de composants Joomla permettent une purge des données, et encore moins de filtrer la suppression des données selon leur ancienneté. Certains composants associés à un formulaire, proposent dans leur configuration "Ne garder les informations que 1 mois, 1 an ...".
Comme évoqué précédemment, une visite de la configuration des composants (parfois accessible via le bouton en haut à droite de l'administration Joomla), peut vous aider à exploiter certaines données dans une meilleure conformité au RGPD.
Voir notre article "RGPD - limiter les données personnelles stockées sur votre site".
La durée se détermine à partir du dernier contact avec la personne. Si la durée de conservation pour les coordonnées de la personne est prévue pour 3 ans et qu'aucun contact n'est intervenu en provenance de celle-ci, alors ses informations doivent être supprimées.
Par exemple avec Acymailing, on peut exporter les utilisateurs de la newsletter avec des champs de date qui permettent d'identifier ceux qui sont les moins actifs. Il est alors possible de les réimporter en les désactivant, puis de lancer un traitement de masse pour supprimer les utilisateurs non actifs.
La durée de conservation est à déterminer selon le type de données et selon leur finalité (ou l'activité). On peut par exemple admettre que des données personnelles exploitées par un site du secteur immobilier soient conservées plus longtemps (par exemple 5 ans), que pour un site de prestations ou de biens de consommation (par exemple 3 ans).
Parallèlement on peut ne vouloir conserver des données de tracking que pendant 1 an et des données de commande/paiement pendant 3 ans.
Vous pouvez vous référer à ce texte de la Communauté Européenne vulgarisé : La durée de conservation des données : le moins longtemps possible
6- Consentement préalable au traitement
Ce point constitue une véritable nouveauté du RGPD.
Le RGPD précise dans son article 6 que, sauf cas très particulier, un traitement n'est licite que si "...la personne concernée a consenti au traitement de ses données à caractère personnel...".
Ce type de démarche existe déjà au sein de nombreux sites concernant l'exploitation de cookies. Désormais tous les traitements de collecte de données (formulaires, boutique en ligne etc...) sont soumis au consentement préalable. En théorie, la plupart des traitements sont concernés, y compris ceux très techniques de collecte de logs ou d'adresses IP, essentiellement pour des motifs de tracking (et de neutralisation) d'intrusions malveillantes. D'après nos informations recueillies auprès de la CNIL, la création d'un commentaire à un article ne nécessite pas de consentement, car cette démarche recouvre un accord implicite.
Fort heureusement, il semble qu'aucune rétroactivité ne soit requise, c'est-à-dire, le fait de demander leur consentement à des utilisateurs dont les données personnelles sont déjà stockées.
2 situations sont à distinguer pour recueillir le consentement des visiteurs :
6.1- Adresse IP et logs de suivi : au chargement du site
Il s'agit de permettre aux visiteurs de donner leur consentement préalable à la conservation de leurs données de type adresse Ip ou tracking pour Google Analytics.
Ce consentement serait donné via un click sur l'un des 2 boutons "OUI" ou "NON" au sein d'une fenêtre pop up ouverte une seule fois, quelle que soit la page d'arrivée sur le site.
L'adresse IP du visiteur serait associée à la réponse OUI/NON et cette information serait accessible à l'administrateur du site pour modification ou suppression. Ces hypothèses de collecte du consentement pour ces données non visibles par l'utilisateur, sont encore à l'étude. Ces informations sont associés dans les articles du RGPD à la notion de profilage.
6.2- Pour les autres traitements : donc par composant
Le RGPD impose un formalisme rigoureux qui repose sur la notion de traitement, qui est au coeur de la nouvelle réglementation.
