Le RGPD, késako ?

Le Règlement Général sur la Protection des Données (RGPD) est un texte qui encadre le traitement des données, de manière égalitaire, dans toute l’Union Européenne. Le RGPD vient renforcer le contrôle des citoyens sur l’utilisation de leurs données personnelles.

Mais qu’est-ce qu’une “donnée personnelle” ?

Il s’agit de toute information qui se rapporte à une personne physique, identifiée ou potentiellement identifiable. Le RGPD confère des droits aux personnes concernées : droits d’accès à leurs informations, de rectification, d’effacement, d’opposition, etc.

Plus qu’un simple règlement, il s’agit d’un ensemble de lois, entré en application le 25 mai 2018 qui complète considérablement la loi française “Informatique et Libertés” de 1978. Cette dernière réglementait déjà le traitement des données personnelles et donc “la liberté de ficher les personnes humaines”. Toutefois, là où la loi “Informatique et Libertés” ne s’appliquait qu’à la France, le RGPD est venu apporter une harmonisation européenne, en plus de compléter et moderniser bien des aspects de la précédente loi française.

L’application du RGPD au sein d’Easylia

Easylia garantit à ses clients, ses salariés et ses fournisseurs le respect de leurs droits lorsqu’ils confient certaines de leurs informations personnelles (par exemple un nom, un prénom, une adresse, etc.). En la matière, la vision d’Easylia est d’intégrer transparence et confiance dans le développement de nos activités.

En effet, ce règlement n’est pas seulement une obligation légale. S’y conformer est aussi l’occasion de mener un questionnement sur notre approche de la gestion de l’information et de sa transformation numérique. Nous considérons que protéger notre patrimoine informationnel fait partie de nos devoirs en tant qu’Entreprise de Services du Numérique.

Une démarache professionnelle et responsable

À l’heure où toutes les entreprises travaillent sur la mise en conformité du traitement des données personnelles, Easylia a souhaité compléter son offre de produits et services par de l’audit RGPD. Pour ce faire, nous nous sommes associés à un cabinet d’expertise spécialisé, 4-Secure. Notre première action a, naturellement, été d’auditer notre activité afin de mettre en lumière notre propre conformité RGPD.

Cette responsabilité, s’ajoutant aux principes de transparence et de loyauté, représente le fondement de la confiance instaurée avec nos collaborateurs et interlocuteurs variés. Cette mission a permis d’élaborer un plan de situation des données collectées afin d’apporter les corrections nécessaire à notre mise en conformité.

Comme le recommande l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), Easylia met aussi un point d’honneur à sensibiliser ses collaborateurs aux bonnes pratiques. En tant qu’Entreprise de Services du Numérique, notre équipe est évidemment formée à l’utilisation responsable des différents outils connectés à Internet (ordinateur, smartphone, accessoire connecté, etc.). Une analyse d’impact a également été réalisée, afin de mesurer les risques de sécurité et de non-conformité éventuelle initiés par chaque traitement de données personnelles.

Désormais, afin de garantir la traçabilité et la responsabilité de nos traitements, nous pouvons fournir, sur demande, les preuves de notre conformité, telles que nos registres de traitement, notre analyse d’impact, etc. C’est en se conformant à la mise en place de ces mesures essentielles que nous pouvons garantir sereinement la protection et le respect de la vie privée de nos collaborateurs.

Pour Easylia, comme pour les autres entreprises, ces mesures introspectives, consécutives à la mise ne place du Règlement Général sur la Protection des Données, n’ont pas pour but d’interdire la collecte et le traitement des données personnelles, contrairement à ce que les détracteurs de ce cadre législatif indiquent parfois. L’objectif unique est d’apporter un cadre qui, bien que perçu comme partiellement contraignant, harmonise les règles en matière de protection des données personnelles, de manière à protéger la vie privée des individus.

CNIL Data protection and insurance

La Commission Nationale de l’Informatique et des Libertés (CNIL) est une autorité administrative indépendante, constituée par la loi n°78-17 du 6 janvier 1978 modifiée, dite « informatique et libertés ». La mission essentielle de la CNIL est de protéger les données personnelles, lors de traitements informatiques.

L’informatique doit être au service de chaque citoyen. […] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Loi 78-17 du 6 janvier 1978 modifiée, article 1er

Entre autres, la CNIL stipule qu’il est nécessaire de protéger les données personnelles qui pourraient être stockées au cours de l’utilisation du réseau Internet, mis à disposition du public. Cependant, les données techniques du trafic doivent être conservées pendant au moins un an. Bien qu’il n’existe pas de limite réelle à la conservation de ces données, une durée maximale de deux ans semble suffisante, afin de respecter l’article 6, alinéa 5 de la loi informatique et libertés.

