Voici une présentation résumée du RGPD, le règlement général pour la protection des données, ainsi que des nouvelles règles sur les cookies afin de vous aider à les respecter et à mettre votre association en conformité avec le RGPD.
Pas mal des bonnes pratiques RGPD, valables pour le web, le sont aussi pour la gestion courante d’une association.
Qu’est-ce que le RGPD en résumé ?
Depuis le 25 mai 2018, tous les sites internet de l’Union européenne doivent respecter le RGPD, règlement européen pour la protection des données. L’objectif du RPGD est d’assurer à tout individu le contrôle et la protection des données à caractère personnel, notamment sur le web.
En France, la CNIL, la Commission Nationale de l’Informatique et des Libertés, est chargée du contrôle de l’application du RGPD. La non-conformité expose à des sanctions lourdes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial d’une organisation.
Qui est le responsable de traitement ?
Le responsable de traitement est l’organisation qui collecte les données : un diocèse pour une paroisse, l’Ogec pour une école.
Le RGPD engage à la fois la responsabilité du responsable de traitement engage ET de ses sous-traitants comme son prestataire web, d’où la nécessité d’avoir un site conforme au RGPD.
Le responsable de traitement doit nommer un délégué à la protection des données, un DPO, de préférence indépendant de sa structure.
Qu’est-ce qu’une donnée personnelle ?
Pas mal de choses, en fait. Est considérée comme donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu : un nom, une adresse mail ou postale, une photo, un numéro de téléphone, une date de naissance, un âge, une adresse IP, …
Qu’est-ce qu’une donnée sensible ?
Une donnée sensible révèle l’origine raciale ou ethnique, l’opinion politique, l’orientation sexuelle, la ou les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données génétiques, biométriques, relative à la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Le RGPD interdit de recueillir ou d’utiliser des données sensibles, sauf si :
- la personne concernée a donné son consentement (démarche explicite, de préférence écrite, qui doit être libre, spécifique, et informée)
- si elles concernent les membres ou adhérents d’une association ou d’une organisation religieuse.
Gérer des données sensibles expose particulièrement à la vigilance de la Cnil.
Informer avoir reçu ou non un sacrement est une donnée sensible
Les prénom et nom d’une personne ayant reçu un sacrement comme le baptême ou le mariage publiés dans le carnet de votre feuille paroissiale sont des données sensibles. Mieux vaut renoncer à le publier dans la feuille paroissiale (surtout si celle-ci est mise en ligne), à moins d’avoir reçu le consentement écrit de ces personnes.
Les 5 grands principes du RGPD
1. Consentement libre et finalité explicite
Vous devez recueillir le consentement explicite et libre de vos visiteurs pour chaque canal de contact : e-mail, courrier, SMS, appel téléphonique, … et garder la preuve numérique ou physique de ce consentement.
Chaque collecte de données doit préciser sa finalité, qui doit être légitime, autrement dit, respecter un principe de proportionnalité et de pertinence.
Une adresse e-mail suffit pour s’inscrire à une newsletter
Demander les prénom et nom est disproportionné.
La minimisation des données permet de limiter la collecte des données personnelles au strict nécessaire, notamment par les champs obligatoires. Elle a aussi l’avantage d’aider le visiteur à vous confier ses données.
2. Accès et portabilité de ses données personnelles
Vous devez permettre au visiteur de demander la communication de toutes les données détenues sur lui par votre organisation et avez un mois pour les lui transmettre.
Bientôt, nous pourrons proposer à vos visiteurs un formulaire d’exportation ou de suppression automatique de leurs données, demande à valider par l’administrateur du site.
3. Effacement, droit à l’oubli et données à durée limitée
Le visiteur peut demander la communication, la modification ou la suppression d’une partie ou de toutes ses données. Les données à caractère personnel ne doivent être conservées sous une forme identifiable que pendant la période la plus courte possible.
Une durée de conservation précise, et donc de suppression, doit être fixée en fonction de la finalité des données collectées.
L’effacement ne concerne pas a priori les données inscrites sur les registres des actes de catholicité, ni les données anonymes ou qui ont été anonymisées comme des statistiques de visite.
4. Protection : sécurité et confidentialité
Le responsable du traitement doit garantir la sécurité et la confidentialité des données qu’il détient et limiter leur accès aux seules personnes habilitées, ce qui suppose de les former à la protection des données.
5. Fuite et violation de données
En cas de violation de données personnelles (perte de disponibilité, d’intégrité ou de confidentialité de données, de manière accidentelle ou illicite), vous avez 72 heures pour notifier la Cnil et 30 jours pour notifier l’incident aux personnes concernées.
