Voilà 3 ans que le RGPD (Règlement Général sur la Protection des Données) a été mis en place, entraînant avec lui plusieurs changements dans le traitement des données personnelles transmises par les internautes. Si vous n’avez pas encore pu mettre à jour vos formulaires de collecte ou que vous vous posez encore des questions, prenez le temps de faire le point.
LES PERSONNES CONCERNÉES DOIVENT FOURNIR LEUR CONSENTEMENT
Pour commencer, le RGPD impose de recueillir le consentement des personnes qui fournissent leurs données personnelles. À chaque formulaire, vous devez donc vous assurer que l’internaute est d’accord pour que vous utilisiez ses données personnelles, qu’il transmet à travers le formulaire. Ce consentement doit s’exprimer par une case à cocher, configurée comme un champ obligatoire, qui ne doit en aucun cas être pré-cochée par défaut. Et si l’internaute ne coche pas la case, le formulaire ne peut être validé. Dans le libellé des cases à cocher, veillez à utiliser un langage clair et compréhensible qui rend le consentement de l’internaute d’autant plus authentique.
VOUS DEVEZ CONSERVER UNE PREUVE DU CONSENTEMENT DES UTILISATEURS
Une fois que l’internaute a accordé son consentement à la collecte et à l’utilisation de ses données personnelles, vous devez impérativement conserver une preuve de ce consentement. Cette preuve doit réunir trois éléments : l’objet du consentement de la personne, le moment auquel elle a consenti, et l’identité de la personne qui a consenti. Gardez donc une trace de chaque envoi de formulaire, la date et le contenu. Notez qu’en cas d’usurpation d’identité, la personne victime peut demander le retrait de son consentement et la suppression de ses données personnelles.
INFORMEZ LES PERSONNES AU SUJET DE LEURS DROITS
Le RGPD vous impose de fournir certaines informations à l’internaute qui vous envoie ses données. À ce titre, il doit pouvoir consulter :
- L'identité du responsable de traitement
- Les coordonnées du délégué à la protection des données
- La finalité des traitements
- Les personnes pouvant y accéder
- Le type de données collectées
- Leur durée de conservation
- L'existence du droit de demander l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci
- Le procédure pour exercer son droit d'accès, de rectification ou d'effacement des données collectés.
Notez que l’internaute doit avoir accès à ces informations au moment où il accorde son consentement à la collecte de ses données personnelles.
PROTÉGEZ LES DONNÉES PERSONNELLES COLLECTÉES
Enfin, la dernière mesure à mettre en place dans le cadre du RGPD consiste à sécuriser le transfert des données personnelles collectées. Cela concerne tout particulièrement les formulaires en ligne, dans la mesure où l’internaute y mentionne ses données personnelles et les soumet, ce qui suppose que les données sont ensuite acheminées vers la base de données de destination. Il est donc impératif de sécuriser les landing pages en HTTPS, car cela permet de chiffrer le contenu des échanges entre le navigateur et les serveurs de bases de données. Cette procédure limite les risques de lectures des données par des tiers pendant l’acheminement.
Note d'information du 25 avril 2019