Ah, le RGPD… En tant qu’internautes, nous en avons tous entendu parler. Et si ce n’est pas le cas, vous avez sûrement remarqué l’apparition de bandeaux d’information sur la plupart des sites que vous visitez, depuis environ deux ans. Mais de quoi retourne-t-il exactement ? Que prévoit le RGPD et en quoi cela impacte-t-il les propriétaires de sites web professionnels ? En tant qu’agence web, il est de notre devoir d’informer nos clients sur cette nouvelle réglementation et de les accompagner dans la mise en conformité de leur site. Cet article constitue un premier résumé du RGPD et récapitule ce que vous devez prendre en compte si vous possédez un site web.
Qu’est-ce que le Règlement Général sur la Protection des Données ou RGPD ?
Quelle est la définition du RGPD ?
Le RGPD, ou Règlement Général sur la Protection des Données, est un texte de loi adopté par le Parlement Européen, en vigueur depuis le 28 mai 2018. Il a pour objectif de renforcer la protection des données personnelles des citoyens de l’Union Européenne, en améliorant notamment la transparence sur la collecte de ces données et leur utilisation. À la différence de la directive européenne de 1995, que le RGPD annule et remplace, celui-ci part du principe que la protection des données personnelles constitue un droit fondamental pour tout citoyen de l’UE. Il s’agit donc d’une loi contraignante, qui vise à responsabiliser l’ensemble des acteurs publics ou privés collectant ou traitant ce type de données.
La promulgation du RGPD provient du constat selon lequel la directive de 1995 était devenue totalement obsolète et insuffisante pour protéger les données à caractère personnel des citoyens de l’UE. Il apparaissait nécessaire d’établir un nouveau cadre autour de leur usage, notamment du fait de la généralisation des outils digitaux. En France, c’est la CNIL, ou Commission Nationale de l’Informatique et des Libertés, qui fait figure d’autorité et veille à la bonne application de cette loi.
Qu’entend-on par « donnée personnelle » ?
Une donnée personnelle est une information liée à l’identité d’une personne, ou permettant son identification de manière directe ou indirecte. Ce peut-être par exemple : un nom, un prénom, un pseudonyme, une photo, une nationalité, une adresse postale, des coordonnées téléphoniques ou un courriel, un identifiant sur un site web, ou encore des données sur la santé ou la localisation d’une personne.
En pratique, nombreux sont les sites qui collectent ce genre de données, parfois à notre insu. Le simple fait de surfer sur le web, même sans soumettre explicitement des informations nous concernant, peut suffire à communiquer des données à un tiers via l’installation de cookies. C’est ce que le RGPD vise à réguler, en obligeant les propriétaires de site à faire preuve d’une transparence irréprochable sur leur façon de gérer les données à caractère personnel.
Le RGPD en résumé : concrètement, que dit la loi ?
Les nouvelles obligations préalables à la collecte de données
Depuis l’arrivée du RGPD, l’utilisateur doit obligatoirement être prévenu lorsque des données le concernant sont susceptibles d’être collectées. Il doit, par ailleurs, être informé sur la finalité de cette collecte de données.
En naviguant sur un site web, vous pouvez être amené :
- à donner votre adresse e-mail pour recevoir une newsletter ;
- à fournir vos coordonnées complètes pour la création d’une fiche client ;
- à accepter que vos données de navigation soient collectées, au travers de Google Analytics par exemple, pour l’amélioration du site et de l’expérience utilisateur.
Les exemples de ce genre sont nombreux et il existe des centaines de raisons différentes pour lesquelles un site web a besoin de recueillir des données personnelles. En revanche, il n’est plus possible de le faire sans prévenir, expliquer pourquoi, et sans préciser combien de temps ces données devront être conservées. Il est également de la responsabilité de celui qui les collecte de veiller à les sécuriser contre les risques de fuite ou de piratage, puis de les détruire une fois leur utilisation terminée. Sur un site web, ces informations sont le plus souvent regroupées au sein d’une page décrivant la politique de confidentialité.
Mais surtout : il devient indispensable que l’utilisateur donne son consentement de manière explicite (en cochant une case par exemple, ou en cliquant sur « accepter ») avant toute collecte ou tout traitement de donnée le concernant. C’est ce dernier point qui s’avère particulièrement contraignant pour les propriétaires de sites web. Car cela sous-entend que chaque visiteur doive lire et accepter les conditions d’utilisation avant de parcourir tranquillement un site. En d’autres termes, cette mesure crée une entrave à la navigation, et une nuisance potentielle à l’expérience utilisateur. Pas étonnant donc que certains propriétaires de site soient particulièrement réticents à prendre ces dispositions.
Le RGPD fait apparaître de nouveaux droits
Les utilisateurs ont bien évidemment le droit de refuser la divulgation de leurs données personnelles à quiconque le leur demande. Dans le cas où des données auraient déjà été communiquées, ils disposent d’un droit d’accès, et peuvent demander leur modification. Le RGPD prévoit également ce que l’on appelle le droit à l’oubli, c’est-à-dire la possibilité d’exiger la suppression pure et simple de données personnelles, et leur déréférencement sur les différents moteurs de recherche.
Enfin, le RGPD instaure les droits suivants :
- le droit à la portabilité de ses données personnelles : il est possible de demander à récupérer des données fournies quelque part pour les transférer vers une autre plateforme.
- le droit à notification en cas de piratage des données : il est de la responsabilité des organismes qui détiennent des données personnelles de notifier immédiatement les principaux intéressés lorsqu’une fuite a été constatée.
- le droit à recourir à une action groupée : en cas de violation d’un des principes du RGPD, chacun a le droit de mandater un organisme ou une association pour effectuer une réclamation.
- le droit à réparation : tout individu ayant été victime d’une violation du RGPD à l’égard de ses données personnelles peut demander réparation de son préjudice. En France, on rappelle aux utilisateurs de sites web leur droit d’introduire une plainte auprès de la CNIL.
Ce que le RGPD interdit
Il existe des catégories de données qu’il n’est tout simplement pas possible de recueillir. Il s’agit essentiellement des données dites « sensibles », car elles peuvent être utilisées pour discriminer une personne ou lui porter préjudice d’une manière ou d’une autre. Une donnée sensible peut avoir trait par exemple : à l’appartenance ethnique ou raciale d’un individu, à son orientation sexuelle, à sa religion ou à ses croyances, à ses opinions politiques ou encore à son appartenance à un mouvement syndical.
Cependant, comme toute règle, celle-ci prévoit quelques exceptions, notamment le fait de pouvoir justifier d’une finalité vitale pour l’individu dont il est question (pour sa santé par exemple), ou encore lorsque cette collecte de données a été autorisée par la CNIL pour des raisons d’intérêt général.
En résumé, le RGPD a provoqué un bouleversement sur la manière de traiter les données à caractère personnel et un véritable renforcement des mesures de protection de la vie privée. Pour les éditeurs de sites web, son entrée en application s’est traduite par l’obligation d’afficher un certain nombre d’informations. Vous souhaitez connaître l’intégralité des mentions à inscrire sur votre site pour être conforme au RGPD ? Alors nous vous invitons à poursuivre votre lecture en consultant notre article dédié aux mentions obligatoires pour les sites professionnels.