Protection des données personnelles, RGPD : dans quelle mesure ma solution numérique est-elle concernée ?

Au sommaire de cet article :

• Qu'est-ce que la protection des données dans le numérique ?
• Les actions mises en place pour garantir la protection des données
• Dans quelle mesure ma solution numérique est-elle concernée ? (avec 2 exemples concrets)
• Etapes clés de la protection des données pour la création de solution numériques
• Récapitulatif des bonnes pratiques pour assurer la conformité au RGPD

Qu'est-ce que la protection des données dans le numérique ?

La protection des données personnelles est un sous-ensemble de la cybersécurité. Son objectif est de garantir que les informations données par les utilisateurs afin de bénéficier d’un service, ne soient pas utilisées à mauvais escient ou volées.

Ces dernières années, la protection des données a été un sujet crucial dans le secteur du numérique. Nombreux sont les sites, logiciels ou applications qui nécessitent de renseigner des données personnelles pour pouvoir être utilisés. Cela peut être le nom, l'âge, les coordonnées, mais pas seulement. Les messages que nous écrivons ou les photos que nous partageons peuvent également être stockées. Ces informations peuvent servir au bon fonctionnement des plateformes et services mais peuvent également être vendues et utilisées, le plus souvent à des fins publicitaires.

Les actions mises en place pour garantir la protection des données

Des mesures ont alors été prises pour garantir la protection des données personnelles dans le secteur du numérique.

En Europe, l’entrée en vigueur en 2018 du Règlement Général sur la Protection des Données (RGPD) vise à réguler la collecte, le traitement et la conservation des données personnelles par les organisations. Le RGPD :

• Accorde aux individus un plus grand contrôle sur leurs données
• Exige un consentement explicite pour leur récolte et leur utilisation
• Impose des obligations de sécurité renforcées
• Prévoit des sanctions en cas de non-conformité

Le RGPD s'applique à toutes les entités traitant des données personnelles de résidents de l'UE, quelle que soit leur localisation.

La France a également toujours été sensible au sujet de la protection des données, avec notamment la Loi Informatique et Libertés de 1978.

Dans quelle mesure ma solution numérique est-elle concernée ?

Chaque fois que l’on souhaite créer un nouveau site, une application ou un logiciel métier, on doit se poser la question de la protection des données des utilisateurs, qu’ils soient nos clients, collaborateurs ou simples intéressés. C’est ce qu’on appelle le Privacy by design.

Le "Privacy by Design" est une approche visant à garantir la protection de la vie privée dès la conception d'une solution numérique. Elle consiste à anticiper les risques, à intégrer la confidentialité par défaut, à préserver les fonctionnalités prévues tout en assurant la transparence sur la gestion des données.

Lorsque vous souhaitez respecter le Privacy by Design lors de la création d'un site web par exemple, vous pouvez vous poser les questions suivantes :

• Quelles sont les données que je souhaite récolter ?
• Quelle est la finalité du traitement de chacun des types de données ?
• De quelles données ai-je vraiment besoin pour mener à bien mon activité ?
• Comment les utilisateurs pourront-ils prendre connaissance de ce traitement, donner leur consentement ou le retirer, consulter les données stockées à leur sujet ?
• Quelles mesures de sécurité techniques (automatiques ou manuelles) seront mises en place pour les protéger ?
• Qui sera responsable du traitement ? Ai-je besoin de désigner un DPO (un délégué à la protection des données) ?
• Quelles seront les durées de conservation ?
• Les données ont-elles vocation à être partagées ?

DPO vs Responsable du traitement : kesako ?

Le "Responsable du Traitement" décide comment et pourquoi les données personnelles sont traitées, garantissant leur conformité au RGPD. Cela peut être une personne morale ou physique. En parallèle, le "Délégué à la Protection des Données" (DPO), indépendant, surveille la conformité, conseille le responsable du traitement, sensibilise le personnel et agit comme le point de contact pour les individus concernés. Bien que la désignation d'un DPO soit obligatoire dans certains cas, elle peut également être volontaire pour renforcer la conformité au RGPD.

Étapes clés de la protection des données pour la création de solutions numériques

Informer les utilisateurs sur le traitement de leurs données personnelles

Vos utilisateurs doivent pouvoir s’informer sur le traitement de leurs données sur votre plateforme / application.

Il est d’usage de proposer une page Politique de confidentialité qui détaille la manière dont la solution collecte, stocke, traite et partage les données. Cette page doit être complète et facilement accessible.

Soyez transparent sur la manière dont vous utilisez ces données. Si vous partagez des données avec des tiers, informez-en les utilisateurs et obtenez leur consentement si nécessaire.

Obtenir le consentement pour tout traitement non obligatoire

Toutes les données récoltées, dont l’utilisation n’est pas obligatoire pour le fonctionnement de la plateforme, requièrent le consentement de l’utilisateur. Ces données peuvent par exemple être des :

• Données d’identification : nom, prénom, numéro de téléphone, adresse mail ou postale
• Données professionnelles : poste, entreprise, secteur d’activité…
• Données de gestion : témoignages et informations liées au projet
• Données comportementales : informations relatives à votre navigation pour mieux comprendre le parcours des utilisateurs
• Données sensibles : orientation sexuelle, religion, santé… Le RGPD impose une attention particulière à cette catégorie.