Plusieurs cas ou solutions sont à considérer en front-end :
Type de traitement | Solutions |
Formulaire sans création de compte Joomla, élaboré avec un composant de gestion de formulaires (contact, devis ...) |
Le formulaire va intégrer une case à cocher, permettant à l'utilisateur d'autoriser la conservation de ses données personnelles. S'il n'autorise pas, le bouton "Envoyer" ne sera pas actif ou visible. Commercialement cette situation peut engendrer des freins ou des incompréhensions. C'est la raison pour laquelle un module informatif à côté du formulaire ou un texte intégré au formulaire, doivent expliquer la finalité de l'utilisation de ces données, comment y avoir accès pour les modifier, la durée de conservation et également la procédure d'effacement. Voir notre article "Créer des formulaires conformes au RGPD dans Joomla grâce à RSForm" |
Formulaire avec création de compte Joomla, intégré dans Joomla ou dans un composant (création de compte utilisateur Joomla, adhésion newsletter, composant de gestion d'une communauté de membres...) |
Dans la mesure du possible privilégier l'opt-in, c'est-à-dire l'envoi par mail d'un lien d'activation. Le texte du mail sera à compléter par un texte, par exemple : "en activant votre compte, vous acceptez la conservation de vos données personnelles sur notre site". L'activation par mail vaudra comme preuve irréfutable de consentement. Voir nos articles : "RGPD - champ utilisateur et consentement à la conservation des données" et |
Page de téléchargement (si tracking des adresses IP) | Une pop up pourrait s'ouvrir au chargement de la page de téléchargement ou au click sur un bouton de type "Téléchargement". Cette pop up comporterait les boutons OUI/NON. |
Boutique en ligne |
A priori la case à cocher sur les CGV ne suffit pas, le consentement doit être explicitement exprimé, donc associé à une case à cocher indépendante des CGV. Cette fonctionnalité dépend de l'éditeur de boutique en ligne. |
Le retrait du consentement à la conservation des données personnelles |
Cette possibilité doit être théoriquement offerte aux utilisateurs. Techniquement de nombreuses contraintes pèsent sur un accès simple en front-end, surtout compte-tenu de la multiplicité des traitements. Et si l'utilisateur ne dispose pas d'un compte, toute action de sa part s'avère impossible. |
7- Accès aux données personnelles
Nous l'avons évoqué, selon le RGPD, l'utilisateur doit pouvoir accéder à ses informations, pour chaque traitement. Cet accès peut être véritablement intégré à la navigation globale du site (ce que font souvent les boutiques en ligne). Alternativement la procédure d'accès doit pouvoir être trouvée dans un espace centralisateur, par exemple la page de mentions légales.
Quelques traitement/composants permettent d'accéder aux données personnelles de manière standard : les boutiques en ligne proposent un "espace compte", les composants de gestion de communauté proposent un "espace membre" ...
D'autres composants proposent aussi en standard des fonctions de modification, mais très peu utilisées. Par exemple, Acymailing comporte un élément de menu de type "User : subscribe/modify your subscription" qui permet de s'abonner ou se désabonner sélectivement, à chacune des newsletters d'un site. Ce lien peut aussi être inséré au sein de la newsletter, par exemple au niveau du lien de désinscription (qui est un peu différent car il désinscrit l'utilisateur de toutes les newsletters).
RSForm! Pro propose depuis sa version la plus récente, la mise en place d'un lien dans l'email reçu par la personne qui a utilisé le formulaire. Un click sur ce lien permet de supprimer les données de la soumission à ce formulaire dans la base de données de RSForm.
Mais l'inventaire des traitements de données personnelles peut aussi révéler d'autres composants partiellement ou totalement hors de l'esprit des RGPD. C'est malheureusement le cas le plus fréquent dans le monde des CMS tels que Joomla. Comme évoqué plus haut, il va falloir s'armer de patience et espérer que les éditeurs de composants vont s'emparer du sujet du RGPD. Nous ne manquerons pas d'alimenter cette rubrique pour vous informer des composants qui se seront enrichis fonctionnellement, pour se conformer au RGPD.
