Carnet Wiki

Recap RGPD pour les webmestres SPIP

Récapitulatif et impact du règlement européen sur Les Données à Caractère Personnel (DCP) pour vos sites et services internet.

[s’adresse aux non-spécialistes : le DPD, le PIA ne sont pas évoqués dans ce brouillon, chacun est libre de compléter, corriger les approximations, imprécisions, erreurs ici-même]

Cet article est à visée informative et n’est pas exhaustif. Il est amené à évoluer selon la réglementation et les étapes de sa mise en place. Il ne constitue pas un cadre juridique, ni un engagement formel.

Résumé du règlement RGPD / DPRG

RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel des résidents de l’Union Européenne et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Ses objectifs

  • Renforcer les droits des personnes (pour les résidents européens.), notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Étapes
Le Règlement sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne. Il s’applique à toutes les entreprises (y compris leurs comités d’entreprise), les administrations et les associations, qui traitent des données à caractère personnel. Les fichiers déjà mis en œuvre à cette date devront, d’ici là, être mis en conformité avec le Règlement.

Responsabilités
Le représentant légal de votre structure est le point de contact de l’autorité. Il a mandat pour « être consulté en complément ou à la place du responsable du traitement sur toutes les questions relatives aux traitements »
Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability. Il a notamment une obligation de conseil auprès du responsables de traitement pour la conformité à certaines obligations du règlement (analyse d’impact, failles, sécurité, destruction des données, contribution aux audits).

Une obligation de sécurité et de notification des violations de données personnelles pour tous les responsables de traitements
Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.
Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.

Conformité au RGPD / DPRG et sites développés avec SPIP

SPIP est un CMS libre qui place les libertés personnelles au cœur de sa philosophie. Le sous-traitant vous fournit un site respectant les bonnes pratiques. A vous de les conserver lors des mises à jour éditoriales.
Ainsi, par exemple [1] :

  • Tous les formulaires sont construits pour respecter la règle du "opt in" : l’internaute doit explicitement confirmer son accord avant de s’inscrire, s’abonner,.. et les champs obligatoires sont clairement indiqués.
  • Le "double opt-in" est implémenté : l’internaute reçoit un email pour confirmer son action (inscription au site, à une newsletter par exemple)
  • Il n’y a pas de cookies pour le traçage déposés sur le terminal de l’internaute inutilement. SPIP dispose d’un module de statistiques. Celui-ci suffit dans la majorité des cas et il n’est alors pas approprié d’y ajouter Google Analytics (par exemple).
  • Les données des statistiques SPIP ne permettent pas de tracer individuellement les visiteurs du site.
  • Lorsqu’une extension SPIP de partage sur les réseaux sociaux est intégrée au site, elle respecte la vie privée des internautes en ne les traçant pas.
  • Les données à caractère personnel récolteés via les formulaires ont une durée de vie limitée sur l’hébergement du site (elles sont généralement supprimées au bout de 6 mois sauf autre spécification de votre part). Si vous devez conserver ces données c’est à vous de les traiter de manière conforme en dehors du service web.
  • Les adresses mails des inscrits ou abonnés aux newsletters qui se sont désabonnés sont anonymisées sur le serveur.
  • Les détails personnels des destinataires des newsletters (adresse IP, email, statut des envois) sont anonymisés après 6 mois maximum.
  • Pour les boutiques en ligne, les données d’un client sont réduites au strict nécessaire et sont détruites régulièrement ou à sa demande à l’exception des données de facturation et autres données légalement traçables.
  • Vos données ne sont pas utilisées à d’autres fins ni communiquées à des tiers par le sous-traitant.

Contenu

  • Les mentions légales sont présentes et permettent aux internautes d’identifier l’éditeur du site internet et si besoin de le contacter.
  • La finalité de la récolte et du traitement des données est indiquée pour chaque cas.

Ce que le sous-traitant délivre pour les services gérés au nom du responsable

  • Conseil et notification en cas de doute sur l’utilité ou l’intégrité d’un traitement de données à caractère personnel initié depuis votre site internet.
    Le responsable du traitement décide des données personnelles traitées via son site internet sauf si le sous-traitant considère, en tant co-responsable, que le risque est disproportionné/avéré.
  • L’hébergement de vos sites se situe en France ou dans l’Union Européenne et les hébergeurs respectent le règlement RGPD / DPRG
  • Tout contrat d’hébergement inclut la mise à jour du CMS et la sauvegarde régulière et sécurisée de vos données.
  • Le traitement de vos données se situe en France ou dans l’Union Européenne : par exemple pour vos e-mailing, newsletters,.. utilisation de prestataires conformes au règlement RGPD / DPRG
  • Les sites sont sécurisés avec un certificat SSL [2]
  • Le service de messagerie inclus avec l’hébergement du site est sécurisé via SSL/TLS

Pour mettre votre site et services annexes en conformité le responsable du traitement doit

Vérifier que les traitements et données récoltées via le site internet sont utiles et traités de manière conforme. Par exemple les listes de contacts, emails, autres données personnelles que vous détenez doivent avoir une durée de vie limitée.
Vous devez avoir une procédure en place pour répondre aux demandes d’accès, de suppression ou modification des données personnelles.

Si vous gérez les paramètres de votre nom de domaine, vous devez vous-même réserver un certificat SSL/TLS et fournir les clés au sous-traitant pour installer le certificat sur le serveur qui héberge votre site.

Les précautions de base (rappel)

Profitons de cette actualité pour rappeler quelques principes élémentaires concernant le traitement et stockage des données sur internet.

Comme pour tout service connecté à internet, le risque zéro n’existe pas.

  • Ne demandez pas aux internautes de fournir des informations personnelles injustifiées par rapport à la finalité du traitement,
  • N’utilisez pas votre site internet comme espace de stockage permanent pour des données personnelles,
  • Votre messagerie doit être sécurisée pour la transmission de données sensibles (par exemple les coordonnées et détails personnels d’une liste de contacts).

voir aussi : https://contrib.spip.net/Formulaire-gestion-mon-compte

[1Pour les sites réalisés dans un temps reculé, ces spécifications peuvent ne pas être immédiatement implémentées

[2Pour les sites réalisés dans un temps reculé, ces spécifications peuvent ne pas être immédiatement implémentées

DD - Mise à jour :27 septembre 2018 à 00h56min