Vous n’avez pas pu échapper à la déferlante sur le nouveau Règlement Européen pour la Protection des données personnelles (RGPD). Vous vous dites que vous n’êtes pas concerné.e.s ? Erreur ! Vous l’êtes déjà en tant que citoyen, car ce nouveau règlement a été élaboré pour renforcer votre protection sur vos données personnelles. Mais il se peut aussi que vous le soyez dans le cadre de vos activités artistiques. En effet, si vous gérez des bases de contacts, si vous avez un blog, si vous communiquez régulièrement vers vos clients ou vos élèves, et bien vous devez vous mettre en conformité avec le nouveau règlement, car les sanctions en cas de manquement ou de faille de sécurité sont plutôt salées.
Rappel : les données personnelles sont toutes les informations qui permettent d’identifier une personne, isolément, ou par recoupement. Cela regroupe la civilité, les adresses, numéros de téléphone, mails, photos, habitudes de vie, cursus professionnel et scolaire, données de paiement etc.
Si vous ne connaissez rien à rien sur ce qu’implique le RGPD, ce n’est pas un problème, vous trouverez toute une littérature sur ce sujet florissant sur le web. Je vous parle aujourd’hui d’un sujet avec lequel je me débat depuis plusieurs mois dans le cadre professionnel. Comme j’ai bien mis les mains dans le cambouis, je vous propose de l’aborder avec calme et surtout méthode !
Calme, car bien que le RGPD soit en application depuis le 25 mai 2018, vous ne risquez pas de voir débarquer la CNIL dans vos ateliers de si tôt. Il y a en effet fort à parier que depuis 6 jours, la vénérable institution croule sous des montagnes de plaintes à l’encontre des géants du web et du e-commerce. Ce qui est plutôt à craindre, c’est la sensibilisation des particuliers, qui va forcément éveiller chez certains des comportements un peu procéduriers et désagréables à gérer.
De façon plus constructive, je vous recommande de faire votre démarche de mise en conformité tout simplement parce qu’elle va aussi vous permettre d’y voir plus clair sur votre communication, votre gestion de contacts et vos outils. De plus, en étant transparent et à jour par rapport à la loi, vos interlocuteurs verront en vous une personne sérieuse, professionnelle et attentive à la protection des droits individuels.
Parlons méthode : si vous partez tête-bêche dans les méandres du règlement, vous risquez de vous perdre à tout jamais. Avec un peu de méthode, vous arriverez à entamer votre démarche par le bon bout, avec pragmatisme et sans vous perdre dans des détails juridiques ou techniques complexes.
Voici donc quelques étapes simples pour vous préparer :
Etape 1 : faire un état des lieux
La première chose à faire – et c’est ce que font les entreprises – c’est un état des lieux des données personnelles que vous traitez. Pour ce faire rien de tel qu’un bon tableau, que vous pouvez télécharger ici:
- Quelles sont les différentes communications que vous faites, vers qui comment, à quelle fréquence
- Comment collectez vous des données personnelles : par quel biais, sur quel support, quelles données…
- Quels sont les fichiers de suivi (papier ou informatisés) que vous avez.
Vous allez sans doute vous rendre compte que vous traitez finalement pas mal de données personnelles !
NB : Inutile de recenser les actions que vous faites sur Facebook, Instagram, Twitter etc. les personnes qui vous suivent le font volontairement, et peuvent se désabonner facilement.
Notez bien tout ce que vous pouvez traiter ou échanger concernant des mineurs, si vous faites de l’enseignement par exemple. Il est désormais obligatoire d’avoir un consentement écrit des parents pour le stockage et le traitement des données des enfants de moins de 16 ans !
Etape 2 : le consentement
C’est la pierre angulaire du RGPD : vous devez pouvoir prouver que les personnes dont vous traitez les données ont donné leur accord. Vous devez en outre conserver une preuve de cet accord. Comment faire ?
A partir du tableau, vous aurez 2 grands groupes de traitements :
- Ceux faits directement par mail, remise en main propre, voie postale
- Ceux faits à partir de votre blog ou de votre CMS (mailchimp et consorts)
Pour le deuxième groupe, je vous renvoie vers l’article du blog notuxedo qui est très riche et fournit en outre des conseils techniques utiles pour gérer votre plateforme de communication.
Pour le premier groupe, vous devez insérer des mentions dans vos communications, par exemple :
“Vous recevez ce message car vous faites partie de ma liste de contacts pour la diffusion de …. . Si vous ne souhaitez plus recevoir de message de ma part, vous pouvez à tout moment me le signaler en m’écrivant à l’adresse suivante :………”
Dans les formulaires d’inscription pour les stages, évènements etc, vous devez préciser votre politique de confidentialité. Vous devez également intégrer des cases à cocher :
- pour l’acceptation de prises de photos (si c’est le cas) pouvant être diffusées sur votre site web ou vos réseaux sociaux
- pour l’acceptation de recevoir des informations de votre part (newsletters…)
- pour l’acceptation de votre politique de confidentialité
Cela peut sembler un peu lourd, certes, mais :
- pour le droit à l’image ce n’est pas nouveau…
- c’est votre protection juridique qui est en jeu. Une fois vos formulaires conformes au RGPD, plus besoin d’y retoucher. En revanche, il faudra conserver soigneusement les formulaires renseignés, comme preuve en cas de litige.
