La RGPD

L’article ci-dessous est un résumé et une interprétation personnelle. Au départ je souhaitais faire un mail pour nos clients mais devant le nombre de demandes d’informations sur le sujet, je mets cet article à disposition.

Pour ceux qui souhaite en savoir plus sur mon profil, vous pouvez aller sur http://www.olecorre.fr où il y a mon CV et sur https://www.ohweb.fr pour le site de mon agence.

Mise en garde : Les pseudo-experts en RGPD pullulent depuis quelques semaines, ils vous parleront en premier des amendes possibles pour vous faire peur. Si vous avez besoin d’un accompagnement complet, je pourrais vous diriger vers des partenaires qui ne vous sur-factureront pas des copier/coller de la CNIL.

L’article ci-dessous va aborder un sujet d’actualité, la RGPD, en aucun cas je me considère comme expert RGPD. Je m’y intéresse depuis des mois. Je vais essayer de rendre lisible cette réglementation avec des éléments concrets.

Cet article est non exhaustif tant le spectre de la RGPD est vaste et je n’engage pas ma responsabilité ou celle de mon agence quand à l’interprétation que vous pourrez en faire.
Je reste ouvert à tout retour et commentaire pour améliorer cet article.

Un article intéressant : https://www.marianne.net/societe/rgpd-2018-pour-les-nuls-la-plupart-des-mails-que-vous-recevez-sont-inutiles-voire-illegaux

La RGPD, un peu de généralité

Depuis quelques temps, cet acronyme est visible partout, des centaines d’articles en parlent, mais c’est quoi ?

« Le GDPR (ou RGPD) est le nouveau règlement européen sur la protection des données. Il entrera en application en 2018 et impactera toutes les entreprises opérant du traitement de données à caractère personnel sur des résidents européens.
Le GDPR poursuit plusieurs objectifs ambitieux :
- Uniformiser au niveau européen la réglementation sur la protection des données.
- Responsabiliser davantage les entreprises en développant l’auto-contrôle.
- Renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.). »

Extrait du site http://www.custup.com/introduction-gdpr-rgdp

En simplifiant, cette réglementation permet aux entreprises de prendre conscience qu’elles ont des données personnelles et qu’elles ne peuvent plus faire n’importe quoi avec, fini l’anarchie. Les données personnelles ne concernent pas que les clients mais aussi les salariés de votre entreprise.

Cela va changer des choses au niveau marketing : fini la visite d’un site, suivie de quelques dizaines de minutes après, de la réception d’un mail de ce site proposant une réduction pour le produit que j’avais regardé. D’où a-t-il eu mon mail ?

En quoi consiste la mise en conformité ?

La CNIL a sorti des articles sur le sujet, voici quelques éléments qui me semblent pertinents oui qui intéressent les profils de nos clients.

  • Désigner un pilote (DPO) : c’est une personne chargé de contrôler les données personnelles, si leur récupération est conforme et légitime, l’exploitation de celles-ci, tenir le registre des données.

    Pour le côté légitime, un exemple simple : à l’inscription vous demandez la date de naissance mais vous ne l’utiliserez jamais, alors pourquoi la demander ? Est ce vraiment une information obligatoire ou nécessaire ?

    Le DPO peut être une personne externe et ne peux être le responsable de l’entreprise, ou le responsable informatique.
  • Cartographier vos traitements : il s’agit de recenser de façon précise ce que vous faites de données personnelles. Pour un e-commerce cela sera essentiellement pour le traitement de la commande. Il faudra noter aussi à qui vous envoyez vos données (exemple : sociétés d’emailing mailjet, sendinblue etc…).
  • Gérer les risques : être conscient de vos données personnelles. Une question à se poser : demain vous vous faites voler votre ordinateur portable et il y a des données personnelles dessus de clients ou de salariés ? Quel impact cela peut avoir, quelle est la sensibilité des données volées ? Autre question, vous vous faites hacker votre site internet et pirater votre base de données, quel impact cela aurait-il ? Quelles sont les données piratées ?

    Vous devez être capable d’identifier ces incidents, d’en mesurer la portée et prendre des mesures pour sécuriser l’accessibilité à ses données.
  • Organiser les processus internes : vous devez revoir vos processus, vos méthodes internes.
    Exemple : le développeur n’a pas besoin d’accéder aux données comptables.
    Il faut arrêter de mettre tout et n’importe quoi dans un dossier partagé sur le serveur où tout le personnel a accès par exemple. Identifier qui peut accéder à quoi.
  • Registre des données : le DPO, s’il y en a un, sinon le responsable des données, doit tenir un registre des données, un document qui recense où se trouve les données, les processus d’accès etc… La CNIL vient de sortir un article intéressant sur le registre des données avec un modèle. Il s'agit d'un document où sera notifié tout qui est fait sur les données personnelles. https://www.cnil.fr/fr/rgpd-et-tpepme-un-nouveau-modele-de-registre-plus-simple-et-plus-didactique
  • Assumer : vous avez un devoir de sécurisation des données mais rien n’est infaillible. En cas de vol de données, vous avez l’obligation d’en informer la CNIL et toutes les personnes concernées par ce vol de données.