8- Les mentions légales : espace de synthèse de vos actions
Il nous semble que toute information liée au RGPD peut logiquement (mais pas obligatoirement) être inscrite au sein de la page des mentions légales. Pour rappel, les mentions légales requièrent principalement la mention et les coordonnées du responsable de publication et de l'hébergeur. En complément, nous conseillons de faire figurer ici :
- les mesures de sécurité prises pour conserver les données personnelles
- la durée de conservation de chaque type de données
- une mention du type :"les données personnelles collectées sur ce site sont à usage exclusif, et ne seront jamais cédées à des tiers"
- une mention du type :"en cas de violation des données personnelles, nous nous engageons à prévenir chaque personne concernée, ainsi que la CNIL, dans les 72h"
- quand cela est possible, les liens pour modifier les données concernées
- la procédure - ou directement un formulaire simple - pour notifier la fin du consentement et l'effacement des données
9- La relation de sous-traitance avec une agence web
Le responsable de traitement est co-responsable avec ses sous-traitants ayant accès aux traitement de données personnelles, de la protection de celles-ci.
La co-responsabilité implique un devoir de conseil de la part de l'agence web. Mais le rôle de celle-ci ne consiste pas à porter le projet de mise en place du RGPD pour le compte de ses clients, au sein de leur système d'informations.
La co-responsabilité implique un devoir d'alerte de la part de l'agence web si celle-ci estime que les conditions de sécurité mises en place par le client ne sont pas satisfaisantes.
Un avenant dédié au RGPD, au contrat liant le sous-traitant agence web et ses clients, doit être établi. Il comprendra en particulier :
- la liste des traitements de données personnelles faisant l'objet d'une assistance sous le CMS Joomla
- la liste des obligations du sous-traitant agence web envers le responsable de traitement
- la liste des obligations du responsable de traitement envers le sous-traitant agence web.
Le tableau ci-dessous synthétise les devoirs réciproques de chacune des parties :
Responsable de traitement (Propriétaire du site) |
Sous-traitant (Agence web) |
Rédaction de l'avenant "RGPD" au contrat de prestations | |
Garantir l’intégrité des données et leur confidentialité au sein de son organisme : mettre en place toutes mesures de sécurité techniques (pare-feu, hébergement de qualité) ou management (former et sensibiliser les collaborateurs) | Conseils et mise en œuvre en matière de sécurité web Joomla : pare-feu, hébergement, mises à jour Joomla et composants
Traiter les données conformément aux instructions du responsable de traitement Garantir la confidentialité des données |
Inventaire et tenue du registre des traitements
Information du sous-traitant d’une quelconque modification dans la liste des traitements |
Assistance pour la documentation des traitements
Obligation d’alerte en cas de traitement en infraction par rapport au RGPD |
Demande d’autorisation au responsable de traitement en cas de sous-traitance ultérieure | |
En cas de demande de modification/suppression de donnée personnelle :
|
Assistance du responsable de traitement pour répondre à la demande dans la limite des contraintes techniques des composants Joomla |
En cas de violation des données :
|
|
Mettre tous les moyens en œuvre pour permettre un audit éventuel des conditions d’application du RGPD |
10- Ressources
CNIL - ce qui change pour les professionnels
CNIL - RGPD:se préparer en 6 étapes
CNIL - cartographier vos traitements de données personnelles
Article 7 texte officiel du RGPD : les conditions d'application du consentement
Avis d'expert : le profilage nécessite le consentement
Une animation (en anglais) pour synthétiser le RGPD
Conclusion
Nous ne pensons pas qu'il soit possible de respecter 100% des règles du RGPD en date du 25 Mai 2018... à moins de ne conserver aucune données personnelle !
En premier lieu car un certain nombre de points restent à préciser par le RGPD lui-même, et surtout en raison de la complexité et du nombre de traitements incriminés et de l'inertie des éditeurs de composants des sites internet.
Il faut donc être pragmatique et réaliser en priorité les actions les plus accessibles et les plus symboliques, telles que le Registre des Traitements. En cas de contrôle, il vous sera alors possible de donner la preuve de votre bonne foi en fournissant la liste de vos actions réalisées.
Sans que cela soit officiellement annoncé, une période de transition de 2 ans, devrait être prise en compte par les autorités de contrôle (CNIL en France), pour la mise en place de la conformité au RGPD.
En revanche, pour les sites qui seront créés à partir de l'entrée en vigueur du RGPD, la prise en compte de ses règles sera indispensable. Les cahiers des charges véritablement professionnels devront lister les mesures prises pour appliquer le RGPD.
Voir nos forfaits d'audit pour la mise en conformité RGPD de votre site