Êtes-vous concerné ?
Il y a de fortes chances que si vous lisez ceci vous l'êtes, vous êtes concernés si :
- Vous vendez des biens et/ou des services dans l'UE
- Vous collectez et/ou traiter des données personnelles (toutes données permettant d'identifier directement ou indirectement une personne : photo, nom, IP, mail, numéro de sécu, info bancaires, adresse postale...) en relation avec votre activité professionnelle et/ou commerciale
Bien sûr en fonction de la taille de l'entreprise et de la sensibilité des données, les contraintes sont différentes. Par exemple le règlement précise : « Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres. »
Concrètement comment se mettre en conformité
Je ne suis ni juriste ni consultante en Réglement Général sur la Protection des Données, donc si vous voulez être sûre d'être en conformité, consultez les autorités compétentes. Je vous présente ici ce que j'ai mis en place sur creanet.fr d'après mon interprétation des textes.
1. Transparence et information.
- Informez l'utilisateur de :
- qui vous êtes,
- quelles données vous collectez, (IP, nom, email...)
- pourquoi vous les collectez, (facturation, suivi statistique, newsletter...)
- combien de temps vous les conservez (par ex : Factures 5 ans pour la comptabilité...)
- et à qui elles sont transférées le cas échéant (Mailchimp, Google, CRM, plugin...)
- Ajouter à vos mentions légales toutes ces informations
- Mettre un lien vers les mentions légales dans le footer qui apparaitra sur toutes les pages du site
- Si vous avez des CGV, faire un paragraphe sur la protection des données et mettre un lien vers les mentions légales
- Si ce n'est pas encore fait et le cas échéant mettre un bandeau sur l'utilisation des cookies
2. Obtenir un consentement « explicite, positif et libre »
- Pour chaque formulaire où vous enregistrez des données, mettre une case à cocher, non cochée par défaut, avec un texte qui informe clairement le but de la collection des données.
- Pas d'optin par défaut
- Des consentements distincts pour les différents traitements (suivi de commande, cookies de suivi, emailing...)
Par exemple : si quelqu'un s'incrit pour recevoir un pdf gratuitement et que vous souhaitez par la suite lui envoyer des offres commerciales et/ou des newsletters, il faudra qu'il coche une case pour accepter ces futurs envois en précisant que ce n'est pas obligatoire pour recevoir le pdf. S'il ne coche pas vous devez quand même lui envoyer le document et vous ne pourrez pas par la suite utiliser son mail à votre initiative.
3. Accès aux données
- Ne collecter que ce dont vous allez vraiment avoir besoin (pour se facilité la vie)
- Stocker toutes les données personnelles au même endroit, si possible, et facilement accessible (vous devez pouvoir les télécharger et les transmettre en moins d'un mois)
- Mettre le lien du formulaire de contact dans les mentions légales en précisant que les utilisateurs peuvent y faire une demande d'accès aux données s'ils le souhaitent.
- Se préparer un mail type pour répondre aux demandes éventuelles
4. Sécurité par défaut et protection des données
- Vérifier que vos prestataires sont en conformité avec le RGPD et faire les mises à jour nécessaires
Par exemple :
5. Notification en cas de violation
- Prévoir un protocole pour pouvoir notifier toute violation de données à caractère personnel à la CNIL dans les 72h après en avoir pris connaissance :
- Nature de la violation
- Nom et coordonnées de la personne à contacter pour plus d'information
- Conséquences probables
- Mesures prises et/ou proposition de contre-mesures
- Prévoir un protocole pour prévenir la ou les personnes concernées pour qu'elle puisse prendre les précautions nécessaires (sauf s'il n'y a pas ou plus de risques ex : chiffrement) :
- Nom et coordonnées de la personne à contacter pour plus d'information
- Conséquences probables
- Mesures prises et/ou proposition de contre-mesure
Dans le cas de Wordpress et Woocommerce
Les programmes tiers
- Pour les commentaires Wordpress suivre l'avancé de jetpack : https://github.com/Automattic/jetpack/issues?q=is%3Aissue+is%3Aopen+label%3A%22%5BType%5D+GDPR%22
- Attention en cas d'utilisation de plugin d'abandon de panier à prévenir au moment de la saisie du mail
- Vérifier pour chaque plugin utilisé s'il collecte, accède, modifie, utilise les données personnelles de vos utilisateurs (sur son serveur !). Si oui, vérifier que c'est un plugin de confiance, qu'il est conforme au RGPD et l'ajouter au tiers qui ont accès aux données
- Vérifier pour chaque API auxquelles votre site fait appel si elle est conforme RGPD, sinon se déconnecter de l'API
- Ajouter un texte de consentement et d'information sur les pages d'optin avec un lien vers les mentions légales.
Ex: « En cochant cette case vous acceptez de recevoir notre newsletter hebdomadaire. Pour en savoir plus veuillez consulter nos Mentions Légales »
- Suivre les éditeurs de logiciels et plugins que vous utilisez pour être averti en cas de faille de sécurité
Les paramètres
- Supprimer toutes les cases d'optin cochées par défaut et les optin automatiques
- N'autoriser l'avis sur les produits Woocommerce qu'aux utilisateurs enregistrés (comme ça ils sont déjà au courant des mentions légales) :
WordPress Tableau de bord -> WooCommerce -> Réglages -> Produits -> Avis -> Permettre les avis uniquement aux « acheteurs certifiés »
- Autoriser l'enregistrement sur la page mon compte :
WordPress Tableau de bord -> WooCommerce -> Réglages -> Comptes -> Activer l’inscription depuis la page « Mon compte »
- Ajouter un lien vers les mentions légales sur la page de login et d'inscription
- Ajouter un lien vers les mentions légales sur la page de commande
Le texte de loi complet : http://eur-lex.europa.eu/eli/reg/2016/679/oj/fra