Recueil du consentement sur les cookies
Depuis le 31 mars 2021, date-limite pour mettre en oeuvre les lignes directrices de la Cnil sur les cookies, un site web doit pouvoir clairement informer l’internaute des cookies collectés lors de sa visite et lui permettre en un clic d’accepter ou de refuser les cookies.
Seuls les cookies fonctionnels nécessaires à l’utilisation du site sont autorisés par défaut. Les cookies de statistiques ou marketing qui peuvent provenir de sites ou services tiers comme les réseaux sociaux doivent pouvoir être refusés, ce qui explique que leur acceptation est nécessaire pour activer les lecteurs vidéos ou les cartes Google maps.
Un cookie est un petit fichier simple envoyé avec les pages de ce site web et stocké par votre navigateur sur le disque dur de votre ordinateur ou d’un autre appareil. Les informations qui y sont stockées peuvent être renvoyées à nos serveurs ou aux serveurs des tierces parties concernées lors d’une visite ultérieure.
- Cnil : Nouvelles règles pour les cookies et autres traceurs
- Cnil : Évolution des règles d’utilisation des cookies
Sanctions en cas de non-respect du RGPD et de refus des cookies
Votre organisation peut être sanctionnée à hauteur de 4% de son budget annuel ou à hauteur de 20 millions d’euros (le plus élevé des deux), si votre site ne respecte pas le RGPD ou la possibilité de refuser les cookies.
Sans parler du déficit d’image, en cas de sanction…
En 2020, la Cnil a infligé 138,5 millions d’euros d’amendes.
Comment respecter le RGPD sur son site ?
Si ce n’est pas encore fait, nous demander de mettre votre site en conformité pour avoir :
- Des formulaires de contact et d’inscription conformes au RGPD
- Un bandeau cookies qui empêche effectivement le dépôt de cookies en cas de refus
- Une politique de confidentialité qui permette à l’internaute d’exercer ses droits sur ses données
Opter pour un outil de formulaires en ligne centralisé et sécurisé afin de bannir les tableaux Excel de données des personnes sur les PC de chaque responsable de service
Dupliquer notre modèle ou configurer les nouveaux formulaires avec une case obligatoire de consentement et une mention sur la finalité, la durée de conservation des données (> Réglages > Données personnelles) pour supprimer automatiquement les entrées au bout de X jours (penser à exporter les entrées avant)
Configurer les nouveaux formulaires pour donner une date limite à la conservation des données > Réglages > Données personnelles pour supprimer automatiquement les entrées au bout de X jours (penser à exporter les entrées avant)
Ne pas importer d’inscrits à une newsletter sans la preuve écrite du consentement des personnes. L’idéal est de demander à vos abonnés de s’inscrire directement sur le site, la confirmation par mail faisant preuve de consentement
Mettre à jour ses vidéos Youtube en intégrant son code nocookie : sur Youtube, cliquer Partager, puis Intégrer, cocher : Activer le mode de confidentialité avancé et copier-coller le code proposé dans votre page
Vérifier que les utilisateurs autorisés à accéder à l’administration du site inactifs utilisent des mots de passe complexes. Les inviter à utiliser celui fourni par WordPress et à un logiciel de gestion de mots de passe comme Dashlane gratuit
Demander la suppression des comptes utilisateurs ayant quitté votre équipe ou a minima changer leurs mots de passe : cliquer sur l’utilisateur > Générer un mot de passe > Enregistrer
Ressources pour mettre en conformité son organisation avec le RGPD
Exemples de politiques de confidentialité et de mentions légales
Avec différentes durées de conservation des données. Vous pouvez nous partager de bons exemples par un commentaire ci-dessous.
Modèle de politique de confidentialité et de mentions légales d’un site de paroisse par Bonnenouvelle.fr En cas de réutilisation, merci d’avoir la gentillesse de citer Bonnenouvelle.fr dans vos crédits par un lien. Tout travail mérite salaire ! |
Cnil : Droit à l’image sur Internet
Référentiel de la Cnil : 6 étapes pour se mettre en conformité avec le RGPD
Guide pratique très visuel de sensibilisation au RGPD de la Cnil et BPI France
RGPD : la FAQ dessinée la CNIL en vidéo
Mettre son établissement scolaire en conformité avec le RGPD
- Confiance et responsabilité numériques, RGPD powerpoint avec des conseils sur la sécurité, par l’Enseignement catholique des Pays de Loire
- RGPD, Guide de mise en route pour protéger les données personnelles pour les établissements scolaires par le Fnogec, Fédération nationale des Ogec
- Charte de gestion des données conforme au RGPD, par la Direction interdiocésaine de l’Enseignement catholique Aix – Digne et Gap