Comprendre le RGPD : Le Guide Pratique pour se Mettre en Conformité – Sollya - Marketing web Éthique & Communication Digitale - Lyon

C’est le grand méchant loup du webmarketing de ces dernières années…

Seulement 4 lettres.

Assez pour faire frémir même les plus grands du web !

« RGPD », ce sigle n’est pas à prendre à la légère.

Mais ce n’est pas seulement une loi ennuyeuse ou une histoire pour effrayer les webmarketer.

Qu’on soit en tant que professionnel‧le qui travaille dans le web, ou en tant qu’individu‧e qui réside dans l’Union Européenne… On est concerné‧e !

Vous avez un site web ? Et peut-être une newsletter avec quelques adresses emails ?
Alors j’ai une nouvelle pour vous : Vous êtes concerné‧es par le RGPD et vous avez des obligations à respecter.

Alors c’est parti pour plonger dans la démystification de cette réglementation essentielle pour toutes et tous :

C’est quoi le RGPD ? Qu’est-ce que c’est et pourquoi on en a besoin ?
Comment est-ce que ça nous impacte au quotidien, en tant que professionnel‧le ou utilisateurice du web ?

Et surtout la question qu’on se pose toutes et tous :
Comment faire pour respecter ce règlement, quelles sont les étapes nécessaires à suivre pour se mettre en conformité RGPD ?

Pour répondre à ces questions vitales quand on travaille dans le webmarketing, je suis allé voir Camille REVERTEGAT, avocate en droit du numérique propriété intellectuelle & protection des données personnelles du cabinet Duclos, Thorne, Mollet-Viéville & Associés à Lyon.

Elle nous explique tout sur ce « Règlement Général sur la Protection des Données » avec les principales choses à mettre en place pour être en conformité. En route pour tout comprendre au RGPD, simplement et en moins de 10 minutes !

Comprendre le RGPD : Le Guide Pratique pour se Mettre en Conformité en Moins de 10 minutes – Interview avec Camille Revertegat

Merci de regarder ce tutoriel vidéo en basse résolution afin de limiter notre impact écologique, l’audio est le plus important.

Au programme de cette vidéo tutorielle :

  • 01:21 « Le » ou « La » RGPD ?
  • 02:02 Qu’est-ce qu’une donnée personnelle, définition.
  • 02:31 Le RGPD, c’est quoi ? Pourquoi ?
  • 03:24 Qui est concerné‧e ?
  • 04:12 Sous-traitance, comment ça se passe ?
  • 05:06 Les étapes principales pour être en conformité
  • 05:19 1️⃣ Le Registre de Traitement
  • 06:23 RGPD : Que dois-je faire si j’ai un site internet ?
  • 06:39 2️⃣ La Politique de Confidentialité
  • 06:56 3️⃣ Les Mentions Légales
  • 07:01 4️⃣ Les mentions pour les Formulaires
  • 07:15 5️⃣ Pour les cookies du site
  • 08:08 Qui contacter pour aller plus loin
  • 09:46 6️⃣ Le Dernier conseil pratique
  • 10:26 ✅ RGPD : Résumé des actions pour débuter sa mise en conformité
  • 12:31 Conclusion

Transcription écrite de la vidéo :

Vous avez un site internet ?

Vous avez peut-être une newsletter que vous envoyez par email ?

Et bien, est-ce que vous saviez que du coup, peu importe votre taille ou votre secteur, vous êtes LÉGALEMENT OBLIGÉ‧ES d’afficher certaines mentions OBLIGATOIRES sur votre site internet ?

ET que vous êtes LÉGALEMENT OBLIGÉ‧ES d’avoir un super document qui s’appelle “Le Registre des Traitements des Données Personnelles“ ?

Oui, oui, même si vous êtes solo, freelance ou en micro-entreprise.

Aujourd’hui, on va parler d’un sujet qui peut faire un peu angoisser… On va parler RGPD !

