Le Règlement Général sur la Protection des Données (RGPD) impose aux sociétés qui exploitent les informations personnelles des utilisateurs de les renseigner sur ce qu’ils en font.
Que faut-il indiquer ? Dans quelles circonstances devez-vous les renseigner ? Examinons la question en détail.
Les données personnelles
La Commission nationale de l’informatique et des libertés (CNIL) définit une donnée personnelle comme toute information se rapportant à une personne physique qui peut être identifiée. Il y a deux façons d’identifier une personne :
- Identification directe (nom, prénom, etc.)
- Identification indirecte (identifiant, numéro, etc.)
Lorsqu’une action ou un ensemble d’actions sont effectuées sur des informations personnelles, on parle de traitement des données personnelles. La CNIL fournit plusieurs exemples :
- Gestion d’une base de clients
- Collecte des coordonnées des prospects par le biais d’un questionnaire
- Mise à jour d’une base de fournisseurs.
Qu’est-ce que le RGPD ?
Le RGPD, qui a été mis en application le 25 mai 2018, a renforcé la protection des informations personnelles.
Ce règlement encadre le traitement des données de manière uniforme dans toute l’Union européenne.
Selon le RGPD, l’information envers l’utilisateur est obligatoire dans deux situations :
- Lorsqu’il s’agit de collecter directement les données de l’utilisateur, que ce soit de manière active (via un formulaire lors d’un achat en ligne, la souscription à un contrat ou l’ouverture d’un compte bancaire, par exemple) ou par observation de son activité (à travers des outils d’analyse de navigation, de géolocalisation, ou de mesure d’audience)
- Lors de la collecte indirecte des données de l’utilisateur implique la récupération de ces données auprès de partenaires commerciaux, entre autres.
Quand devez-vous renseigner l’utilisateur ?
Le RGPD indique trois moments où vous devez renseigner l’utilisateur :
- Lorsque vous collectez des données personnelles directement auprès de l’utilisateur, vous devez l’informer de cette collecte lors de celle-ci. Dans le cas d’une collecte indirecte, vous devez l’informer le plus tôt possible.
- Vous devez également renseigner l’utilisateur sur l’utilisation de ses données en cas de changement dans leur utilisation
- Enfin, dans un esprit de transparence, vous devez informer l’utilisateur de manière régulière sur l’utilisation de ses données personnelles.
Gestion des informations personnelles : quelles détails fournir à l’utilisateur ?
Le RGPD détaille les renseignements que vous devez fournir. Si un utilisateur vous en fait la demande, vous êtes tenu de lui donner accès aux informations suivantes :
- Identité et coordonnées de l’entité responsable du traitement des données
- Nom et coordonnées du DPO (délégué à la protection des données ) ou d’un point de contact pour les questions concernant la protection des données personnelles
- Fondement juridique du traitement des données (consentement de l’utilisateur, respect d’une obligation légale, exécution d’un contrat…)
- Objectifs des données recueillies (pour la prise de décision automatisée, pour prévenir la fraude, parce que les informations sont exigées par la réglementation…)
- Caractère obligatoire ou facultatif de la collecte des données et les conséquences pour l’individu en cas de non-fourniture des données
- Destinataires ou catégories de destinataires des données
- Durée de conservation des données
- Transferts de données personnelles envisagés vers un pays hors de l’Union européenne
Il est aussi impératif d’informer l’utilisateur de ses droits, notamment son droit d’accès à ses données, sa possibilité de rectifier ou de supprimer ses données, son droit de retirer son consentement et sa possibilité de déposer une plainte auprès de la CNIL.
En cas de collecte indirecte de données, vous devez informer l’utilisateur de la source des données.
À noter
L’information doit être fournie « de manière concise, transparente, compréhensible et facilement accessible, en des termes clairs et simples », selon le RGPD. Son format doit être lisible pour l’utilisateur.
Vous devez informer l’utilisateur du but de l’utilisation de ses données. Pour cela, il est conseillé de mettre en ligne une page « Politique de confidentialité » qui soit accessible et facilement compréhensible par tous les internautes.
Vous devez également offrir à l’utilisateur une méthode simple pour vous contacter.
Gestion des informations personnelles : quand devez-vous obtenir le consentement de l’utilisateur ?
Il y a des situations où l’information ne suffit pas.
Vous devez expressément demander le consentement de l’utilisateur pour le marketing par e-mail et, dans certains cas, lors de l’utilisation de cookies.
Consentement lors de l’utilisation de cookies ou de traceurs publicitaires
Le consentement de l’utilisateur doit être obtenu avant de déposer les cookies liés aux activités publicitaires, les cookies des réseaux sociaux (sur les boutons de partage) et les cookies de mesure d’audience (Analytics, Matomo…).
Consentement dans le cadre de courriels commerciaux
Les destinataires de courriels commerciaux (newsletters) doivent avoir explicitement donné leur accord pour recevoir ces messages, lors de la collecte de leur adresse électronique.
Ce consentement préalable de l’utilisateur doit être obtenu par le biais d’une case à cocher (important : la case ne doit pas être pré-cochée).
Si ses données personnelles sont transmises à des partenaires, l’utilisateur doit également y avoir consenti lors de la collecte de ses données personnelles.
À noter
Si vous ne respectez pas les obligations d’information de l’utilisateur, vous vous exposez à des sanctions : par exemple, tout traitement de données personnelles non consenti est puni de cinq ans de prison et d’une amende de 300 000 euros.
Source : https://www.economie.gouv.fr/entreprises/obligations-donnees-personnelles-rgpd sous licence etalab-2.0