Au sommaire de cet article :
La protection des données personnelles est un sous-ensemble de la cybersécurité. Son objectif est de garantir que les informations données par les utilisateurs afin de bénéficier d’un service, ne soient pas utilisées à mauvais escient ou volées.
Ces dernières années, la protection des données a été un sujet crucial dans le secteur du numérique. Nombreux sont les sites, logiciels ou applications qui nécessitent de renseigner des données personnelles pour pouvoir être utilisés. Cela peut être le nom, l'âge, les coordonnées, mais pas seulement. Les messages que nous écrivons ou les photos que nous partageons peuvent également être stockées. Ces informations peuvent servir au bon fonctionnement des plateformes et services mais peuvent également être vendues et utilisées, le plus souvent à des fins publicitaires.
Des mesures ont alors été prises pour garantir la protection des données personnelles dans le secteur du numérique.
En Europe, l’entrée en vigueur en 2018 du Règlement Général sur la Protection des Données (RGPD) vise à réguler la collecte, le traitement et la conservation des données personnelles par les organisations. Le RGPD :
Le RGPD s'applique à toutes les entités traitant des données personnelles de résidents de l'UE, quelle que soit leur localisation.
La France a également toujours été sensible au sujet de la protection des données, avec notamment la Loi Informatique et Libertés de 1978.
Chaque fois que l’on souhaite créer un nouveau site, une application ou un logiciel métier, on doit se poser la question de la protection des données des utilisateurs, qu’ils soient nos clients, collaborateurs ou simples intéressés. C’est ce qu’on appelle le Privacy by design.
Le "Privacy by Design" est une approche visant à garantir la protection de la vie privée dès la conception d'une solution numérique. Elle consiste à anticiper les risques, à intégrer la confidentialité par défaut, à préserver les fonctionnalités prévues tout en assurant la transparence sur la gestion des données.
Lorsque vous souhaitez respecter le Privacy by Design lors de la création d'un site web par exemple, vous pouvez vous poser les questions suivantes :
DPO vs Responsable du traitement : kesako ?
Le "Responsable du Traitement" décide comment et pourquoi les données personnelles sont traitées, garantissant leur conformité au RGPD. Cela peut être une personne morale ou physique. En parallèle, le "Délégué à la Protection des Données" (DPO), indépendant, surveille la conformité, conseille le responsable du traitement, sensibilise le personnel et agit comme le point de contact pour les individus concernés. Bien que la désignation d'un DPO soit obligatoire dans certains cas, elle peut également être volontaire pour renforcer la conformité au RGPD.
Vos utilisateurs doivent pouvoir s’informer sur le traitement de leurs données sur votre plateforme / application.
Il est d’usage de proposer une page Politique de confidentialité qui détaille la manière dont la solution collecte, stocke, traite et partage les données. Cette page doit être complète et facilement accessible.
Soyez transparent sur la manière dont vous utilisez ces données. Si vous partagez des données avec des tiers, informez-en les utilisateurs et obtenez leur consentement si nécessaire.
Toutes les données récoltées, dont l’utilisation n’est pas obligatoire pour le fonctionnement de la plateforme, requièrent le consentement de l’utilisateur. Ces données peuvent par exemple être des :
Le cas du remplissage de formulaires
Quand un utilisateur saisit des informations personnelles dans un formulaire, comme lors de son inscription à une newsletter ou d'un téléchargement de livre blanc, il doit être informé du traitement réservé à ces données.
Cette information est généralement accessible via des mentions légales, incluant un lien vers la politique de confidentialité et les coordonnées du responsable du traitement.
Les utilisateurs doivent être informés si leurs données sont utilisées à d'autres fins que celles initialement prévues, par exemple, à des fins de prospection commerciale. Des cases à cocher (optin) peuvent être utilisées pour obtenir explicitement le consentement de l'utilisateur pour chaque utilisation spécifique des données. Évidemment, un consentement explicite signifie que ces cases ne doivent pas être pré-cochées.
A contrario, un formulaire de devis nécessitant des informations telles que le nom et le numéro de téléphone n'exige pas de consentement, car ces données sont indispensables pour répondre à la demande.
Le cas du tracking pour l’analyse de statistiques
De nombreux sites ou applications utilisent des plateformes d’analytics qui leur permettent de récolter des informations sur les parcours et les préférences de leurs utilisateurs. L’objectif est de comprendre les comportements pour améliorer leur expérience sur une plateforme. Les données comportementales ne sont pas considérées comme “essentielles” au bon fonctionnement d’une solution numérique. Elles nécessitent le consentement des utilisateurs.
Chaque entreprise récoltant des données personnelles non essentielles - via un système de cookies déposés sur le terminal de l’utilisateur - doit mettre en place une politique de gestion de ces cookies ainsi qu’un bandeau permettant aux utilisateurs de donner ou non leur consentement pour ce dépôt.
C’est quoi des cookies ?
Les cookies sont des “capteurs” stockés sur le navigateur web de l’utilisateur. Ils servent à enregistrer des informations sur la navigation, comme les préférences, les interactions et ont pour objectif de proposer une expérience optimale sur un site. Les cookies sont utilisés à diverses fins. Initialement conçus pour permettre à l’utilisateur de conserver ses préférences entre chaque session de navigation, ils sont aujourd’hui des outils permettant l'analyse du comportement des utilisateurs. Certains cookies sont essentiels au fonctionnement du site, tandis que d'autres nécessitent le consentement de l'utilisateur conformément au RGPD. L’ajout d’un bandeau de gestion des cookies est obligatoire dès que des données personnelles non obligatoires sont récoltées par une solution numérique.
De manière générale, le bandeau cookies :
L’utilisateur doit pouvoir y accéder facilement à tout moment pour modifier ses choix. Le RGPD insiste sur le fait qu’il doit être aussi simple d’accepter que de refuser les cookies.
Pour assurer la sécurité des données clients, plusieurs solutions techniques doivent être mises en œuvre, par exemple :
Il est à noter que les solutions techniques ne sont pas le seul moyen de répondre aux exigences du RGPD. Il est parfois plus judicieux de mettre en œuvre manuellement certaines interventions humaines plutôt que de concevoir des usines à gaz logicielles.
Chez Novaway, notre engagement envers la protection des données personnelles est au cœur de chaque projet numérique. Forts de notre expérience, nous avons développé une sensibilité approfondie grâce aux différents cas de figure que nous avons rencontrés. Cela nous a permis de développer des automatismes quant aux bonnes pratiques à respecter pour protéger les données de vos utilisateurs. À travers une phase de conception, nous nous engageons à intégrer le privacy by design, posant les questions cruciales pour garantir la conformité au RGPD.