Un vrai point positif pour nous en tant qu’internautes, mais ça peut aussi être un vrai casse-tête quand on travaille sur le web (surtout si vous avez un peu la phobie du juridique et de l’administratif comme moi…). Alors ça y est, vous allez enfin comprendre ce qu’est le RGPD.

Pour celles et ceux qui ne me connaissent pas encore : Je suis Alex Carmona, consultante en webmarketing éthique et créatrice de formations en ligne pour apprendre le webmarketing. Du coup forcément, le RGPD, c’est un sujet qui m’impacte au quotidien !

Et surtout quand on a besoin de suivre nos statistiques web avec des outils, que ce soit Google Analytics ou sa version plus éthique : Matomo Analytics !

C’est pour ça que je suis allée voir Camille Revertegat, une avocate qui s’y connaît très bien en droit du numérique, de la propriété intellectuelle et des données personnelles. Elle nous explique c’est quoi le RGPD, pourquoi c’est important et surtout : Quelles sont les étapes principales pour débuter votre mise en conformité RGPD.

Allez, c’est parti !

Est-ce qu’on dit le ou la RGPD ? Excellente question !

Alors, en principe, on dira le RGPD, puisque le sigle RGPD signifie « Règlement Général sur la Protection des Données ».
Donc, le fameux règlement européen qui est venu encadrer le traitement des données personnelles sur le territoire de l’Union Européenne.

En revanche, on peut tout à fait dire la RGPD si, par exemple, on vient parler de LA réglementation, généralement, qui vient protéger le traitement des données personnelles.
Et notamment, qui pourrait englober la loi Informatique et Liberté, qui est une loi française qui a été adoptée il y a bien plus longtemps que le RGPD.

Une donnée personnelle, on va dire que c’est l’épicentre du RGPD.

C’est une donnée qui va permettre d’identifier directement ou indirectement une personne physique. Car il faut savoir qu’une personne morale, une société, n’a pas de données personnelles.

Quand je dis directement, c’est que ça peut être un nom ou un prénom. Indirectement, ça peut être une date de naissance, un numéro de sécurité sociale, mais également les habitudes de consommation, vestimentaire, des données de santé, etc.

rgpd definition cnil donnee personnelle

Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données est donc un règlement européen, et il a eu plusieurs volontés :

Déjà, il a voulu s’inscrire dans la continuité des réglementations de la législation antérieure et nationale, notamment la loi Informatique et Liberté en France qui date de 1978.

Il est venu aussi renforcer le contrôle et les droits des citoyens sur leurs propres données personnelles.

Et enfin, le RGPD est venu offrir un cadre juridique et uniforme aux professionnel‧les qui vont venir donc traiter les données personnelles des citoyen‧nes. Et du coup, ça leur permet de savoir un peu plus facilement s’iels sont en conformité ou non avec la réglementation, s’iels traitent bien ou non les données, s’iels ont respecté toutes les étapes nécessaires à la protection et la sécurisation des données personnelles des citoyen‧nes.

Le RGPD va concerner, d’une part, les établissements qui sont situés dans l’un quelconque des pays de l’Union européenne. Il va concerner, d’autre part, tous les acteurs qui vont traiter des données personnelles des résident‧es européens.

Donc, ça va permettre notamment aux GAFAM d’être sous le coup du Règlement Général sur la Protection des Données et de le respecter.

Ça veut dire que le RGPD est applicable à tout organisme, quelle que soit sa taille, à partir du moment où il traite des données personnelles d’un résident‧e de l’Union européenne ou s’il est, par principe, établi sur le territoire de l’Union Européenne.

Si une société est française, qu’elle réalise tous les traitements en France des résident‧es français‧es ou de l’Union européenne, et etc., elle va être soumise au RGPD.

