Focus sur le RGPD et la gestion des cookies

Ces 10 derniers années, la collecte de données de tous types est devenue un enjeu majeur sur Internet. Constatant leur fuite progressive (notamment personnelles) et leur exploitation massive au travers de services jugés plutôt flous, les pays de l'Union Européenne ont décidé de protéger leurs concitoyens via la mise en application du RGPD. Découvrez ce que cela implique.

RGPD : un petit rappel historique

La « Commission Nationale de l’Informatique et des Libertés » (CNIL) a été créée en 1978 afin de protéger les données des concitoyens. C’est dans ce contexte qu’est créée en 1978 la loi « Informatique et Libertés » qui est étendue en mai 2016 en « Règlement Général sur la Protection des Données » (RGPD) avec mise en application au 23 mai 2018 et s’appliquant à toutes les données concernant des Européens. C’est aussi dans son rôle de protection que l’usage des cookies est soumis en Europe à des règles visant à redonner le contrôle à l’utilisateur du pistage pouvant être effectué à son insu.

RGPD : les 7 étapes clés

Responsabiliser, tracer, informer, sécuriser, nettoyer, respecter, contrôler... autant d'actions qui protègent les utilisateurs de l'exploitation de leurs données personnelles.

Découvrez plus en détails ce que cela signifie concrètement et quelles sont les obligations des entreprises sur le territoire national et européen.

1

Responsabiliser

Le propriétaire d’une solution digitale (site Internet et / ou application mobile, etc.) est désormais désigné comme « Responsable de Traitement » des données personnelles collectées directement ou indirectement par celle-ci. Il a ainsi le devoir de s’assurer de la protection de ces données.

Dès lors, le choix des sous-traitants est primordial, tant dans la conception que dans l’exploitation. En effet, les sous-traitants ont eux aussi leur part quant aux responsabilités et obligations sur ces données. En cas de manquement de tout ou partie de cette chaîne, la CNIL pourra être amenée à les sanctionner lourdement.

2

Tracer

Le responsable de traitement comme les sous-traitants ont l’obligation de tenir un registre des traitements de l’ensemble des données personnelles dont ils ont la gestion.

Ce registre a pour but de permettre d’avoir une vision centralisée des données pour en mesurer les risques (volume, sensibilité, enjeux, …), mais aussi pour agir plus rapidement après un incident de sécurité. Ainsi, en cas de fuite de données, un registre des incidents sera complété, la CNIL sera informée dans les 72h, et selon le risque représenté, le utilisateurs concernés seront notifiés.

3

Informer et obtenir le consentement

Chaque formulaire demandant des données personnelles doit préciser succinctement l’usage qui en sera fait. Le demandeur doit consentir explicitement à chaque finalité d’usage autre que la finalité principale et doit pouvoir effectuer sa demande sans ces consentements. Une information plus détaillée, globale ou par formulaire, doit être faite et contenir :

  • Un rappel des droits de l’utilisateur
  • L’/les usage(s) fait(s) des données
  • Le(s) lieu(x) de stockage des données
  • La durée de conservation et d’archivage des données
4

Sécuriser

Le responsable des traitements doit s’assurer des moyens mis en œuvre tant dans la conception que dans l’exploitation de la solution digitale (site Internet, application mobile, etc.).

La sécurité doit être pensée en amont, lors de la phase d’élaboration, lors du choix de la technologie et des sous-traitants engagés. Au-delà de l’aspect technique, la sécurité passe également par la collecte des données : celle-ci doit être minimaliste en ne collectant que le strict nécessaire pour répondre à la finalité du besoin et non pour des besoins marketings, carnet d’adresses, etc.

5

Nettoyer

Les données personnelles doivent être stockées pour un délai en adéquation avec la finalité avec laquelle elles ont été collectées. Au-delà, les données personnelles doivent être effacées ou anonymisées. Un délai complémentaire d’archivage déconnecté est autorisé.

6

Respecter les droits

L’utilisateur a différents droits : droit d’accès, droit de rectification, droit à l’oubli et droit de portabilité. Il doit ainsi pouvoir exercer ses droits soit en autonomie, soit sur demande. Le traitement de cette demande ne devant pas excéder 1 mois.

7

Garder le contrôle

Les données personnelles doivent rester sur le sol Européen. De fait, pour une entreprise française, choisir un hébergeur Français à taille humaine est souvent la garantie de localiser le lieu de stockage de ses données.

Attention toutefois aux choix des éventuelles APIs de fournisseurs en mode SaaS (sous-traitants) qui peuvent être amenés à collecter des données transitant et / ou stockées et / ou archivées sur des serveurs hors de l’Union Européenne, voire simplement exploitées ou revendues à des tierces.

Cookies : évitez l'indigestion

Aucun cookie (sauf exception) sans consentement explicite

L’utilisateur doit pouvoir accepter ou refuser les cookies avec la même simplicité. Il doit aussi pouvoir choisir les cookies qu’il accepte par finalité et revenir aisément sur ses choix. Il existe quelques cas d’exception :

  • Pour les cookies techniques, internes à la solution digitale et nécessaires à son bon fonctionnement
  • Pour les outils indépendants respectant le RGPD et dont le prestataire n’utilise pas les données pour son propre compte
 

Limiter leur durée de validité

La durée de validité d’un cookie ne pourra excéder 13 mois. Dans le cas d’informations collectées par le biais de cookies, celles-ci ne pourront être conservées plus de 25 mois.

 

Informer via un bandeau cookie

Une brève information, pouvant prendre la forme classique d’un bandeau cookie, accompagnée des choix possibles, sera complétée par une description plus détaillée. Cette description détaillée listera les cookies, leur finalité et leur durée. Elle rappellera aussi ce qu’est un cookie, les différents types (par session ou permanents) et comment les gérer / supprimer.

Cookies : des pistes pour les maîtriser

Depuis plusieurs années, les navigateurs Web et systèmes d’exploitation se mettent au diapason dans la protection du traçage des utilisateurs, et notamment côté cookies. A ce titre, plusieurs d’entre eux bloquent désormais par défaut certaines catégories de cookies, de services de traçage voire de services tierces trop intrusifs.

Et pour les années à venir, de nouveaux projets émergent comme :

  • La possibilité de définir une fois pour toute ses choix en matière de traçage et de pose de cookies tierces (au lieu de devoir le faire individuellement et à chaque fois, site après site pour chaque usage et types de cookies proposés)
  • De remplacer l’usage trop précis et détaillé des cookies par des technologies plus larges et anonymes comme le suivi des cohortes. Ces dernières permettant de connaître et d’analyser des caractéristiques communes, sans biais.

Le pôle hébergement

Niveau de sécurité élevé et respect des standards internationaux, protection de vos données personnelles sur des serveurs situés en France, expertise technique, disponibilité, sauvegardes régulières... Nos experts ont plus de 20 ans d'expérience autour des infrastructures liées à l'hébergement de sites Internet et à l'infogérance Web.

Découvrir le pôle hébergement

RGPD : on vous accompagne

Vous souhaitez mettre votre site en conformité ? Nous sommes bien au fait du sujet et disposons d’un pôle d’expertise à même de répondre à toutes vos questions et besoins sur le sujet.

Contactez-nous sans attendre via notre formulaire ou appelez-nous au 02 38 21 55 21.

*champs obligatoires

Les informations personnelles saisies dans ce formulaire sont facultatives. Elles serviront exclusivement le traitement de votre demande (en savoir plus).