TGE-PME : Protection des données numériques de votre site internet avec le RGPD

Depuis déjà quelques mois, l’arrivée du RGPD* a été hautement annoncée sur les médias. On parle de grand bouleversement sur la maîtrise de la donnée client. La loi est toute récente cependant elle n’est pas forcément un chamboulement pour les entreprises structurées et responsables envers leurs clients mais une vraie révolution pour toutes les entreprises mal organisées ou pas forcément transparentes auprès de leurs utilisateurs. Mais alors le RGPD est-il une contrainte ou une opportunité pour votre business ?

*RGPD (ou GDPR en anglais): Règlement Général de Protection des Données (General Data Protection Regulation)

Le RGPD est enfin là !

L’analyse marketing et la collecte de données personnelles (Big Data) est devenue l’objectif numéro 1 à tous les niveaux : les « petits sites » comme les sites à fort trafic, les appareils connectés et les smartphones récoltent quotidiennement nos données. Depuis des années les entreprises tirent profit de cette récolte et analysent toutes les données des utilisateurs. Les GAFA par exemple (Google, Apple, Facebook, Amazon) entraînent un vrai enjeu spéculatif, économique et renforcent, avec d’autres mauvaises pratiques des entreprises, la méfiance de la part des consommateurs.
Dans ce constat, les pays européens ont décidé de s’allier afin de maîtriser les abus. Le RGPD est né avec un texte de loi qui a été voté en 2016 et est en vigueur depuis le 25 mai 2018. La CNIL (Commission Nationale de l’Informatique et des Libertés) est la gardienne Française de la liberté des données des consommateurs et fait régner la bonne démarche de la loi auprès des sociétés de son territoire.

Tous les business sont touchés

Les TPE et PME de l’union Européenne sont soumises aux mêmes obligations et sanctions que toutes les entreprises et organismes publics. Elles doivent toutes appliquer les principes du RGPD vis-à-vis de leurs clients, fournisseurs, prospects et salariés et conserver une trace des démarches de conformité dans l’entreprise en interne, avec les partenaires et les fournisseurs, sous forme papier ou électronique. La CNIL a pour mission d’accompagner, responsabiliser la mise en conformité des entreprises ou encore de punir les sociétés récalcitrantes. Le RGPD distingue deux montants de sanctions différents. Pour faire simple, les punitions peuvent monter jusqu’à 4% du chiffre d’affaires annuel consolidé mondial ou 10 millions d’euros… Tout de même… ça fait réfléchir. La première sanction en France à ce jour s’est élevée à 250 000 euros. Mais alors comment applique-t-on la loi sur son site eCommerce ou site vitrine ?

Les 5 grandes lignes pour se conformer au RGPD sur Internet :

Pour rentrer dans les détails nous n’allons pas plagier le site internet de la CNIL qui – soit dit en passant – a fait un beau travail de documentation et d’explications approfondies de la démarche que nous vous invitons à lire à la fin de cette article. Mais pour synthétiser :

Les technologies ciblées par le RGPD

Vous êtes responsable de toutes les données (Off ou Online) permettant d’identifier directement ou indirectement une personne physique (publipostage, cookies, traceurs, scoring, carte de fidélité,…) provenant de vos propres bases de données mais également de vos sous-traitants. Vérifiez bien la conformité de vos partenaires tiers !

Consentement de l’acquisition de la donnée

Fini les “Opt-in” automatiques et les cases à cocher par défaut, les personnes doivent donner leurs consentements explicites et peuvent s’ils le souhaitent activer totalement ou partiellement la quasi-totalité des cookies (publicitaires, fonctionnels et analytiques). De nos jours certains sites internet ou applications contraignent les internautes à donner un consentement d’utilisation de leur données pour continuer à utiliser leur service… Une pratique non autorisée par le RGPD (Comme on peut le constater dans l’article de la fabrique du consentement de Facebook). De plus, vous devez clairement informer les personnes de leurs droits et des objectifs de la collecte de leurs données. Un gros travail sur les formulaires, mentions légales et le paramétrage de cookies en perspective !

Stockage de la donnée impératif de suivi

Maîtriser vos informations en tenant un registre de consentement associé à une durée de conservation maximum pour chaque donnée. Les droits d’accès à l’information doivent être accessibles au personnel selon le degré d’utilisation de la base et de ses missions (éviter qu’un stagiaire ait accès à toutes les données, par exemple…). Sinon l’anonymisation et la pseudonymisation sont de rigueur. Attention, ici encore certaines brèches existent et persistent, selon la localisation de l’entreprise (UE, hors UE, USA,…).

