Cécile Staehle, 06/04/2018

Le RGPD ne nous fait plus peur !

8 minutes de lecture

Nous sommes en avril 2018, tout va (presque) bien sur cette planète, et ce matin, tout en faisant griller quelques tartines, vous trainez sur les réseaux sociaux... De quoi parlait ce post ? RGPD ?

Si vous ne maitrisez pas encore ce jargon, pas d’inquiétude, vous pourrez tout apprendre sur le site de la CNIL. Quant à nous, nous avons préféré vous présenter les coulisses de l'agence ou comment nous avons adapté nos pratiques avant l'arrivée du RGPD - Règlement Général sur la Protection des Données.

Prouver la mise en place d’un système de protection des données personnelles

Les projets de nos partenaires nécessitent des échanges de données entre eux et leurs utilisateurs (principalement nom, prénom, adresse, email, téléphone, IP). Bien qu’elles ne soient pas qualifiées de « sensibles », ces données ont un caractère personnel, c'est-à-dire qu'elles permettent l'identification d'une personne physique (bon à savoir : une adresse mail telle que contact@ n'est pas concernée par ce nouveau règlement).

« Ces obligations concernent tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation. Sont notamment concernés : les prestataires de services informatiques (hébergement, maintenance, …), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données, les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients »

Source : Site de la CNIL, au 15 mars 2018 - https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants

Avec l’arrivée du RGPD, en qualité de sous-traitant, nous sommes devenus responsable de la protection de ces données. Une responsabilité partagée avec nos partenaires mais qui nécessite pour nous quelques ajustements sur nos pratiques actuelles.

Cartographier les données et leurs traitements, prérequis essentiel

Pour nous et nos partenaires, la première étape est de réfléchir à la collecte de ces informations. Pourquoi ? Dans quel but ? A quel moment ? Est-ce légal ? Légitime ? Etc. C’est un véritable changement d’approche : ne plus recueillir de données sur les utilisateurs car c’est possible, mais se limiter à ce qui est nécessaire.

Le fruit de cette réflexion va ainsi nous permettre de cartographier toutes les données. Pour chaque type d’information : quelle est sa finalité, qui est concerné, quelles sont les données exactes traitées, où sont-elles stockées, quelle est leur durée de conservation, etc.

Cartographie des traitements de données personnelles

Exemple de cartographie - Index des traitements de données personnelles (liste non exhaustive)

Cartographie - Détails des traitement de données

Exemple - Détail d'un traitement de données personnelles

Créer un registre pour chaque projet

Ce registre est crucial pour fournir à la CNIL, si besoin est, les preuves de conformité concernant la protection des données. Il comprend notamment la cartographie des données, mais également d’éventuels audits sur la conformité de la mise en œuvre du RGPD, la liste des activités de traitement effectuées pour votre compte, le plan d’action à suivre en cas de vol et/ou perte de données, etc. Autant de nouvelles habitudes qu'il va falloir intégrer à chacun de nos projets.

Surveiller la sécurisation de ces données personnelles

Inutile de préciser qu’il nous incombe de protéger les données personnelles des utilisateurs aussi longtemps que nous hébergeons le site de nos partenaires. Cette étape de mise en conformité va nous obliger à faire preuve d’encore plus de vigilance sur les activités des serveurs. Nous devons notamment être en mesure de pouvoir identifier toute intrusion. C’est pourquoi certains de nos Troopers travaillent actuellement au développement d’un outil interne de monitoring, permettant entre autre de suivre l’activité de nos serveurs et des sites hébergés, un outil utile bien au-delà du périmètre du RGPD.

(Re)Donner à l’utilisateur le droit de « maîtriser » ses données personnelles

Le RGPD prévoit de renforcer les droits de l’utilisateur - meilleure lisibilité sur l’utilisation des données personnelles, maîtrise de celles-ci, droit à l’oubli, sanctions renforcées en cas de violation - il est donc nécessaire de mettre en place un système apportant un maximum de transparence et de choix.

Cela va passer, entre autre, par la mise à jour des Mentions Légales, la modification de formulaires pour désactiver des opt-in, l'ajout de scripts pour supprimer automatiquement des profils utilisateurs après une période d’inactivité, etc.

Des pratiques pleines de bon sens nous direz-vous peut-être, et vous avez tellement raison !

Quel impact cela a-t-il sur le webmarketing ?

Le RGPD étant basé sur le consentement de l’utilisateur (demandé au préalable de la collecte de données, exercé lors d’un choix réel et libre et facilement accessible ou réversible), cela va avoir des répercussions sur le travail des webmarketeux - habitués à mesurer l’efficacité de leurs campagnes via des outils d’analyse des données collectées.

Pour les formulaires et newsletters

Tout d’abord, il est possible qu’à l’époque vous ayez collecté des contacts sans obtenir leur consentement dans les règles actuelles du RGPD, dans quel cas nous vous conseillons de mener des campagnes de mise en conformité (exemple : via un e-mail).


Voici quelques pratiques à mettre en place lorsque quelqu'un s'inscrit à votre newsletter ou remplit un formulaire sur votre site internet :

- l’opt-in : l’utilisateur doit explicitement donner son accord (exemple : case à cocher en bas d’un formulaire pour s’inscrire à une offre commerciale. La case doit être par défaut non cochée pour que le consentement soit actif) ;

- le double opt-in pour que l’utilisateur confirme son inscription ;
- exprimer les raisons d'un envoi de mail de votre part à l'internaute dans le mail en question ;
- permettre la désinscription d'un utilisateur à tout moment que ce soit pour une newsletter, une offre commerciale, etc.

Pour les outils d'analyse et de tracking

Lorsqu’un utilisateur arrive sur une page d’un site internet qui a installé un code de suivi analytics, l’utilisateur doit accepter l’usage de cookies (généralement présenté sous forme de bandeau) pour que Google Analytics définisse un identifiant unique à chaque utilisateur dans le but de collecter des informations sur lui et sur sa navigation.


Parmi les points qui vont changer :

- l’utilisateur doit pouvoir refuser l’utilisation de cookies à chaque session ;

- la conservation de ces données ne doit pas excéder 13 mois - tandis qu’elles sont réglées sur 26 mois par défaut dans Google Analytics (pour le modifier : Administration > Informations de suivi > Conservation des données) ;

- vous devez accepter les Data Processing Terms dans Google Analytics.


Plus d’informations concernant le RGPD, Google Analytics et Google Tag Manager.

comments powered by Disqus

Nos derniers articles