RGPD

    Le RGPD oblige les entreprises qui utilisent les données personnelles des internautes à leur fournir un certain nombre d'informations.

    Dans quelles situations avez-vous l'obligation de les informer ? Quelles informations devez-vous leur donner ?

    Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne. Il est entré en application le 25 mai 2018.

    Qu'est-ce qu'une donnée personnelle ?

    Une donnée personnelle est décrite par la CNIL comme toute information se rapportant à une personne physique identifiée ou identifiable. Il existe 2 types d’identifications :

    • Identification directe (nom, prénom )
    • Identification indirecte (identifiant, numéro )

    Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données personnelles. La CNIL donne les actions suivantes à titre d’exemple du traitement des données :

    • Tenue d’un fichier de ses clients
    • Collecte de coordonnées de prospects via un questionnaire
    • Mise à jour d’un fichier de fournisseurs

    Dans quelles situations informer l’internaute ?

    D'après le RGPD, il existe 2 situations dans lesquelles l’information de l’internaute est obligatoire :

    1. En cas de collecte directe des données de l’internaute, que ce soit de façon active (via remplissage d’un formulaire lors d’un achat en ligne, de la souscription d’un contrat, de l’ouverture d’un compte bancaire…) ou au travers de l’observation de son activité (via des outils d’analyse de sa navigation, de géolocalisation, de mesure d’audience…)
    2. En cas de collecte indirecte des données de l’internaute : données récupérées auprès de partenaires commerciaux par exemple

    A quels moments informer l'internaute ?

    Le RGPD stipule 3 moments où vous devez informer l'internaute :

    1. Vous devez informer l’internaute au moment de la collecte de ses données personnelles dans le cas d’une collecte directe ou dès que possible dans le cas d’une collecte indirecte de données (lors du 1er contact par exemple).
    2. Vous devez également informer l’internaute de l’utilisation de ses données en cas de modification de leur
    3. Enfin, dans un souci de transparence, vous devez informer régulièrement l’internaute de l’utilisation de ses données

    Quelles informations donner à l’internaute ?

    Le RGPD précise les informations que vous devez rendre disponibles. Ainsi, si un internaute vous en fait la demande, vous avez l’obligation de donner accès aux informations suivantes :

    • Identité et coordonnées de l’organisme responsable du traitement de données
    • Coordonnées du délégué à la protection des données (DPO), ou d’un point de contact sur les questions de protection des données personnelles
    • Base juridique du traitement de données (consentement de l’internaute, respect d’une obligation prévue par un texte, exécution d’un contrat…)
    • Finalités des données collectées (pour prise de décisions automatisée, pour prévenir la fraude, parce que les informations sont requises par la réglementation…)
    • Caractère obligatoire ou facultatif du recueil des données et les conséquences pour la personne en cas de non-fourniture des données
    • Destinataires ou catégories de destinataires des données
    • Durée de conservation des données
    • Transferts de données à caractère personnel envisagés à destination d'un État n'appartenant pas à l'Union européenne

    Vous devez également informer l’internaute de ses droits :

    • Accès à ses données.
    • Possibilité de rectification ou d’effacement de ses données, de retrait de son
    • Possibilité de faire une réclamation auprès de la
    • En cas de données collectées de manière indirecte, vous devez informer l’internaute de la source des données.

    L’information doit être rédigée de la manière la plus claire, précise et simple. Son format doit être lisible par l’internaute.

    Vous devez informer l’internaute de la finalité de leurs données. À cet effet, il est recommandé d’insérer une page vie privée, accessible et compréhensible par tous.

    Votre charte vie privée sur votre site doit être à jour. Vous devez également proposer à l’internaute une possibilité simple de contact.

    Quand devez-vous obtenir le consentement de l'internaute ?

    Il existe plusieurs situations dans lesquels l'information ne suffit pas. Il faut expressément demander l'accord de l'internaute dans le cadre de la prospection commerciale par courrier électronique et dans certains cas, lors de l’utilisation de cookies.

    Il faut obtenir le consentement de l’internaute avant de déposer les cookies liés aux opérations relatives à la publicité, les cookies des réseaux sociaux générés par les boutons de partage et certains cookies de mesure d'audience.

    Les destinataires de courriels commerciaux (newsletters) doivent avoir explicitement donné leur accord pour être démarchés, au moment de la collecte de leur adresse électronique. Ce consentement préalable de l’internaute doit être recueilli par une case à cocher. En cas de transmission de ses données personnelles à des partenaires, l’internaute doit également y avoir consenti au moment du recueil de ses données personnelles.

    Pour éviter les sanctions en cas de non-respect des obligations bénéficiez d'un conseil technique et juridique

    FIDESINFO et AIP LAW, vous proposent un entretien gratuit.

    Si vous avez besoin d'un DPO externe, Data Protection Officier, en français cela signifie Délégué à la Protection des Données, consultez :

    Maître Yaël WOLMARK
    AIP LAW
    88, Avenue des Ternes 75017 Paris
    yael.wolmark@aip-law.com

    Voir les articles

    Top