Le 27 avril 2016, le Parlement européen a voté une nouvelle directive appelée Règlement général de la Protection des Données (RGPD). Elle impose des procédures très précises, et parfois contraignantes, à tous ceux qui collectent, stockent et utilisent des données personnelles des personnes physiques citoyennes de l'EEE (l'Espace économique européen).
Dans la phrase qui précède, tous les termes sont importants :
Comme vous le pressentez, tout va être dans les nuances, les détails et surtout le contexte. Nous avons essayé de déblayer au mieux le terrain pour que vous puissiez faire les adaptations nécessaires. Toutefois, nous ne prétendons pas couvrir toutes les situations possibles. En cas de doute, nous vous recommandons de prendre contact avec votre conseil juridique pour des éclaircissements.
Le règlement prendra effet le 25 mai 2018. Il n'y aura pas de période d'essai. Vous devez êtes prêts à cette date.
Une des motivations de la directive est de de rendre les utilisateurs des données personnelles légalement responsables de leur traitement et de leur sécurité. Les amendes en cas de non-respect de la réglementation seront TRÈS importantes, jusqu'à 20 millions d'euros. On ne plaisante donc pas.
Pour bien comprendre la portée de cette directive, il est essentiel d'avoir une compréhension claire de plusieurs notions.
Au cœur de ce règlement, se trouve le consentement de la personne dont vous collectez les informations. Ce consentement doit être :
Autre définition capitale dans cette affaire. Il s'agit ici de toute information permettant d'identifier une personne physique.
Il y a des cas où ce caractère personnel est évident : un numéro de sécurité sociale ou de document d'identité. Parfois, c'est l'association de plusieurs données qui lui confère ce caractère : un nom de famille seul ne suffit pas à identifier formellement un individu, "il y a plus d'un âne qui s'appelle Martin" dit le proverbe, mais s'il est accompagné d'une adresse postale, cela lèvera l'imprécision et donc le fera entrer dans le domaine de la réglementation.
De même une adresse email isolée, bien qu'unique, ne permet pas toujours de connaître son propriétaire : "jean.dupont456@gmail.com" ne vous aidera pas à pouvoir identifier facilement Jean Dupont, à supposer même qu'il existe. Par contre, si les membres du personnel de votre société "Compagnie Untel" utilisent des adresses email de la forme "jean.dupont@compagnieuntel.com", on pourra faire le lien avec votre employé Jean Dupont.
Car, oui, si les données des entreprises ne sont pas visées (pour l'instant), il s'agit de celles qui ne sont pas rattachées aux personnes qui y travaillent, comme l'adresse de contact de la société, info@compagnieuntel.com, son adresse physique, son SIREN, …
Elles nécessitent une attention particulière, surtout au niveau de leur protection. Sont considérées comme sensibles les données :
On appelle traitement des données toutes les opérations effectuées avec les données personnelles, comme leur collecte, leur sauvegarde, leur modification, leur accès, leur effacement ou leur destruction. Ce traitement est effectué par deux acteurs qu'il convient de définir.
C'est le propriétaire des données : si votre association ou entreprise collecte les données des visiteurs via le site Internet, vous êtes le propriétaire de ces données, vous êtes le responsable du traitement. En tant que tel, vous êtes responsable vis à vis des citoyens de l'usage que vous en ferez (ou que d'autres pourraient en faire !) et c'est à vous de prendre les mesures techniques nécessaires pour en assurer la protection et l'utilisation conforme à celle pour laquelle les utilisateurs vous ont donné leur consentement. Consentement dont, par ailleurs, vous détenez la preuve.
C'est aussi à vous qu'il incombe d'être en conformité avec la directive, d'informer correctement les personnes concernées et d'avoir une convention écrite avec vos sous-traitants.
L'ensemble des responsabilités des responsables du traitement est reprise dans l'article 24 du RGPD.
C'est l'entité qui traite les données en votre nom. Le sous-traitant suit les instructions que vous lui avez fournies, est responsable vis à vis de vous des traitements effectués et doit mettre en place les mesures de sécurité appropriées à l'utilisation et à la nature des données qui lui sont confiées. Il doit tenir un journal des opérations de traitement, vous informer de toute fuite ou violation de données et, s'il s'agit d'une entreprise publique ou traitant les données personnelles à grande échelle, nommer un délégué à la protection des données (Data Protection Officer).
L'ensemble des responsabilités des sous-traitants est reprise dans l'article 28 de la directive.
