Je suis concerné
Tu es concerné(e)
Il (ou elle) est concerné(e)
Nous sommes concernés
Vous êtes concernés
Ils (ou elles) sont concerné(e)s

.

Image : CNIL

.

Et tout ça, à partir du 25 mai 2018. C'est très sérieux ! Internet va être chamboulé ! Tout le monde est concerné. Je vous explique.

Vous avez certainement remarqué : depuis quelques jours, vous recevez des tonnes de courriers électroniques qui portent des titres aussi passionnants que :

  • “Amélioration de nos règles de confidentialité”
  • “Modifications importantes des Conditions Générales d'adhésion”
  • “La loi change – ne manquez rien !”
  • “Besoin de votre accord pour garder le contact”
  • Ou même en anglais : “Updates to our Privacy Policy and Terms of Use”

Et croyez-moi, vous allez en recevoir d'autres, beaucoup d'autres, et les choses vont s'accélérer au fur et à mesure que la date du 25 mai se rapproche.

Vous allez en recevoir d'autres, y compris de Tilékol.

Pourquoi ?

A cause d'un nouveau règlement européen.

Je vais vous parler de ce règlement, de la manière la moins ennuyeuse possible.

Pour vous faire sourire de temps en temps et illustrer certaines émotions provoquées par ce GRPD, j'y ai ajouté des “gifs animés”, tous tirés du sympathique giphy.com.

Bienvenue dans l'univers merveilleux du RGPD

Je suis tombé complètement par hasard sur ce RGPD début mai.

J'ai commencé à lire une page web, deux pages web, dix pages web, et au fur et à mesure que je lisais, mes yeux sortaient lentement mais sûrement de mes orbites et j'ai été pris de tremblements incontrôlables.

.

.

MAIS QU'EST-CE QUE C'EST QUE CE TRUC !!!

Il faut quand même que je vous explique ce que c'est. Ou du moins que j'essaie, désolé s'il y a des inexactitudes ou des omissions dans ce qui suit.

“Règlement Général sur la Protection des Données”

Le nom exact du RGPD est : “Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)”.

Ouf.

La version courte est “Règlement Général sur la Protection des Données”. 

Les données ? Quelles données ?

Les données NOUS concernant et qui sont stockées ça et là sur le web. Ou via une collecte dans les applications que nous utilisons.

Le RGPD change complètement la donne. 

Il la complique.

Quand j'ai découvert ce RGPD, j'ai eu l'impression de découvrir de nouvelles instructions officielles pondues par un ministre de l'Education Nationale complètement enragé.

99 articles, des centaines de pages.

Si vous voulez de la lecture pour les longues soirées d'été, vous pouvez le consulter dans son intégralité ici.

La surcouche européenne

Le RGPD est un règlement européen. Il vient remplacer (ou compléter ? Je n'en sais trop rien) la réglementation française qui était déjà assez lourde sur le sujet, et qui était gérée par la CNIL (Commission Nationale Informatique et Libertés).

Le souci, c'est qu'il y a semble-t-il des désaccords entre CNIL et RGPD. Ce ne serait pas grave, si…

…Si de LOURDES sanctions ne menaçaient pas les sites web gros, moyens, petits, minuscules.

Même les blogs de particuliers (et d'enseignants) sont concernés.

Donc VOUS qui lisez vous êtes concerné à partir du moment où vous allez sur Internet, et vous êtes doublement concerné si vous avez une activité en ligne.

Parce que, je le répète, les sanctions sont lourdes.

.
.

Entrons dans les détails du RGPD

Disons-le tout net, le RGPD part d'un bon sentiment. Quand même.

Il s'agit de protéger les internautes.

Parce que, sans que nous ne nous en rendions compte, nous laissons plein d'informations nous concernant lorsque nous allons sur Internet ou lorsque nous utilisons des applications, des appareils, des dispositifs connectés :

  • Les informations volontaires : les posts sur Facebook et autres réseaux sociaux, les commentaires que nous laissons sur les forums ou les blogs, les inscriptions aux newsletters etc…
  • Les informations involontaires mais nécessaires : quand nous faisons un achat sur le web, le vendeur a notre adresse mail et d'autres informations (date de l'achat, adresse IP, parfois le nom, le prénom, l'adresse physique, etc…). Quand nous laissons un commentaire, il est relié à notre adresse mail, par exemple. Cette adresse mail est stockée sur le forum ou le blog, ou la page Facebook ou autre, où nous avons commenté.
  • Les informations fournies détournées, comme les “traces” utilisées par les publicitaires, ou les cookies récoltés au hasard de nos navigations et qui sont – parfois, pas toujours – des espions indiscrets.

Le problème n'est pas l'information que nous laissons, le problème est ce qui en est fait.

 

Les gros requins

.
.

Google, vous connaissez ?

Facebook, vous en avez entendu parler ?

Et les autres GROS sites web (réseaux sociaux, gros sites de vente en ligne), qui moissonnent à qui mieux mieux des informations sur VOUS.

Ils en font quoi ?

Ils les utilisent pour gagner des sous. Par milliards. Ils vous proposent des publicités ciblées grâce aux outils de “tracking” dont ils disposent, cookies dans le meilleur des cas, scripts “espions” dans le pire des cas. Ils revendent les données. Cher.

Ils en font tout un trafic, une cuisine, parfois assez malodorante, comme par exemple Google qui a avoué suivre la position de tous les smartphones Android, même lorsque le service de localisation était désactivé ! En exploitant vos données.