Si elle a besoin de sous-traiter une partie des traitements de données personnelles à des sociétés étrangères, notamment chinoises, américaines, ou autres, ces sous-traitants, d’une part, seront soumis au RGPD, puisqu’ils vont traiter des données personnelles de résidents européens.

Et d’autre part, la société française qui est responsable du traitement devra donc s’assurer que son ou ses sous-traitants sont en conformité avec le RGPD et notamment devront garantir à ses client‧es ou à son audience que l’ensemble des traitements sont réalisés en conformité avec le RGPD.

RGPD sous traitance emailing bdd

Ça, après, c’est le responsable de traitement et le sous-traitant qui s’organisent par des mécanismes contractuels pour s’assurer que tout est en conformité avec le RGPD (Note : par exemple avec le document DPA, le « Data Processing Agreement »).

Mais en tout état de cause, chaque sous-traitant, qu’il soit ou non européen, devra être en conformité avec le RGPD et s’en assurer.

Alors, les étapes principales lorsque l’on débute son activité ou lorsque l’on ne se sent pas encore bien en conformité avec le RGPD, c’est tout d’abord d’avoir un registre de traitement.

Qu’est-ce qu’un registre de traitement ? C’est un document qui vient centraliser tous les traitements de données personnelles que l’entité ou la personne physique va effectuer.

C’est le document que la CNIL va vouloir prendre connaissance lors d’un contrôle. Ce qui n’est pas non plus anodin.

Dans ce registre de traitement, qui peut être sous format Excel, sous format Word, par exemple, il faudra notamment mettre tous les traitements de données envisagés, qui sont les personnes concernées par ces traitements, quelles sont les personnes qui peuvent accéder à ces données personnelles, combien de temps doivent être conservées ces données, et quelles sont les mesures de sécurité qui sont mises en œuvre pour notamment sécuriser les données personnelles.

registre traitement données CNIL RGPD

C’est essentiel, et ça permettra après d’avoir un plan d’action sur toutes les autres étapes et tous les documents à mettre en place, à mettre en oeuvre.

Pour vous simplifier la vie, la CNIL a créé un template de registre de traitement qui est accessible à tout le monde, que vous pouvez télécharger sur le site de la CNIL, et qui est, en plus, très bien expliqué.
Il y a des fiches explicatives qui vous permettent, à chaque étape, de remplir ce registre de traitement. Donc, je vous conseille d’aller le consulter :

En parallèle de ce registre de traitement, si vous êtes en train de développer un site internet, il y a des étapes fondamentales à respecter avant même de commencer votre activité et des documents à mettre en place et à rendre disponibles sur le site internet.

On a la politique de confidentialité qui va permettre d’informer l’internaute de tous les traitements qui sont mis en œuvre et tout ce qu’on vient de dire par rapport au registre de traitement : les mesures de sécurité mises en place, qui a accès aux données, etc etc.

Ces pages doivent être mises à disposition de manière très facile, notamment en bas de page avec un lien dans le footer du site par exemple.

La page pour les Mentions Légales doivent être à jour et elles doivent respecter la réglementation :

« Mentions sur votre site internet, les obligations à respecter » : https://www.economie.gouv.fr/entreprises/site-internet-mentions-obligatoires

Si vous mettez en place une newsletter, il faudra mettre une mention d’information qui dit que vous pouvez vous désinscrire librement et à tout moment de cette newsletter.

Pareil pour les formulaires de contact, il faut qu’il y ait une mention d’information sur le traitement des données de l’internaute.

Et finalement, si vous déposez des cookies soumis au consentement de l’internaute sur son terminal, vous devrez impérativement mettre en place un bandeau cookies en conformité avec les lignes directrices de la CNIL : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/FAQ#:~:text=Les%20lignes%20directrices%20de%20la,d’un%20internaute.