Concrètement, en tant que propriétaire du site, vous êtes le responsable du traitement. Vous êtes donc légalement responsable de la sécurité des données qu'il collecte, utilise ou conserve. Ce n'est pas la responsabilité de la Fondation Open Source Matters, propriétaire de Joomla!, ni celle de votre Webmaster. Bien entendu, ce dernier pourra vous aider à mettre en place les mesures de sécurité et de conformité adéquates.
Votre hébergeur, lui, est un sous-traitant : c'est via son infrastructure que vous collectez des données et ce sont ses serveurs qui les stockent, même temporairement. Si celui-ci emploie des sous-traitants pour l'une ou l'autre de ces opérations, il doit le faire avec votre accord écrit.
Et vous faites peut-être aussi appel à d'autres sous-traitants : pour votre interface de paiement en ligne (PayPal, votre banque, …), pour vos réservations d'évènements (Weezevent, …), pour votre marketing par email (Mailchimp, Mailjet, ...), etc.
La clé dans ce domaine est la transparence. Il faut que les personnes concernées comprennent, sans ambiguité, dans quel but vous leur demandez leurs données. Cela doit se faire dans un document écrit, facilement consultable (pas d'accès payant ou réservé aux membres) et lisible (pas de jargon juridique ni de "petits caractères").
Un autre point important est la légitimité de la demande, ce qu'on appelle la minimisation de la collecte de données au regard de la finalité : vous ne demandez que ce dont vous avez strictement besoin pour accomplir la mission qu'on vous sollicite.
Par exemple, il est normal qu'un assureur demande de lui fournir une date de naissance car il en a besoin pour établir l'offre d'assurance vie que vous lui avez commandée. Demander votre opinion religieuse lors de votre inscription sur un forum informatique n'est pas légitime et sera en contravention avec le RGPD. Ce n'est pas la fin du marketing et du "profilage" des utilisateurs, c'est une mesure contre les demandes abusives, ainsi que contre une exploitation, à l'insu des utilisateurs, des données via une revente de celles-ci à des partenaires commerciaux. Cette revente est autorisée pour autant que, là aussi, il y ait eu consentement explicite préalable.
Lors de la création d'un compte sur un site, vous pouvez demander l'accord de l'utilisateur pour l'envoi ultérieur de vos offres commerciales. Si vous comptez également faire envoyer des offres par vos partenaires, prévoyez une seconde mention, indépendante de la première. L'utilisateur pourra choisir, librement, l'une ou l'autre option, ou les deux ou aucune. Comme le consentement doit être un acte volontaire et positif de la part du prospect ou du client, vous utiliserez deux cases à cocher (Attention : plus de cases déjà cochées !). N'utilisez pas non plus de formulation négative dans laquelle l'utilisateur doit cocher la case s'il ne veut PAS recevoir d'offres.
Autre exemple classique : l'abonnement à une lettre d'information. Ici aussi, le consentement doit être explicite et le plus facile pour le rendre effectif, c'est d'utiliser ce qu'on appelle le "double opt-in" : l'utilisateur envoie le formulaire d'inscription puis doit confirmer celle-ci en cliquant sur un lien reçu dans un email. Si le lien n'est pas cliqué, l'inscription n'est pas valide. Remarque : comme c'est à vous qu'il incombe d'apporter la preuve du consentement, gardez une trace de cette confirmation.
Cela semble très contraignant mais en réalité il s'agit de ce qui est recommandé comme Bonne Pratique par tous les spécialistes du marketing par email depuis des années. Fini d'inscrire "de force" un visiteur qui a seulement laissé un commentaire sur votre site, vous a contacté pour une offre il y a des mois (voire des années) ou vous a glissé sa carte de visite lors d'une foire commerciale.
C'est sans doute un bon moment pour faire un grand nettoyage de vos listes d'emailing !
Rien n'est éternel ! Vous devrez permettre aux utilisateurs de retirer leur consentement quand ils le souhaiteront et ce, d'une manière facile (et gratuite) pour eux. Attention aux accords données également à des partenaires : si l'accord est retiré pour toutes les utilisations, vous devrez vous assurer que la demande a été relayée, et suivie d'effet, chez les partenaires concernés.
Pour une newsletter, c'est aussi l'application d'une recommandation déjà ancienne : incluez toujours un lien de désabonnement dans vos lettres d'information.
Le RGPD donne un cadre juridique aux droits des utilisateurs :
Si votre collecte de données implique, ou peut impliquer, des enfants, sachez qu'en-dessous de l'âge de 16 ans, vous aurai besoin de l'accord parental. C'est la première fois qu'une mesure est prise en ce sens dans l'Union européenne. Et il ne suffira pas de mettre un menu déroulant permettant d'indiquer sa date de naissance : vous devrez être en mesure de vous assurer de l'âge réel des personnes qui vous laissent leur données. Pas simple donc.
