chaque projet mErite de L'attention — et le vOtre commence ici.
Communiquer en ligne : protégez-vous suffisamment les données personnelles des personnes qui visitent votre site ?
Le Règlement général de la protection des données (RGPD) est un règlement européen valable dans toute l'Union européenne et portant sur la manière dont les entreprises et autres organisations doivent se comporter vis-à-vis des données personnelles. Il s'agit de l'initiative la plus importante pour la protection des données depuis 20 ans. Il a d'importantes répercussions pour toute organisation qui propose ses services aux citoyens de l'Union européenne.
Soucieux de permettre aux citoyens de contrôler la manière dont leurs données sont utilisées et de protéger « les droits et libertés des personnes physiques », ce règlement établit des exigences strictes en matière de procédures de traitement des données, de transparence, de documentation et de consentement utilisateur.
Toute organisation doit conserver une archive de ses activités de traitement des données personnelles et en effectuer le suivi.
En tant que responsables du traitement de données, toute organisation doit conserver une archive de ses activités de traitement des données personnelles et en effectuer le suivi. Cela concerne tant les données personnelles traitées au sein de l'organisation que celles traitées par des tiers. Ils doivent pouvoir rendre compte du type de données traitées, du but de leur traitement et des pays et des tiers auxquels les données sont transmises. Les données ne peuvent être transférées qu'à d'autres organisations conformes au RGPD ou à des organisations dont les juridictions sont jugées « convenables ».
Le RGPD définit les données personnelles comme étant « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Les identifiants en ligne tels que les adresses IP sont considérés comme des données personnelles, à moins qu'ils ne soient rendus anonymes. Les données personnelles de pseudonyme sont elles aussi soumises au RDPG à parti du moment où il est possible d'identifier de qui proviennent ces données par ingénierie inverse.
Tous les consentements doivent être conservés en tant que preuve que le consentement a été donné.
Dans le cas d'une fuite de données, l'entreprise doit être capable d'avertir les autorités responsables de la protection des données et les individus concernés dans un délai de 72 heures.
De plus, le RGPD oblige les autorités publiques et les entreprises qui manipulent des données personnelles sensibles à grande échelle d'employer ou de former un délégué à la protection des données (DPD). Le DPD doit prendre des mesures pour assurer la conformité à tous niveaux de son organisation avec le RGPD.
Votre site présente votre activité et votre entreprise. Vous proposez un formulaire de contact et éventuellement l’abonnement à une lettre d’information.L’idéal est de prendre en compte la protection des données dès la conception du site. Ainsi, par exemple, prenez bien soin que l’accès au contenu de votre site ne soit pas conditionné à l’abonnement à votre newsletter.
Attention, une case pré-cochée n'est plus acceptable ; de même l'acceptation des conditions générales ne vaut pas de consentement.
Si votre site web dessert des personnes originaires de l'UE et que vous ou des services tiers intégrés (tels que Google et Facebook) manipulez des données personnelles, quel qu'en soit le type, vous devez obtenir un consentement préalable de la part de chaque visiteur.
Pour obtenir un consentement valable, vous devez, avant toute manipulation de données personnelles, décrire l'étendue et la finalité des opérations que vous effectuez sur les données dans un langage facilement compréhensible par les visiteurs.
Tous les consentements doivent être archivés et tout suivi des données personnelles (y compris de la part de services tiers intégrés) doit être documenté, de même que la liste des pays auxquels les données sont transmises.
En fonction de votre métier, de l’exploitation des données, il vous faudra peut être recourir aux services d’experts.
______
Depuis Twitter, Facebook, et autres réseaux sociaux, prévoyez :
______
Vous pouvez obtenir les certificats Fondation RGPD UE (EU GDPR F) et Praticien RGPD UE (EU GDPR P), tous deux accrédités ISO 17024 via diverses formations comme celles proposées par exemple par IT Governance. L'Association internationale des professionnels de la confidentialité (IAPP) fournit elle aussi des cours en ligne.
______
Il existe de nombreux outils, cadres et logiciels qui vous aideront à vous conformer aux exigences du RGPD, comme le DPOrganizer, qui propose de vous aider a organiser vos données en pleine conformité.
______