Au final, il n'y a pas mal de démarches administrives et d’organisation à faire. Pour toutes les démarches ci-dessus, je vous renvoyois vers la CNIL pour plus de détail :
https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etape
https://www.cnil.fr/fr/rgpd-par-ou-commencer

Plus concrètement pour mon site internet

Sur votre site, vous récoltez des données personnelles. Il est donc nécessaire de réaliser plusieurs actions :

  • Le site doit être en HTTPS et toutes communications vers des services tiers doivent se faire en sécurisées (HTTPS, FTPS). Concernant la liaison avec votre ERP, le FTP simple n'est plus possible.
  • Le consentement : pour l’inscription ou la création de compte, vous devez demander de façon claire le consentement du visiteur. Les phrases incompréhensibles sont interdites, le texte pourra ressembler à quelque chose à cet exemple pour l’inscription à la newsletter :
    « J'accepte que [votresociete] recueille et utilise les données personnelles saisies dans ce formulaire aux fins de communication, conformément à notre Politique de Protection des Données Personnelles »

    La CNIL met entre guillemet :

    « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simple »
  • Ajouter une page « Données personnelles » : cette page reprendra les différents traitements que vous faites des données, la durée de stockage des données, informer que le client a un droit de regard, de modification et de suppression de ses données.
  • Le visiteur doit pouvoir supprimer ses données personnelles ou en faire la demande : il faut soit ajouter un bouton permettant de le faire automatiquement, soit dédier un formulaire qui peut être dans la page « Données personnelles ».

    Grace au registre des données, si un client demande la suppression de ses données, vous saurez à qui vous devez également envoyer la demande de suppression (je parle des services annexes, mailjet, sendinblue etc…).

    Attention vous êtes dans l’obligation de le faire (supprimer ou anonymiser les données).
  • Le client doit pouvoir extraire les données que vous avez sur lui.
  • Vérifier que vos sous-traitants respectent bien les directives de la RGPD, et éventuellement faire signer un engagement de confidentialité.
  • Pour les cookies, hormis les cookies nécessaires au fonctionnement du site (cookies de session Prestashop par exemple), vous devez théoriquement demander le consentement du visiteur pour déposer les cookies. Un exemple parlant : le cookie de Google analytics.

    Pour le marketing, un grand nombre de services extérieurs vous demandent de mettre des tags en place. La forte majorité de ces tags déposent des cookies, il faudra donc en théorie demander le consentement à pour chaque cookie.

    Un article sur le sujet : https://www.data-vibes.com/21/rgpd-et-utilisation-des-cookies

    Pour un site e-commerce, cette mise en place est complexe. Nous n’avons pas encore d’information concrète sur son application aujourd’hui mais nous l’étudions. Je reviendra donc très bientôt sur ce point.

    J’invite à la lecture de ces 2 pages :
    https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence
    https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation

Quelques précisions :

  • La suppression d’un compte peut passer par l’anonymisation de celui-ci. Pour un visiteur qui s’inscrit mais qui ne passe jamais commande, ses données devront être supprimé au bout d’un an.
  • Un client qui demande la suppression de ses données ne sera pas possible si sa commande est en cours de traitement (tenir compte du délai légal de retour)
  • Pour un client qui demande la suppression de ses données et qui a passé des commandes, celles-ci seront à anonymiser dans une certaine limite car vous avez une obligation légale et fiscale de pouvoir sortir les factures pendant 10 ans.
  • La RGPD ne supplante pas les obligations légales de conservation des données.
  • Si vous respectez déjà la loi Informatique et Libertés en date du 6 janvier 1978, alors vous répondez déjà à plusieurs éléments de la RGPD.
  • Les cases à cocher précochées sont interdites. Elles l’étaient déjà avant mais c’est encore plus vrai aujourd’hui.
  • Vous entendez surement parler de chiffrer la base de données. Sur les technologies open-source, le chiffrage à des limites. Pour chiffrer et déchiffrer les données, l’outil (comme PrestaShop) doit avoir accès à la clé. Elle doit donc se trouver quelque part dans les fichiers. Un hacker qui arrive à récupérer la base de données pourra surement après quelques recherches retrouver cette clé.

Maintenant sur PrestaShop qui est notre spécialité

Aujourd’hui il existe ce module https://eoliashop.com/module-RGPD qui est pour PrestaShop 1.5 et 1.6 assez complet sur la mise en place de la RGPD et nous le recommandons.

Je dis bien aujourd’hui ! Le module officiel de PrestaShop ne nous a pas convaincu mais ils travaillent dessus, donc les choses peuvent évoluer prochainement.
Pour PrestaShop 1.7 il n'y a que le module officiel.

Pour les cookies, nous n’avons pas encore de réponse précise à apporter mais nous suivons l’actualité sur le sujet pour j’espère dans quelques semaines avoir des exemples concrets de mise en place.

La mise en place du module ne vous rend pas d’office conforme à la RGPD, il apporte des réponses uniquement pour le site internet.

La mise en place du module n’est pas si simple et nous conseillons d’avoir quelques connaissances techniques.

Pour nos clients avec un contrat de TMA, cette prestation peut être incluse (hors achat du module). Pour les autres clients, n'hésitez pas à nous consulter.

Nous pouvons vous accompagner, consultez nous pour avoir une proposition.