Avec notamment les boutons ‘tout refuser’, ‘tout accepter’, ‘gérer les préférences’, ce qu’on peut voir en général sur tous les sites internet.

exemple bandeau cookie RGPD

Si vous déposez des cookies qui ne sont pas soumis au consentement de l’utilisateur‧ice (comme c’est le cas pour l’outil Matomo Analytics par exemple), vous n’aurez pas à intégrer de boutons ‘tout accepter’ ou ‘tout refuser’.

En revanche, j’aurais tendance à conseiller d’intégrer tout de même un bandeau cookies à visée informative, puisque l’un des piliers du RGPD, c’est tout de même de garantir une information de la personne concernée à tous les stades du traitement de ses données personnelles.

Ce sera toujours apprécié d’avoir un bandeau cookies, même s’il est à visée informative.

Si on veut avoir plus d’informations sur la réglementation en général relative à la protection des données, tout ce qui doit être fait, toutes les étapes, et cetera, qui permettraient une mise en conformité au RGPD, déjà la première ressource, c’est le site de la CNIL, le site internet, qui est très très bien fait et qui est très complet !

La CNIL a déjà rédigé de nombreux articles en fonction de la profession et des activités exercées. Donc, ça, c’est la première ressource :

Site de la CNIL – Par où commencer : https://www.cnil.fr/fr/rgpd-passer-a-laction

RGPD comment tutoriel CNIL

Site de la CNIL : https://www.cnil.fr/fr/passer-laction/rgpd-les-premieres-etapes

La deuxième ressource, ce sera de s’adresser à un‧e professionnel‧le du droit, et plus particulièrement un‧e expert‧e en protection des données personnelles.

Ça pourra être un‧e avocat‧e qui pourra vous accompagner tout au long de votre mise en conformité RGPD : iel pourra vous aider, tout d’abord, à remplir le registre de traitement, document essentiel à ce début de mise en conformité RGPD. Iel pourra vous aider à rédiger, à mettre en place tous les documents accessoires, mais tout autant important à cette mise en conformité, mais également à l’information de l’internaute, plus généralement de la personne concernée.

Et un‧e autre professionnel‧e qui peut être considéré‧e comme un‧e expert‧e en matière de protection des données personnelles, c’est un‧e DPO. On appelle ça un‧e DPO, un‧e DPD en français. Donc, c’est un‧e délégué‧e à la protection des données.

On va trouver particulièrement des DPO dans des sociétés de grande taille, mais ça peut être aussi des sociétés de moyenne ou de petite taille en fonction des traitements qui sont réalisés.

Et on a aussi des DPD externalisé‧es. On va pouvoir faire appel à un cabinet spécialisé qui va regrouper plusieurs DPO et qui va, dans le cadre de sa mission en restant externe à votre entreprise, vous conseiller dans votre mise en conformité RGPD.

Si je peux donner un dernier conseil pratique, c’est que il est bien évident que tout le monde n’a pas les mêmes moyens à astreindre à la mise en conformité RGPD. Pour autant, ça concerne tout le monde.

Et même s’il est évident que de faire appel à un‧e avocat‧e ou plus généralement un‧e expert‧e en matière de RGPD, c’est un certain coût, si vous faites appel à un outil ou à des simulateurs de politique de confidentialité notamment, qui sont moins onéreux et qui sont disponibles sur Internet :

Veillez à être attentif et attentive à son contenu, à le personnaliser au maximum pour l’adapter à ce que vous faites et au traitement de données que vous réalisez.

Un énorme merci à Camille pour cette interview ! J’espère que pour vous aussi, maintenant le RGPD ça vous fait un peu moins peur. Et puis vous l’avez compris, de toute façon c’est un indispensable si on veut aller vers un web plus éthique.

Alors, un petit résumé des choses à mettre en place, si vous ne l’avez pas déjà fait :

  • Commencez par faire votre REGISTRE DES ACTIVITÉS DE TRAITEMENT pour lister toutes les données personnelles que vous traitez.
  • Pour votre site internet, il faudra s’assurer d’avoir une page de politique de confidentialité complète et une page mentions légales avec les informations obligatoires.
  • Si vous déposez des cookies pour votre site internet, il faudra bien penser à adapter votre popup et/ou bandeau des cookies.