Traitement de la donnée

La fin des fichiers individuels la CNIL impose de cartographier la donnée permettant ainsi de localiser les données personnelles et faciliter la mise en place d’un registre de consentement (art 10). Une organisation qui permet de qualifier la donnée en utilisant les métadonnées. Le traitement est obligatoire pour les entreprises de plus de 250 personnes ou de toute taille si un traitement particulier de la donnée est adapté. Concernant les données sensibles, l’entreprise doit au préalable faire une demande à la CNIL qui se réserve le droit d’accepter ou non leur utilisation.

Le profilage légal sous conditions

C’est désormais une pratique entrée dans les mœurs des marketeurs : les sites internet doivent informer clairement à l’internaute que ses données comportementales seront utilisées pour le profilage et ce dernier doit l’accepter sans équivoque. L’internaute peut demander à l’entreprise de présenter toutes ses informations stockées et demander à faire cesser le profilage ou effacer les données s’il le souhaite. Toutes demandes d’oppositions devront être inscrites dans un registre par l’entreprise.

Le RGPD, une contrainte qui devient une opportunité !

N’oubliez pas que la maîtrise et la sécurité de votre base de données peuvent provenir des internautes de votre site et également de données internes (salarié, fournisseur, presse, …). Pour se responsabiliser, il est donc important qu’un référent soit désigné (DPD) pour contrôler la gestion ainsi que l’accès sécurisé de toutes les données dans toutes les entreprises. Sur le Web avec le RGPD, les marketeurs des entreprises auront moins de données à disposition, c’est sûr ! Mais en obtenant le consentement explicite, la qualité des interactions sera largement meilleure car moins intrusives et votre R.O.I sera plus avantageux (Imaginez qu’avec une base de données qualifiée respectant le RGPD, vous mettiez en place une stratégie marketing adaptée voire automatisée) !

Nous sommes conscient qu’une méthodologie doit être mise en place dans chaque société mais en plus de la sécurité des informations, le gain de productivité en gestion et en vente est important. Asdoria peut vous l’assurer, le jeu en vaut la chandelle !

L’agence Asdoria a forgé ses compétences dans diverses TGE et PME, ce qui lui permet d’avoir une vision globale de la gestion de la donnée numérique et le management d’entreprise. Du management allant de la qualité, à la base de données et à l’administration de système sécurisé, Nous saurons vous conseiller et vous proposer les outils efficaces qui vous correspondent. Alors contactez-nous !

Alors, contactez nous !

Plus d’informations sur le RGPD avec la CNIL

Quelques sources si vous souhaitez approfondir davantage le sujet :

Les données à caractères personnelles sont entrées dans l’ère du RGPD (Importer Image HD dans WordPress):
https://clusif.fr/content/uploads/2018/03/infogRGPD-800×559.jpg

Guide de sensibilisations au RGPD pour TGP-PME :
https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf

Construire son email marketing adapté au RGPD :
https://fr.sendinblue.com/blog/infographie-comment-adapter-votre-email-marketing-au-rgpd/

Hors UE la données peut avoir des niveaux de protections moins sûrs :
https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

Le double jeu de Facebook avec le RGPD :
http://www.rtl.fr/actu/futur/le-double-jeu-de-facebook-avec-le-rgpd-7793126088

Posted by Julie Sébille

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
ss	session	Ce cookie est défini par le fournisseur Eventbrite. Ce cookie est utilisé pour la fonctionnalité de la fonction chat-box du site Web.
TawkConnectionTime	session	Tawk.to, une fonctionnalité de chat en direct, définit ce cookie. Pour un service amélioré, ce cookie aide à mémoriser les utilisateurs afin que les discussions précédentes puissent être liées entre elles.

Cookie	Duration	Description
_ga	2 years	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 day	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Duration	Description
mautic_device_id	Never	Ce cookie est défini par le fournisseur Mautic. Ce cookie est utilisé pour identifier le visiteur à travers les visites et les appareils. Les cookies Mautic sont utilisés pour soutenir les activités de marketing.
mautic_referer_id	30 minutes	Ce cookie est déposé par le fournisseur Mautic. Ce cookie est utilisé à des fins de marketing. Il aide à suivre les personnes soumettant des formulaires.
mtc_id	Nerver	Ce cookie est défini par le fournisseur Mautic. Ce cookie est utilisé pour définir un identifiant unique pour le visiteur, pour suivre le visiteur sur plusieurs sites Web afin de lui proposer des publicités pertinentes. Les cookies Mautic sont utilisés pour soutenir les activités de marketing.
mtc_sid	Never	Ce cookie est défini par le fournisseur Mautic. Ce cookie est utilisé pour définir un identifiant unique pour le visiteur, pour suivre le visiteur sur plusieurs sites Web afin de lui proposer des publicités pertinentes. Les cookies Mautic sont utilisés pour soutenir les activités de marketing.