Etape 3 : rédigez votre politique de confidentialité
N’ayez pas peur, derrière ce grand mot, que du bon sens et surtout de la transparence pour vos contacts.
Vous pouvez trouver des modèles simples sur des blogs existants, que vous aurez simplement à adapter à votre cas. Par exemple ici.
Ne pensez pas que c’est uniquement utile pour les sites et les blogs. C’est fortement recommandé dès lors que vous collectez des données personnelles même sur des formulaires papier ! Vous devez expliquer pourquoi vous les collectez, c’est la loi (principe de finalité).
Une fois votre politique de confidentialité rédigée, insérez-la :
- sur votre site web
- en bas de vos formulaires de collecte de données (même en tout petit, petit)
Etape 4 : mettez votre blog en conformité
Cette partie est un peu plus ardue. Moi-même je n’ai pas fait tout le tour de la question. Cela dit, je n’ai pas de Newsletter, juste une notification pour les nouveaux articles, qui elle, est conforme. Il me reste la politique de confidentialité à insérer. [ au lieu de faire ma politique de confidentialité, je vous fais un article sur la RGPD en fait…]
Si vous êtes à l’étape supérieure, vous trouverez de précieuses ressources sur le blog notuxedo.
Etape 5 : sécurisez les données personnelles que vous traitez
Tout ce qui est sur le web est a priori sécurisé par votre hébergeur, c’est son métier. En revanche, ce qui est sur votre ordinateur est plus sensible aux attaques.
C’est le moment de faire le point sur votre anti-virus, de sécuriser vos mots de passe. Si vous travailler dans une association, veillez à ne pas donner accès à vos bases de contacts à n’importe qui. Egalement, ne conservez pas de données personnelles sur des supports amovibles type clé USB.
A ce stade, vous avez déjà fait un bon chemin vers la conformité RGPD. En cas de problème, la CNIL sera attentive à votre bonne volonté et à votre bonne foi. Vous disposerez de toute façon d’un délai pour corriger un dysfonctionnement qui serait constaté par les autorités (sauf si c’est très grave évidemment).
Quelques ressources utiles (et pertinentes) pour aller plus loin:
- Le site de la CNIL, pour tout savoir sur le RGPD
- Pour les associations : le site assoconnect qui est très bien documenté et très clair
- Pour les blogs : Loca Creative propose un article simple et didactique
- Si vous êtes sur WordPress : le dossier de WPMARMITE sur le RGPD
Donc…
Mon objectif avec cet article est de vous sensibiliser et de vous mettre le pied à l’étrier via 5 actions simples pour démarrer votre mise en conformité. Pensez au RGPD de façon posée et positive, ne cédez pas à la vague de panique qui envahit la webosphère ! Prenez le temps, au contraire, de mettre un peu à plat votre fonctionnement, d’actualiser vos process, de communiquer positivement vers vos contacts.
Et surtout, ne faites pas RIEN, vous seriez en défaut avec la loi !
Si cet article vous a semblé utile, n’hésitez pas à le partager avec vos amis, associations, etc.
A très bientôt, pour un peu de calligraphie j’espère !
Véro
Pouah pouah pouah, ça veut dire qu’il faut que je me penche sur la question pour l’asso? Vraiment?
Et oui… le minimum vital est décrit dans l’article :
– lister les process de communication dans le tableau
– revoir (ou créer) sa politique de confidentialité
– mettre des mentions dans les formulaires papier
– revoir les formulaires du site web s’il y en a
– Faire en sorte qu’un minimum de personne ait accès aux coordonnées des adhérents, et que celles ci soient stockées dans des espaces sécurisés
Si tu as des questions, tu peux m’appeler évidemment ! C’est un peu de boulot, mais c’est la loi 😉
Je te remercie, sans toi j’aurais complètement laisser passer (encore que normalement pour l’asso c’est pas à moi de m’en occuper, mais bon). Je jetterai un oeil là-dessus dans l’été.
Génial, Véro, merci, on voit que tu es une super pro dans ce domaine 😉
J’ai commencé à m’y mettre,mais je n’ai pas fini, alors merci pour le tableau ! Bisous !
Bientôt un an que je travaille dessus ! Le plus dur c’est de rester pragmatique et de prioriser en fonction des vrais risques. Il y en a tellement qui ne font rien parce que pour eux c’est une usine à gaz puissance 20. Heureuse si cela te sert ! bises
Merci pour cet article simple et pratique. On a tendance à penser que cela ne concerne que les grandes entreprises et les données informatiques. Cet éclairage prouve que non. Merci aussi pour le fichier et la méthode qui va m’aider à Mettre tout ça à plat sans perdre trop de temps à réfléchir comment m’y prendre,