Enfin, n'oubliez pas de prendre en compte la durée de conservation des données personnelles. Celle-ci doit être communiquée aux personnes concernées et être également légitime, c'est-à-dire en accord avec le but annoncé pour leur utilisation. Il est normal de conserver les données personnelles de vos collaborateurs tant qu'ils sont employés chez vous (et sans doute même quelques années après leur départ) car vous en avez besoin pour accomplir toutes sortes de formalités les concernant. De même, pour des raisons fiscales, vous devrez en général conserver 10 ans les informations de facturation d'un client. Mais pourquoi conserver des années les données d'une personne ayant simplement rempli votre formulaire de contact. S'il est devenu client, tant mieux, vous pourrez conserver ses données, sinon, proposez-lui de s'abonner à votre lettre d'information (ne l'abonnez pas d'office !) et s'il ne donne pas de suite à cette proposition, effacez-le de votre base de données. De toutes manières, comme il s'agit d'un prospect obtenu avant la nouvelle législation, il ne vous a pas donné son consentement pour conserver ses informations.
Bien qu'elle ait une portée avant tout éthique, le RGPD a beaucoup d'implications techniques et pratiques. Il est donc important de s'organiser. En France, la CNIL a publié un document détaillant le processus en 6 étapes.
Pour un organisme public ou une organisation traitant des données personnelles sensibles ou à grande échelle, c'est une obligation mais, même si c'est fait de manière plus informelle, c'est également utile pour une petite organisation, dès lors qu'il y a plusieurs collaborateurs impliqués. De cette façon, une seule personne est chargée de coordonner les actions et de centraliser les informations.
Un bon point de départ consiste à faire un inventaire complet et détaillé des données en votre possession. La tenue d'un registre des traitements mis en œuvre est d'ailleurs obligatoire. Posez-vous les bonnes questions pour effectuer cet inventaire :
Maintenant que vous avez une idée claire des informations en votre possession, posez-vous les questions suivantes :
Il est temps de réviser vos mentions d'informations pour qu'elles soient conformes au RGPD. Mettez également en place les procédures qui permettront aux personnes concernées d'exercer les droits mentionnés plus haut. Attention, le règlement fixe un délai de 30 jours maximum pour le traitement des demandes, avec une seule possibilité de prolongement à un mois supplémentaire en cas de demandes nombreuses ou complexes.
Assurez-vous d'abord de savoir où sont conservées les données concernées, puis protégez-en l'accès contre les intrusions externes (pirates) mais aussi éventuellement internes (collaborateur non autorisé). Enfin, si les données sont traitées par des prestataires extérieurs (et leurs éventuels sous-traitants), assurez-vous qu'ils sont bien en conformité avec la réglementation et prévoyez un contrat explicite avec vos propres sous-traitants.
Enfin, n'oubliez pas d'informer correctement tous vos collaborateurs afin que les procédures de sécurité soient respectées, aujourd'hui et sur le long terme.
Pour être, et rester, en conformité avec le RGPD, vous devez documenter toutes les mesures et procédures que vous avez mises en place, les réviser et les mettre à jour régulièrement pour tenir compte des modifications éventuelles dans le type de données collectées, l'identité des sous-traitants, les mesures de sécurité mises en place, la marche à suivre en cas de violation des données, ...
Il y a probablement encore beaucoup à dire sur le sujet mais nous pensons vous avoir brossé le plus gros du tableau. Il est certain que pour beaucoup d'organisations il s'agira (si ce n'est pas encore fait) d'une tâche compliquée et éventuellement coûteuse à accomplir mais pour d'autres, ce sera plutôt l'occasion d'adopter de bonnes habitudes en matière de communication. Au-delà de l'aspect contraignant qu'il peut avoir dans l'immédiat, il faut voir avant tout ce nouveau réglement comme une mesure de responsabilisation collective de la gestion de nos données personnelles. Des vols massifs d'informations parfois sensibles ont eu lieu ces dernières années et il est temps que certains opérateurs soient mis face à leurs responsabilités dans de telles situations.
Pour les organisations plus modestes, des solutions techniques existent, pour Joomla! et les autres CMS, et nous sommes à votre disposition pour les aider à les mettre en conformité.
Laissez-nous vos commentaires ou questions sur la Page Facebook de Better Web.
Pour recevoir automatiquement nos nouveaux articles, abonnez-vous à notre lettre d'information.
Le nom Joomla!® est utilisé sous licence limitée d'Open Source Matters, le propriétaire mondial de la marque de commerce. Better Web n'est ni affilié ni soutenu par Open Source Matters ou le projet Joomla!.