D’ailleurs, si vous utilisez un outil pour suivre les statistiques web de votre site internet : Je vous rappelle que pour l’instant Google Analytics n’est toujours pas en conformité RGPD. Donc il faudra bien penser à mettre les boutons Accepter et Refuser pour pouvoir suivre la personne, ou non. Si elle ne clique pas ou si elle refuse, on n’a pas le droit de suivre la personne.

Et si vous voulez un outil exempt de demande de consentement – vu que les données sont anonymisées – je vous conseille de jeter un oeil à Matomo Analytics ! J’ai fait plusieurs vidéos sur la chaîne YouTube et ce blog autour de ce super outil, dont un tutoriel où je vous explique comment l’installer en moins de 5 minutes si ça vous intéresse.

Et dans ce cas, Camille conseille d’afficher seulement un bandeau d’information pour les cookies, mais on pourra récolter nos données sans besoin d’avoir un accord.

  • Si vous récoltez des emails, pour votre newsletter et/ou par un formulaire de contact, vous aurez 2 choses à faire :
    • D’abord, une mention d’information de ce que vous allez faire de leurs données, donc comment est-ce que vous allez traiter leurs données.
    • Et si c’est une newsletter, il faudra la mention obligatoire pour que les personnes puissent se désinscrire à tout moment.
  • Si vous travaillez avec des sous-traitants, donc si vous utilisez MailChimp – SendInblue ou autre pour envoyer vos emails par exemple, il faudra s’assurer que chacun de vos sous-traitants est en conformité RGPD. En général, vous pourrez retrouver ces infos directement sur leurs sites, dans leurs pages de confidentialité ou leurs CGV et CGU par exemple.
  • Je vous conseille aussi de voir si votre sous-traitant propose de signer un DPA. DPA pour “data processing agreement” ou “accord de traitement des données” en Français. C’est un contrat qui indique le cadre et les règles dans le traitement des données, entre vous – donc votre structure et votre sous-traitant.

Et ce qu’on retiendra surtout de cette vidéo : On a le droit de dire LA RGPD :p !

Je vous mets des liens en description et les contacts de Camille si vous voulez plus d’infos :

Son email : revertegat@dtmv.com
Son cabinet : https://dtmv.com/
Son LinkedIn : https://www.linkedin.com/in/camille-revertegat-29165512a/

Et dites moi en commentaire sur la vidéo si vous avez d’autres questions sur le RGPD ou les données personnelles. Peut-être que je pourrais revoir Camille pour vous proposer un format plus long, plus en détail ou sur des thématiques spécifiques ? Dites-le moi si ça vous intéresse !

Dans tous les cas, pensez à vous abonner à cette chaîne pour ne louper aucune des prochaines vidéos. Allez, je vous souhaite une bonne mise en conformité RGPD, et on se retrouve bientôt pour une prochaine interview sur le marketing web et éthique !


Les autres articles en lien avec la RGPD :

Inscrivez-vous maintenant pour
découvrir  mes derniers conseils et recevoir les nouvelles ressources marketing  pour développer votre projet !

marketing communication ESS

Inscrivez-vous maintenant pour
découvrir  mes derniers conseils et recevoir les nouvelles ressources marketing  pour développer votre projet !

Je partage régulièrement mes conseils en communication, découvertes entrepreneuriale et nouvelles ressources marketing éthique pour vous permettre d'apprendre construire des fondations solides pour la communication digitale (et responsable) de votre structure, qui vont vous apporter la sérénité pour faire grandir votre business.

Inscrivez-vous ci-dessous dès maintenant pour recevoir mes conseils par mail... Ou même proposer le prochain sujet  d'article !