Mettre son site en conformité avec le RGPD

Mettre son site en conformité avec le RGPD

Voici une présentation du RGPD, le règlement général pour la protection des données, pour préparer la mise en conformité de son site d’organisation chrétienne avec des ressources pour aider la mise en conformité de votre association.

Pas mal des bonnes pratiques RGPD, valables pour le web, le sont aussi pour la gestion courante d’une association.

Qu’est-ce que le RGPD en résumé ?

Depuis le 25 mai 2018, tous les sites internet de l’Union européenne doivent respecter le RGPD, règlement européen pour la protection des données. L’objectif du RPGD est d’assurer à tout individu le contrôle et la protection des données à caractère personnel, notamment sur le web.

En France, la CNIL, la Commission Nationale de l’Informatique et des Libertés, est chargée du contrôle de l’application du RGPD. La non-conformité expose à des sanctions lourdes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial d’une organisation.

Qui est le responsable de traitement ?

Le responsable de traitement est l’organisation qui collecte les données : un diocèse pour une paroisse, l’Ogec pour une école. Le RGPD engage à la fois la responsabilité du responsable de traitement engage ET de ses sous-traitants comme son prestataire web, d’où la nécessité d’avoir un site conforme au RGPD.

Le responsable de traitement doit nommer un délégué à la protection des données, un DPO, de préférence indépendant de sa structure.

Qu’est-ce qu’une donnée personnelle ?

Pas mal de choses, en fait. Est considérée comme donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu : un nom, une adresse mail ou postale, une photo, un numéro de téléphone, une date de naissance, un âge, une adresse IP, …

Qu’est-ce qu’une donnée sensible ?

Une donnée sensible révèle l’origine raciale ou ethnique, l’opinion politique, la ou les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données génétiques,  biométriques, relative à la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Le RGPD interdit de recueillir ou d’utiliser des données sensibles, sauf si :

  • la personne concernée a donné son consentement (démarche explicite, de préférence écrite, qui doit être libre, spécifique, et informée)
  • si elles concernent les membres ou adhérents d’une association ou d’une organisation religieuse.

Gérer des données sensibles expose particulièrement à la vigilance de la Cnil.

Informer avoir reçu ou non un sacrement est une donnée sensible
Les prénom et nom d’une personne ayant reçu un sacrement comme le baptême ou le mariage publiés dans le carnet de votre feuille paroissiale sont des données sensibles. Mieux vaut y renoncer, à moins d’avoir reçu le consentement écrit de ces personnes.

Les 5 grands principes du RGPD

1. Consentement libre et finalité explicite


Vous devez recueillir le consentement explicite et libre de vos visiteurs pour chaque canal de contact : e-mail, courrier, SMS, appel téléphonique, … et garder la preuve numérique ou physique de ce consentement.

Chaque collecte de données doit préciser sa finalité, qui doit être légitime, autrement dit, respecter un principe de proportionnalité et de pertinence.

Une adresse e-mail suffit pour s’inscrire à une newsletter
Demander les prénom et nom est disproportionné.

La minimisation des données permet de limiter la collecte des données personnelles au strict nécessaire, notamment par les champs obligatoires. Elle a aussi l’avantage d’aider le visiteur à vous confier ses données.

2. Accès et portabilité de ses données personnelles

Vous devez permettre au visiteur de demander la communication de toutes les données détenues sur lui par votre organisation et avez un mois pour les lui transmettre.

Bientôt, nous pourrons proposer à vos visiteurs un formulaire d’exportation ou de suppression automatique de leurs données, demande à valider par l’administrateur du site.

3. Effacement, droit à l’oubli et données à durée limitée

Le visiteur peut demander la communication, la modification ou la suppression d’une partie ou de toutes ses données. Il n’est plus possible de conserver indéfiniment des données sur des personnes physiques.
Une durée de conservation précise, et donc de suppression, doit être fixée, en fonction de la finalité des données collectées.

L’effacement ne concerne pas a priori les données inscrites sur les registres des actes de catholicité, ni les données anonymes ou qui ont été anonymisées comme des statistiques de visite.

4. Protection : sécurité et confidentialité

Le responsable du traitement doit garantir la sécurité et la confidentialité des données qu’il détient et limiter leur accès aux seules personnes habilitées, ce qui suppose de les former à la protection des données.

5. Fuite et violation de données

En cas de violation de données personnelles (perte de disponibilité, d’intégrité ou de confidentialité de données, de manière accidentelle ou illicite), vous avez 72 heures pour notifier la Cnil et 30 jours pour notifier l’incident aux personnes concernées.

Comment allons-nous mettre en conformité votre site ?

1. Echanges avec votre organisation (et votre diocèse)

Pour avoir vos directives et permettre le droit d’accès aux données, puis vous faire valider la mise en conformité de votre site.

2. Mise en conformité de vos formulaires

Formulaire d’inscription à une newsletter avec fréquence et finalité conforme au RGPD

Formulaires de contact et d’inscription aux activités

  • Case pour donner son consentement avec mention RGPD
  • Finalité du traitement
  • Durée de conservation des données
  • Personnes habilitées
  • Contact, adresse et mail pour l’exercice des droits sur les données personnelles
Vous pouvez réutiliser les mentions RGPD des formulaires de votre site sur vos bulletins papier.

Newsletter, formulaire d’abonnement et listes d’e-mails

Cliquer sur l’image pour agrandir l’infographie

  • Mention RGPD décrivant le consentement avec finalité et fréquence de la newsletter
  • Etude de la validité de vos listes d’e-mails
  • Ajout d’une mention au bas de la newsletter prévenant du pistage comportemental
  • Si besoin, campagne par e-maliing de recueil du consentement des inscrits et mise à jour de la liste avec le consentement

Commentaires

  • Mention RGPD sur les commentaires

3. Cookies

 

  • Ajout et paramétrage d’un bandeau cookies
  • Scan des cookies collectés par votre site

4. Rédaction de votre politique de confidentialité

Votre politique de confidentialité intégrée à votre page Mentions légales avec :
Je demande la mise en conformité de mon site avec le RGPD

Comment respecter le RGPD sur son site par la suite ?

  • Surveiller la liste des utilisateurs autorisés à accéder à l’administration du site et nous demander par mail de supprimer les utilisateurs ayant quitté votre organisation
  • Vérifier que les utilisateurs du site utilisent des mots de passe complexes, les inviter à utiliser celui fourni par WordPress.
    Les webmasters peuvent en générer un nouveau en allant sur l’utilisateur à changer > Générer un mot de passe
  • Utiliser un outil en ligne, comme PrivateBin pour chiffrer et partager ses mots de passe
  • Configurer les formulaires > Réglages > Données personnelles pour supprimer automatiquement les entrées au bout de X jours (penser à exporter les entrées avant)

Ressources pour mettre en conformité son site avec le RGPD

Exemples de politiques de confidentialité et de mentions légales

Avec différentes durées de conservation des données. Vous pouvez nous partager de bons exemples par un commentaire ci-dessous.

Ressources pour se former au RGPD et mettre en conformité son organisation

Le RGPD en 6 étapes

Guide pratique de sensibilisation au RGPD, Cnil et BPI France

  • RGPD / GDPR : la FAQ dessinée la CNIL en vidéo

Mettre son établissement scolaire en conformité avec le RGPD

0 Avis

Laisser une réponse

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Style Switcher

Layout options
Header options
Accent Color Examples
Background Examples (boxed-only)
View all options →