Ou Facebook, qui a laissé filer “à l'insu de son plein gré” les données privées de millions d'utilisateurs !

Avec le RGPD, ils risquent gros. Très gros. Ils se blindent de tous les côtés, parce que bien qu'européen le RGPD a une portée MONDIALE, dès lors que les données de citoyens européens sont concernées.

Les petits “sérieux”

.

.

Les bons élèves.

Ce sont les petits sites web tenus par des gens sérieux, qui respectent leurs visiteurs, leurs clients, qui sont conscients des problèmes de confidentialité, qui récoltent le moins possible de données, qui les conservent de manière sécurisée, avec des outils professionnels, dans les règles.

Parce qu'il y a déjà des règles, strictes, qui existent en France : ce sont les règles édictées par la CNIL. Nous y reviendrons.

Tilékol fait partie de ces sites petits et sérieux.

De même que des milliers d'autres sites et blogs français, respectueux de leurs visiteurs et des lois en vigueur.

Ils sont sérieux, et ils ont bien compris qu'il ne faudra pas prendre le RGPD à la légère.

Les petits “pas sérieux ou ignorants”

.

.

Ils récoltent des informations de manière non sécurisée, ils les stockent n'importe comment, ils “spamment” sans vergogne les adresses mail qu'ils ont récoltées à droite et à gauche, ils n'ont pas de mentions légales, on ne sait pas à qui on a affaire, on n'arrive pas à les joindre.

Ceux-là ont vraiment du souci à se faire. En théorie.

Les nouvelles obligations liées au RGPD

1/  Informer les clients (entreprise de vente) et visiteurs (inscription à newsletters par exemple) quelles données personnelles sont prélevées et utilisées, et dans quel but.

2/ Demander aux personnes qui laissent leurs données leur consentement sans équivoque pour les différentes utilisations qui seront faites de ces données.

3/ Accorder le droit de consultation, de modification et de suppression de ces données.

4/ Obligation d'établir un référentiel documentaire de ces données sous la forme d'un registre : 

  • Elles doivent être traitées de manière licite, loyale, transparente, adéquate, pertinente, limitée. (Oui, tout ça !)
  • La finalité doit être déterminée, explicite, légitime.
  • La conservation des données doit avoir une durée limitée.
  • Et à ce que j'ai compris, les transferts des données hors de l’UE ne sont pas autorisés.

5/ Tous les documents juridiques doivent être mis à jour :

  • Politique de confidentialité
  • Conditions générales de vente et d’utilisation
  • Mentions légales

6/ Les formulaires d’inscription aux services (newsletters, etc…) doivent être mis en conformité.

7/ Des procédures à appliquer en cas de contrôle ou de violation de sécurité des données doivent être mises en place.

8/ TOUS les intervenants (sous-traitants, employés) qui ont à être mis en contact avec les données doivent être “conformes RGPD”, sensibilisés et un fonctionnement sécuritaire strict doit être mis en place.

9/ Les grosses entreprises (plus de 250 salariés) doivent nommer un délégué à la protection des données.

10/ Les sanctions prendront la forme d'une amende pouvant atteindre (ou même dépasser) 20 millions d'euros.  

Les conséquences de la mise en place du RGPD

Les grosses entreprises, dans le monde entier, sont en train de dépenser des millions pour mettre en conformité leur activité…

…On voit soudain Facebook proposer gentiment à ses membres de télécharger gratuitement l'intégralité des données récoltées sur eux au fil des années. Ce n'est pas par un accès spontané de transparence : c'est parce que le RGPD les y oblige. Idem pour tous les autres.

Les petits sites sont souvent désemparés devant l'ampleur des obligations. Ils ont peur que les règles créées pour encadrer les “gros” ne mettent carrément en danger leur existence même.

Du coup, de nouvelles espèces de requins ont fait leur apparition, proposant moyennant finances d'aider les “petits poissons apeurés” à se mettre en conformité. Et des petits poissons apeurés, il y en a plein, beaucoup, énormément.

L'un des buts du RGPD est d'améliorer la transparence concernant l'utilisation des données. Bizarrement, je trouve que très peu de sites web en parlent ouvertement, à croire qu'ils ont des choses à cacher. Ou qu'ils ne savent pas comment faire. Ou les deux.

…Et les conséquences pour Tilékol

Bien sûr qu'il y aura des conséquences pour Tilékol, et d'ailleurs je travaille actuellement chaque jour sur le sujet. Je préfèrerais me promener au bord de la mer, croyez-moi.

Il y aura quelques changements dans la présentation des formulaires, de nouvelles façons de gérer les abonnés aux newsletters vont être mises en place, les mentions légales seront mises à jour, les abonnés recevront aussi le fameux courrier électronique les informant de certains changements au niveau des conditions d'utilisation, mais finalement ce ne sera pas grand-chose, même si ça demande énormément d'énergie et des heures de boulot.

Pourquoi ?

Parce que Tilékol est déjà parfaitement en règle avec les obligations françaises actuelles, ce qui est un gros avantage.

De plus, les newsletters par exemple sont gérées (depuis le début) par une entreprise spécialisée, (lien d'affiliation) française, sérieuse, à la pointe au niveau de la sécurité des données, parfaitement préparée au “choc RGPD”, et communiquant parfaitement à son sujet.

Et comme la transparence est toujours une bonne chose, j'entrerai plus en détail dans cette mise en conformité de Tilékol dans le prochain article. Vous aurez un exemple concret à étudier 🙂

 

 

 

 

Follow on Bloglovin