Et en Belgique ?

En Belgique, c’est l’APD (« Autorité de Protection des Données ») qui a pour rôle non seulement d’intervenir en cas de violation des règles du RGPD, mais surtout d’accompagner les responsables de traitement afin qu’il mettent en place les mesures nécessaires au respect du règlement.

Attention : LES SOUS-TRAITANTS NE SONT PAS RESPONSABLE DE LA BONNE APPLICATION DU RGPD. D’une manière générale, une entreprise est responsable de l’ensemble de ses outils informatiques, et ce, même si ces derniers sont développés et maintenus par un tiers.

Les sanctions vont du simple avertissement à l’interdiction d’utiliser sa base de données pendant un certain temps, en passant par les amendes administratives s’élevant jusqu’à 20 000 € ou, pour les entreprises internationales, jusqu’à 4% de leur chiffre d’affaires annuel.

Le marketing direct

L’APD a identifié le marketing direct comme l’un des secteurs prioritaires dans son plan stratégique, c’est pourquoi elle a sorti en janvier 2020 sa « recommandation relative aux traitements de données à caractère personnel à des fins de marketing direct ».

Le marketing consiste en quelque sorte à pouvoir adresser le bon message à la bonne personne au bon moment. Le RGPD assure donc que cela se fasse « de la bonne manière ».

L’impact du RGPD

• Chaque utilisateur a le droit à l’oubli. Il est nécessaire de prévoir une fonction qui supprime l’ensemble des données personnelles de cet utilisateur.
• Le RGPD prévoit que l’utilisateur puisse récupérer l’ensemble de ses données personnelles. L’utilisateur doit donc pouvoir exporter ses données qui doivent être communiquées dans un format lisible pour tout le monde.
• L’utilisateur doit pouvoir modifier ses données personnelles. Il en va de même en ce qui concerne les informations que vous avez récupérées via des applications tierces.
• Le RGPD prévoit que l’utilisateur autorise le traitement de ses données personnelles mais que celui-ci peut à tout moment se rétracter.
• Les données ne peuvent être conservées indéfiniment, la durée étant proportionnelle à la finalité des traitements nécessaires. En d’autres termes, une donnée récoltée dans un but précis avec un délai défini ne pourra être conservée sans raison valable.

Quelles implications pour vous et votre site ?

Vous êtes concernés entre autres si :

• votre entreprise installe un formulaire de contact qui vous permet de recontacter les internautes pour leur envoyer des informations… ;
• vous installez un logiciel qui permet d’analyser le comportement des utilisateurs de votre site, comme Google Analytics par exemple ;
• votre société propose de la publicité sur votre site qui s’affiche différemment en fonction du profil de l’internaute.

1.Votre rôle en tant responsable de traitement

En tant que responsable de traitement, vous demeurez tenus des obligations définies par le RGPD et devrez répondre à ces manquements. Si vous travaillez avec des sous-traitants, assurez-vous que ceux-ci présentent les garanties suffisantes à la bonne exécution de vos directives en matière de protection des données (contrat).

2. Vos finalités de traitement

Si vous traitez des données à caractère personnel, vous devez en déterminer clairement les finalités (justifier pourquoi vous avez besoin de ces données).

Exemple : vous récoltez le nom, prénom et l’adresse mail des internautes qui prennent contact avec vous via le formulaire de contact afin de pouvoir assurer un suivi de leur demande et leur répondre.

Cette finalité ne justifierait pas que vous demandiez également l’âge, le sexe ou la taille et le poids de l’internaute.

En outre, il est interdit de traiter certaines données sensibles. Par exemple les origines ethniques, les convictions religieuses, l’appartenance syndicale, les données médicales, l’orientation sexuelle, etc.

3. Détermination du traitement

Le traitement commence à la collecte des données et prendra fin à leur suppression en passant par leur modification, leur conservation, leur communication, etc.

4. Une base juridique valable

L’article 6 du RGPD prévoit que tout traitement de données à caractère personnel soit fondé sur l’une des 6 bases juridiques définies par le règlement.

Dans le cas du marketing direct, le choix le plus judicieux est le consentement. Il est défini par le RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.»

Si quelqu’un retire son consentement, vous ne pourrez donc plus exploiter ses données.

5. Transparence

Fournissez un maximum d’informations, claires et compréhensibles pour tout le monde, et de préférence par écrit. Ces informations doivent être facilement accessibles et bien visibles.

Si une personne vous contacte au sujet de ses données (pour les modifier, les effacer, etc.), vous êtes tenus d’informer la personne des mesures prises à la suite de sa demande ainsi que des délais qui y sont associés.

Nos conseils :

• Ne jamais utiliser de données utilisateurs sans demander une autorisation explicite, quel que soit l’objectif final.
• Ne pas insérer de données personnelles dans les logs.
• Récupérer les données uniquement si elles sont nécessaires dans vos formulaires.
• La norme ISO 27001 ne signifie pas automatiquement le bon respect du RGPD.

Conclusion

Avoir connaissance des grandes lignes de cette nouvelle régulation est primordial.

Au-delà des contraintes, envisagez votre mise à niveau RGPD comme une opportunité de démontrer votre professionnalisme. C’est l’opportunité d’établir avec les internautes qui consultent votre site un certain lien de confiance.