[Les données à caractère personnel] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Loi 78-17 du 6 janvier 1978 modifiée, article 6, alinéa 5

Si l’identification des personnes est mise en place, par le biais d’un formulaire d’inscription par exemple, les données seront également à conserver pendant un an. Les données techniques seront, quant à elles, anonymisées au-delà de cette période.

Les données de trafic doivent être stockées de manière sécurisée (par exemple chez un hébergeur professionnel).

Seules les personnes habilitées par la loi peuvent les obtenir, notamment les autorités judiciaires dans le cadre d’une procédure pénale, ou la Hadopi. Cette obligation de conserver les données de trafic résulte de la loi de 2001 relative à la sécurité quotidienne ainsi que de la loi de 2006 relative à la lutte contre le terrorisme, et de la loi n°2009-1311 relative à la protection pénale de la propriété littéraire et artistique sur internet, dite « Hadopi 2 ».

Avertissement sur l'usage des cookies

Même si cette image donne une irrésistible envie de cookies à tous les gourmands, la mise en place d’un bandeau de consentement au dépôt de cookie sur son site Internet ne concerne pas le biscuit aux pépites de chocolat. Obligatoire depuis une loi européenne de 2011, vous l’avez forcément déjà croisé en naviguant sur le Web, depuis votre ordinateur, votre tablette, votre mobile, ou même depuis votre console de jeux vidéos connectée à Internet. Cependant, mettre en place un avertissement sur l’usage des cookies avec WordPress restera très simple avec notre sélection de plugins.

Qu’est-ce qu’un cookie ?

Un cookie est un petit fichier déposé par un site Internet sur votre périphérique. Il peut contenir vos préférences de navigation, votre nom d’utilisateur, enregistrer votre panier d’achats ou encore votre avancée dans la lecture d’un article. Tout ce qui peut personnaliser et améliorer votre navigation sur le site que vous visitez, remonter des informations statistiques à l’éditeur, ou encore vous proposer des produits et services ciblés.

Que dit la loi ?

L’obligation d’avertissement sur l’usage des cookies, voire le recueil du consentement du visiteur, sont définis par l’article 32 II de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par ordonnance du 24 août 2011. Cette ordonnance a transposé la directive européenne 2009/136/CE.

Cette obligation de recueil du consentement du visiteur s’impose notamment aux éditeurs de sites, aux régies publicitaires, aux réseaux sociaux et à la plupart des solutions de mesure d’audience. Et si vous faites appel à l’un de ces services (par exemple : analyses de trafic avec Google Analytics ou bouton de Partage Facebook), vous êtes concernés également.

Vos visiteurs doivent donc explicitement vous donner leur accord, pour un dépôt d’une durée maximale de 13 mois, par une action positive (par exemple : poursuite de la navigation, clic sur un bouton).

Retrouvez plus de détails sur le site Internet de la CNIL : « Cookies & traceurs : que dit la loi ? ».

Ajouter une barre d’avertissement sur l’usage des cookies sur votre site WordPress

Plusieurs plugins WordPress vous permettent simplement de vous mettre en conformité avec cette loi.

Cookie Notice

Celui que nous utilisons sur nos sites et ceux de nos clients. Libre et gratuit, il fonctionne sans configuration particulière, mais propose plusieurs personnalisations simples et pratiques :

  • Message du bandeau
  • Ajout possible d’un bouton « En savoir plus » avec libellé et lien
  • Possibilité d’acceptation de cookie au défilement de la page (non conforme à la loi française, je vous déconseille de cocher cette option)
  • Durée de stockage des cookies
  • Position, couleur et style du bandeau et du bouton
  • Blocage des cookies tiers non nécessaires
  • Compatible WPML et Polylang

Cookie Consent

Simple d’utilisation et avec des options assez similaires. Il permet également de n’afficher le bandeau que sur la première page visitée. Bien que cette option semble alléchante, elle ne peut être utilisée que dans les pays européens n’imposant pas un accord actif des cookies.

Une page « Cookie Policy » est automatiquement créée, avec une explication rapide du fonctionnement des cookies et un lien vers le site AboutCookies.org. Pensez à personnaliser cette page.

EU Cookie Law

Un dernier pour la fin. Ce plugin permet également de révoquer son consentement.

Beaucoup d’autres plugins (pour la plupart gratuits) permettent également de gérer cette demande de consentement de vos visiteurs. N’hésitez pas à nous faire part de vos tests dans les commentaires.