Le RGPD – Règlement Général sur la Protection des Données – n’est pas uniquement une contrainte supplémentaire à la charge des éditeurs de sites web. En imposant ce nouveau règlement, l’Europe réveille les consciences en réaffirmant le principe de confidentialité et de sécurité des données personnelles. Vous éditez un site Internet par le biais duquel vous collectez des données personnelles – nom, adresse email, date de naissance… ? Voici comment vous mettre en conformité en 3 étapes !
1. Mettez vos CGV à jour !
Le RGPD vous impose d’informer les internautes sur le sort de leurs données personnelles collectées par le biais de votre site. Vous devez leur fournir une information claire, transparente, facilement accessible et concise.
Comment informer ?
Il est d’usage d’insérer aux CGV un paragraphe dédié à la protection des données – vous pouvez également créer une page distincte pour informer sur votre politique des données personnelles.
Quelles informations ?
Vous informez les internautes sur les modalités et les finalités de la collecte, du traitement et de la conservation des données. Vous avez l’obligation de mentionner :
- L’identité et les coordonnées du responsable du traitement de données.
- Le fondement juridique du traitement – les données sont collectées soit sur la base du consentement de la personne, soit pour la bonne exécution d’un contrat, soit en vertu d’une obligation légale.
- La finalité de la collecte, c’est-à-dire l’usage que vous allez faire des données personnelles. Exemple : informer les internautes des promotions en cours via l’envoi d’une newsletter, envoyer les produits commandés à l’adresse communiquée, permettre l’accès à l’espace client de l’internaute…
- La durée de conservation des données.
- Les droits de la personne dont les données sont collectées. Droit au retrait du consentement, droit d’accès et de rectification, droit à l’effacement et à la limitation, droit à la portabilité.
- Le droit d’introduire une réclamation auprès de la CNIL.
2. Vérifiez la conformité de votre site au RGPD.
Se mettre en conformité avec le RGPD implique de mettre à jour ses CGV, soit, mais pas que. Votre site web dans sa globalité doit être « GDPR compliant ». Pour ce faire, veillez à vérifier les points suivants.
Attention à vos formulaires !
Vous recueillez des informations personnelles via un formulaire ?
- Lorsque la collecte se fonde sur le consentement de la personne, vous devez lui rappeler qu’elle peut à tout moment retirer son consentement. Veillez en outre à prévoir une case à cocher qui matérialise le consentement de la personne. Attention, la case ne doit en aucun cas être cochée par défaut !
- A chaque fois qu’un internaute renseigne des informations personnelles via un formulaire, veillez à rappeler votre politique de protection des données. Vous pouvez prévoir une phrase type – « J’autorise la société à collecter et traiter mes données personnelles conformément aux dispositions applicables des CGV en vigueur » – et renvoyer l’internaute vers vos CGV à jour en insérant un lien de redirection.
Mettez en place un système de sécurité adapté.
Dans le respect du RGPD, vous devez mettre en œuvre des mesures techniques de nature à assurer la sécurité des données qui transitent via votre site. Antivirus MAJ, chiffrement, mots de passe complexes, système de maintenance… tous moyens suffisants pour limiter au maximum le risque de faille dans la sécurité du système.
Soyez joignable !
Pour exercer leurs droits, les personnes doivent pouvoir joindre facilement le responsable du traitement de données. Un formulaire de contact ou une adresse email mentionnée aux CGV permettent de remplir cette obligation imposée par le RGPD.
Faites accepter vos cookies.
Vous utilisez des cookies et traceurs ? A chaque nouvelle visite d’un internaute, un bandeau doit apparaître sur votre site, recueillant le consentement express du nouveau visiteur à l’utilisation desdits cookies et traceurs. Vous devez en outre informer l’internaute sur la possibilité et les moyens ouverts pour s’opposer aux cookies, et informer sur le fonctionnement et la finalité des cookies.
3. Adoptez les bonnes pratiques en interne !
- Editez un registre des traitements, éventuellement sur le modèle fourni par la CNIL.
- Préparez un document d’évaluation des risques. En cas de faille dans votre système informatique, informez la CNIL dans un délai de 72 heures, et les personnes concernées si la faille est de nature à porter atteinte à la sécurité de données sensibles.
- Nommez un responsable des traitements, interlocuteur des personnes et en charge d’assurer le respect du RGPD.
- Si vous sous-traitez des données personnelles, assurez-vous de contracter avec des sous-traitants « GDPR compliants ». En cas de transfert des données hors UE, veillez à la sécurisation du transfert conformément aux dispositions du RGPD.
- Mettez régulièrement votre registre à jour – en cas de rectification de ses données personnelles par un internaute, lorsque la durée de conservation des données est dépassée… Vérifiez en outre que les données sont toujours utilisées conformément à leur finalité initiale.
- En cas d’exercice de leurs droits par les personnes dont les données sont collectées, répondez aux requêtes dans un délai maximum de 1 mois.
À propos d’paysystem
paysystem est la start-up qui révolutionne le monde de la fiche de paie, afin de permettre à toutes les TPE et PME d’économiser de l’argent et de gagner du temps. Besoin d’une solution paie ? Rejoignez les plus de 1200 sociétés conquises !