Protection des données et sites annonceurs – comment respecter le RGPD ?

 

Le Règlement européen sur la Protection des Données n°2016/679 du 27 avril 2016 (« RGPD ») constitue désormais la nouvelle norme régissant, en Europe, la protection des données à caractère personnel. Ce texte reprend et approfondit certaines obligations qui existaient déjà dans la loi française n°78-17 du 6 janvier 1978.

Nous vous recommandons activement de prendre connaissance du guide pratique réalisé par la CNIL et BPI France en avril 2018 ainsi que des fiches de bonnes pratiques destinées à accompagner notamment les TPE et PME dans leurs démarches internes de mise en conformité de leurs activités avec la réglementation applicable. Cette documentation pédagogique et pratique est rendue accessible sur le site de la CNIL et BPI France :

https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement

Quelles sont vos responsabilités ?

Les professionnels pour lesquels le groupe SoLocal réalise une prestation sont considérés comme les responsables des traitements des données à caractère personnel de leurs clients et/ou prospects (les utilisateurs finaux des services).

Par exemple, les professionnels ayant commandé la réalisation d’un site internet sont considérés comme les responsables des traitements des fonctionnalités utilisées sur leurs sites (formulaires de contact, espace sécurisé, site e-commerce…). Si le professionnel demande l’intégration de fonctionnalités tierces (notamment via une iframe), il assume également la responsabilité des traitements de données en découlant. En tant que prestataire, PagesJaunes assume un statut de sous-traitant.

Quelles obligations les professionnels doivent-ils respecter ?

Les professionnels devront respecter notamment les obligations suivantes :

    Élaborer et tenir à jour un registre des traitements de données à caractère personnel mis en œuvre répertoriant les finalités poursuivies (à titre d’exemples : « Gestion de la relation clients et de la prospection », « Gestion du recrutement »… ), les types de données collectées, les personnes ou services internes ainsi que les prestataires susceptibles d’y avoir accès et, enfin, la durée pendant laquelle ces données seront conservées.
    Pour tenir ce registre, les professionnels devront s’interroger sur les conditions dans lesquelles ils traitent ou vont traiter des données. Le principe majeur régissant le RGPD est la minimisation de la collecte. Pour chaque traitement, les professionnels doivent donc en principe restreindre au strict nécessaire tant le type et la fréquence de collecte des données, les habilitations d’accès attribuées en interne comme aux sous-traitants que la durée de conservation des données.
    Les professionnels sont aussi tenus d’informer les utilisateurs finaux des conditions dans lesquelles les données sont traitées, En tant que responsables de traitement,. Pour ce qui est des sites annonceurs réalisés pour leur compte, cette information sera fournie par l’insertion sur le site et l’actualisation périodique de politiques de protection de la vie privée et d’une rubrique d’information sur les cookies. L’information doit être apposée au bas de tout formulaire de collecte de données et des emails adressés aux utilisateurs finaux. Notre Groupe collabore activement à cet effort d’information de vos utilisateurs finaux sur le site que vous exploitez.
    Vos utilisateurs finaux ont des droits concernant leurs données à caractère personnel. Ils peuvent y avoir accès, se les faire communiquer, demander leur rectification, leur suppression ou s’opposer au traitement de leurs données. Vous devrez prendre en compte ces demandes dans un délai d’un mois.
    Une politique sécurité doit également être mise en œuvre afin de protéger les données personnelles traitées dans des conditions correspondant à l’état de l’art. Chiffrement des flux de données, conditions de créations de mots de passe, conditions de sécurité appliquées à vos postes de travail… Ne négligez pas ces aspects de la sécurité car, en cas de violation, le RGPD vous imposera de réaliser dans un délai très bref une notification auprès de la CNIL et l’information des personnes dont les données traitées auront été violées en cas de risque sur la vie privée de ces derniers.
    Lorsque vous décidez de sous-traiter une partie du traitement des données, le RGPD vous impose de définir et contrôler les conditions dans lesquelles le traitement s’effectuera. Qu’il s’agisse de consultants susceptibles de manipuler des données, des outils que vous utilisez en interne à partir de solutions fournies par des acteurs tierces ou encore de briques tierces dont vous demanderez l’intégration sur votre site par une iframe, vous devez vous intéresser à la façon dont vos prestataires et fournisseurs traitent vos données.
    Pour ce faire, interrogez vos prestataires sur les conditions dans lesquelles les données sont traitées et donnez leur si nécessaire vos instructions. Signez des contrats encadrant précisément leurs obligations. Limitez au strict nécessaire le transfert de données hors Union Européenne (découlant notamment de l’externalisation de prestations ou de l’utilisation de briques tierces fournies par des acteurs établis hors UE) et sécurisez-les, par exemple par la signature de clauses contractuelles types.
    Le RGPD responsabilise désormais l’ensemble des acteurs de la chaîne. Vos sous-traitants comme les fournisseurs de solutions tierces sont également tenus de respecter un certain nombre d’obligations dont le manquement pourra être sanctionné directement par l’organe national de régulation dans le cadre d’un contrôle.