Qu’est-ce qu’une donnée personnelle ? Ce sont toutes les information susceptibles d’identifier une personne, telles que l’adresse IP, prénom, nom, téléphone, adresse, préférences, etc… et cela sur toutes les pages où sont situées des formulaires.

De plus, pour chaque formulaire, vous devrez préciser :

• La nature des données collectées

• La finalité de la collecte

• La durée de conservation des données

Ces informations sont consultables sur les pages de mentions légales et politique de confidentialité. Nous avons rédigé des mentions types permettant de courir les obligations les plus courantes. Il faut néanmoins examiner tous les cas particuliers, notamment dans le cas où les données font l’objet de traitements internes.

La loi RGPD insiste particulièrement sur l’obtention du consentement explicite de l’internaute. Vous n’avez plus le droit de mettre des messages tels que : “En poursuivant votre navigation, vous acceptez…”. Les cases pré-cochées par défaut sont également interdites.

L’accord ne doit permettre aucune ambiguïté. Le RGPD stipule précisément : « Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. »

En pratique : Vous devez donc avoir un bouton « Autoriser » et « Refuser ». Mais vous avez le droit de demander le consentement soit de manière globale, pour tous les services avec une page explicative de l’ensemble des services concernés, soit de le faire un service à la fois.

Le RGPD précise également que tout responsable de traitement doit apporter la preuve du consentement de la personne qui aurait accepté un traitement. Vous devrez donc enregistrer et conserver la preuve.

Par ailleurs, l’internaute doit disposer d’un lien vers une page détaillant la collecte de données.

La RGPD a eut le mérité de définir clairement le champ des données personnelles et de faire prendre conscience aux utilisateurs que de nombreux services étaient (et le sont peut-être encore) capable d’aspirer de nombreuses données personnelles, et ceci en masse.

Le droit à l’oubli ou « droit à l’effacement » :

Il important aussi de noter que l’utilisateur doit avoir un droit d’accès permanent, et de contrôle sur ses propres données. L’article 17 du Règlement Général Européen sur la Protection des Données (RGPD) concernant le « droit à l’effacement » (aussi connu sous le nom de « droit à l’oubli »), permet aux individus de demander la suppression de leurs données personnelles aux entreprises qui les détiennent.

Pour la collecte et le traitement des données, le consentement donné n’a pas de limite de validité. Il est valable tant que l’utilisateur ne change pas d’avis. Mais le consentement pour les cookies a toujours une durée maximale de 13 mois…

Vous devez vous assurer de la sécurité dans la transmission des données lorsqu’un visiteur transmet des informations personnelles comme son nom, son prénom, son adresse email ou son téléphone, son adresse, etc… Votre site doit donc être en https:// et non en http://.

Pour qu’il soit conforme au RGPD les mentions légales de votre site doivent être mises à jour. La loi RGPD énonce également que les mentions légales propres aux traitements de données personnelles sur votre site internet doivent être fournies « au moment où les données sont obtenues ».