LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES : Tout sur le règlement général de l'UE sur la protection des données

Il influence également nos activités en ligne en Suisse : le règlement général européen sur la protection des données (RGPD). En vigueur depuis le 25 mai 2018, il a suscité ici et là des visages perplexes. C'est pourquoi nous avons réuni pour toi les informations les plus importantes sur le traitement des données sur ton site web et sur les outils de site web les plus utilisés. Un petit guide d'action - pour que tu sois également en sécurité.

Remarque : l'aperçu suivant ne prétend pas être exhaustif. Il sert avant tout de guide d'action et attire l'attention sur une sélection de points importants en ce qui concerne le RGPD.

L'essentiel en bref

En principe, les conséquences du RGPD pour la Suisse peuvent être résumées comme suit : dès que des données de personnes dans l'UE sont saisies et traitées sur un site web, le RGPD doit être respecté et ses prescriptions doivent être observées. Dès que tu commandes un site web, tu es entièrement responsable des données personnelles traitées via ton site web.

Qui est responsable des données collectées ?

Si tu décides toi-même comment et dans quel but des données personnelles sont collectées et traitées via ton site web, tu es responsable de ces données. Tu dois t'assurer que les données sont collectées, traitées, stockées et utilisées de manière légale. Les personnes concernées doivent être informées de leurs droits et savoir comment, dans quel but et pendant combien de temps les données sont conservées. En outre, tu dois obtenir le consentement explicite de toutes les personnes concernées pour la collecte, le traitement et l'enregistrement des données. Cette responsabilité s'applique également si tu mandates quelqu'un pour s'occuper de ton site web. En tant que mandant d'un mandat web, tu dois t'assurer que le sous-traitant remplit ses obligations contractuelles et traite toutes les données de manière sûre et légale.

6 domaines et outils : Ce qu'il faut faire.

1. Google Analytics
   Dès que Google Analytics est utilisé sur ton site web, tu charges Google de traiter pour toi des données personnelles. Pour que cette utilisation soit conforme à la protection des données, il est recommandé de conclure un contrat de traitement des données avec Google avant d'utiliser ces outils. Tu peux également le faire par voie électronique via ton compte Google Analytics. En outre, les utilisateurs de ton site web devraient être informés que tu utilises Google Analytics. Il faut également prévoir une possibilité d'opt-out (une fonction d'arrêt) permettant aux utilisateurs d'arrêter l'enregistrement de leurs données par Google Analytics. En outre, l'adresse IP doit être raccourcie (fonction d'anonymisation).
2. Google Ads et Google Search Console
   Lors de l'utilisation de ces outils, aucun traitement de données personnelles n'est effectué par ton entreprise, c'est pourquoi il n'est pas nécessaire d'agir en raison du RGPD.
3. Facebook Pixel
   Facebook agit pour ton entreprise en tant que sous-traitant. Il faut donc tenir compte des mêmes points que pour l'utilisation de Google Analytics. Il faut à nouveau un contrat pour le traitement des données par Facebook. Facebook semble actuellement ne pas offrir la possibilité d'utiliser les pixels Facebook sans transmettre de données personnelles à Facebook. Il propose toutefois des outils techniques permettant d'empêcher la transmission de données personnelles par Facebook Pixel tant que l'utilisateur de votre site web n'a pas donné son consentement au traitement des données. Il faut partir du principe que l'utilisation de Facebook Pixel présuppose actuellement le consentement préalable des utilisateurs du site web ainsi qu'une information conforme à la protection des données.
4. Plugins de sites web
   En ce qui concerne les plugins de sites web, il est judicieux de vérifier au préalable s'ils collectent et enregistrent des données à caractère personnel. Si c'est le cas, il faut une base légale pour ce traitement de données. Celle-ci peut être établie sous la forme d'un consentement. En outre, l'utilisateur de ton site web doit être informé de la manière dont ses données sont enregistrées, de leur finalité et de la durée de leur conservation.
5. Mailchimp (outil de newsletter)
   Mailchimp agit également pour ton entreprise en tant que sous-traitant. C'est-à-dire que là aussi, en tant qu'utilisateur, tu es coresponsable du traitement légal des données. Il est en outre recommandé d'utiliser une inscription double opt-in avec consentement explicite pour l'inscription à la liste de distribution. Lors de l'inscription à une liste de distribution de newsletters, un e-mail de confirmation supplémentaire est envoyé pour activer l'inscription. En outre, il est judicieux de vérifier précisément les paramètres actuels de ton outil de newsletter. La déclaration de protection des données doit indiquer quelles données sont traitées et dans quel but. Dans le cadre de l'inscription d'un nouvel utilisateur, Mailchimp enregistre la date et l'heure de l'inscription ainsi que l'adresse e-mail et l'adresse IP. Cela doit également être indiqué. En outre, tu dois intégrer à chaque envoi d'e-mail une possibilité de désinscription sous forme de lien dans la newsletter.
6. Mentions légales et déclaration de confidentialité
   Il est également important de vérifier les mentions légales et la déclaration de confidentialité sur ton site web. Nous pouvons te faire des recommandations à ce sujet ou adapter les mentions légales et la déclaration de protection des données à notre meilleure connaissance. Mais comme des exigences juridiques très spécifiques peuvent s'appliquer ici, un contrôle final doit être effectué par toi et/ou ton avocat.

Nous nous occupons volontiers, en ton nom, de mesures concrètes en vue de la RGPD. En font partie

• Contrat de traitement des commandes avec Google Analytics
• Anonymiser l'IP de Google Analytics
• Vérifier les plugins
• Contrat de traitement des données Mailchimp
• Intégrer l'inscription double opt-in Mailchimp
• Personnaliser les mentions légales/la déclaration de confidentialité