Deux exemples concrets sur la protection des données

Le cas du remplissage de formulaires

Quand un utilisateur saisit des informations personnelles dans un formulaire, comme lors de son inscription à une newsletter ou d'un téléchargement de livre blanc, il doit être informé du traitement réservé à ces données.

Cette information est généralement accessible via des mentions légales, incluant un lien vers la politique de confidentialité et les coordonnées du responsable du traitement.

Les utilisateurs doivent être informés si leurs données sont utilisées à d'autres fins que celles initialement prévues, par exemple, à des fins de prospection commerciale. Des cases à cocher (optin) peuvent être utilisées pour obtenir explicitement le consentement de l'utilisateur pour chaque utilisation spécifique des données. Évidemment, un consentement explicite signifie que ces cases ne doivent pas être pré-cochées.

A contrario, un formulaire de devis nécessitant des informations telles que le nom et le numéro de téléphone n'exige pas de consentement, car ces données sont indispensables pour répondre à la demande.

Le cas du tracking pour l’analyse de statistiques

De nombreux sites ou applications utilisent des plateformes d’analytics qui leur permettent de récolter des informations sur les parcours et les préférences de leurs utilisateurs. L’objectif est de comprendre les comportements pour améliorer leur expérience sur une plateforme. Les données comportementales ne sont pas considérées comme “essentielles” au bon fonctionnement d’une solution numérique. Elles nécessitent le consentement des utilisateurs.

La mise en place d’une politique de gestion des cookies

Chaque entreprise récoltant des données personnelles non essentielles - via un système de cookies déposés sur le terminal de l’utilisateur - doit mettre en place une politique de gestion de ces cookies ainsi qu’un bandeau permettant aux utilisateurs de donner ou non leur consentement pour ce dépôt.

C’est quoi des cookies ?

Les cookies sont des “capteurs” stockés sur le navigateur web de l’utilisateur. Ils servent à enregistrer des informations sur la navigation, comme les préférences, les interactions et ont pour objectif de proposer une expérience optimale sur un site. Les cookies sont utilisés à diverses fins. Initialement conçus pour permettre à l’utilisateur de conserver ses préférences entre chaque session de navigation, ils sont aujourd’hui des outils permettant l'analyse du comportement des utilisateurs. Certains cookies sont essentiels au fonctionnement du site, tandis que d'autres nécessitent le consentement de l'utilisateur conformément au RGPD. L’ajout d’un bandeau de gestion des cookies est obligatoire dès que des données personnelles non obligatoires sont récoltées par une solution numérique.

De manière générale, le bandeau cookies :

• Fournit une brève explication de ce qu'est un cookie et de son utilité sur le site ou l'application
• Offre la possibilité d'accepter, de refuser ou de personnaliser les choix de consentement
• En cliquant sur "Personnaliser", le bandeau répertorie les différents cookies utilisés, qu'ils soient obligatoires ou optionnels, permettant à l'utilisateur de définir ses préférences

L’utilisateur doit pouvoir y accéder facilement à tout moment pour modifier ses choix. Le RGPD insiste sur le fait qu’il doit être aussi simple d’accepter que de refuser les cookies.

Sécuriser les données personnelles par la technique

Pour assurer la sécurité des données clients, plusieurs solutions techniques doivent être mises en œuvre, par exemple :

• Crypter les données sensibles pour assurer leur confidentialité
• Appliquer des protocoles de sécurité avancés pour garantir la sûreté des transactions en ligne
• Protéger la solution contre les cyberattaques avec des pare-feu, antivirus et détection d'intrusion
• Limiter l'accès aux données personnelles aux employés autorisés, avec des contrôles d'accès stricts, et les former sur la protection des données
• Définir des délais de conservation appropriés en respectant les obligations légales 
• Effectuer des évaluations régulières des risques et prendre des mesures préventives pour maintenir une protection solide

Il est à noter que les solutions techniques ne sont pas le seul moyen de répondre aux exigences du RGPD. Il est parfois plus judicieux de mettre en œuvre manuellement certaines interventions humaines plutôt que de concevoir des usines à gaz logicielles.

Récap’ des bonnes pratiques pour assurer la conformité au RGPD

• Respecter le principe du privacy by design, mettre en pratique les mesures de protection des données dès la phase de conception du projet
• Obtenir un consentement clair et volontaire avant de traiter les données
• Informer de manière transparente sur l'utilisation des données (fonctionnement, durée de conservation, droits…)
• Collecter uniquement les données nécessaires au bon déroulement de votre activité
• Donner la possibilité d’accéder et rectifier ses données
• Mettre en place des mesures de sécurité appropriées
• Vérifier la conformité RGPD des partenaires, établir des accords pour respecter les données
• Évaluer les risques, par exemple en mettant en place une analyse d'impact sur la vie privée (PIA)
• Informer rapidement vos utilisateurs en cas de violation de leurs données personnelles
• Documenter les pratiques de traitement des données dans un registre dédié
• Sensibiliser et former le personnel sur les pratiques liées au RGPD

Votre projet numérique conforme au RGPD avec Novaway

Chez Novaway, notre engagement envers la protection des données personnelles est au cœur de chaque projet numérique. Forts de notre expérience, nous avons développé une sensibilité approfondie grâce aux différents cas de figure que nous avons rencontrés. Cela nous a permis de développer des automatismes quant aux bonnes pratiques à respecter pour protéger les données de vos utilisateurs. À travers une phase de conception, nous nous engageons à intégrer le privacy by design, posant les questions cruciales pour garantir la conformité au RGPD.