Des formulaires conformes au RGPD.
Quand ils remplissent un de vos formulaires en ligne, les internautes vous fournissent des données personnelles. Vous êtes ainsi soumis au RGPD pour leurs traitement et conservation. Ces formulaires doivent donc être adaptés à la législation.
Dans un précédent article, nous évoquions l’importance pour les entreprises de respecter le Règlement Général sur la Protection des Données entré en vigueur le 25 mai 2018. Nous soulignions que les amendes, parfois salées, commencent à tomber pour celles qui ne le respectent pas. S’y conformer commence dès la collecte des données, dès que vos clients et prospects vous les donnent.
Nous allons ici nous concentrer sur la problématique des formulaires, et plus particulièrement sur 3 aspects :
- Recueillir le consentement,
- En conserver la preuve,
- Informer l’utilisateur de ses droits.
Recueillir le consentement.
Toute personne doit donner son consentement explicite à l’utilisation des données qu’elle fournit. Ceci est valable pour tous les types de formulaires : une demande de contact ou de devis, le téléchargement d’un fichier, l’inscription à une formation ou un événement… Cliquer sur le bouton d’envoi ne suffit pas même s’il y a une mention particulière associée. Le législateur exige un acte positif clair de la part de l’internaute. Comprenez qu’il devra cocher une case, une case qui devra être obligatoirement cochée pour que l’envoi puisse se faire. Ce consentement doit être libre. Cela signifie que la case ne peut pas être précochée. Elle marque la volonté manifeste de l’utilisateur à accepter l’utilisation de ses données personnelles. Dans certains cas, on pourrait avoir plusieurs cases correspondant à diverses autorisations. C’est souvent le cas quand il s’agit de partager les informations avec de tierces parties dans un but commercial. Dans tous les cas, les libellés doivent être clairs, facilement compréhensibles et sans tournure négative. Comme cela, le consentement est univoque.
S’ajoute à tout ceci, le principe de minimisation des données. Comme le stipule le texte légal, les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Inutile donc de demander la nationalité de l’internaute car ce sera rarement utile à votre échange avec lui. Par contre, vous pourriez demander sa date de naissance si vous avez prévu de lui offrir un cadeau à cette occasion. Il faut donc bien nuancer les champs requis et facultatifs sur votre formulaire, et même comme cela, on flirte avec les limites de la législation. D’ailleurs, si vous élargissez après un certain temps le champs des finalités d’usage des données, il faudra demander à nouveau un consentement explicite concernant ce point particulier auprès de toutes les personnes déjà présentes dans votre base de données. Si certaines ne vous le donnent pas, il faudra alors leur accorder un traitement différents.
Conserver la preuve du consentement.
À tout moment, vous devez être capable de prouver que vous avez reçu le consentement des personnes concernées. C’est une obligation. Il faut ainsi pouvoir associer à chaque personne enregistrée dans vos bases de données le contenu de son consentement à l’utilisation de ses données personnelles. La preuve du consentement nécessite trois éléments : qui a consenti, ce à quoi la personne a consenti et le moment où elle a consenti. Comme évoqué dans notre précédent article, c’est le rôle du DPO (Data Protection Officer), la personne en charge de la protection des données au sein de l’entreprise.
On n’est jamais à l’abri d’une usurpation d’identité, qu’une personne malveillante introduise les coordonnées d’une autre personne. Dans ce cas, la victime a toujours la possibilité de retirer le consentement et de réclamer la suppression de ses données personnelles. Chez MediaBRU, nous utilisons (et implémentons) Mailchimp, un outil qui permet l’envoi de newsletters incluant la gestion de la base de données. En bas de chaque mail, le destinataire a la possibilité de consulter, corriger ou effacer les informations de lui-même.
Informer la personne de ses droits.
On fait ici le lien avec le troisième point que nous voulions aborder. Grâce à cette mention dans chaque lettre d’information, on répond au devoir d’informer la personne de son droit à, on le répète, consulter, corriger ou effacer ses données personnelles. Votre site comprendra toujours une politique de confidentialité pour répondre là aussi à cet impératif légal, notamment la possibilité de retirer un consentement précédemment exprimé tout comme la durée de conservation des données. Dans ce même ordre d’idée, il ne faut pas oublier de préciser le droit de retirer ce consentement au moment du consentement lui-même. C’est pourquoi, on voit régulièrement un lien vers la page de politique de confidentialité à côté de la case à cocher dont nous parlions plus tôt.
Quand vous confiez la conception de votre site Web à MediaBRU, nous attachons une grande importance à le rendre conforme au RGPD. Comme évoqué dans notre article, nous implémentons des outils conçus pour vous faciliter la tâche pour respecter de la législation et éviter des sanctions des autorités.
0 Comments on “Des formulaires conformes au RGPD.”