On en parlait depuis un moment, mais le 25 mai 2018 signe officiellement l'entrée en vigueur du RGPD. Une réglementation assez compliquée pour laquelle tout le monde s'est posé mille questions de savoir s'il était concerné ou non par cette loi. Je fais un point aujourd'hui et je vous dis ce que j'ai mis en place pour mon activité de transcriptrice audio.

Le RGPD, pour Règlement Général pour la Protection des Données est un véritable bouleversement dans l'Union européenne. À son entrée en vigueur, j'ai pu lire beaucoup de choses à ce sujet : des entreprises web qui ont décidé de fermer tout bonnement leur site web à cause d'une réglementation beaucoup trop contraignante et coûteuse pour elles. J'ai aussi vu des blogueuses américaines qui ont tout simplement bloqué l'accès à des abonnées françaises à cause du RGPD, et tout en les incitants à faire barrage à cette loi en faisant des pétitions. Bref, un véritable séisme ce RGPD. Et d'ailleurs, force est de constater qu'aujourd'hui encore, plus de 3 mois après, nombreuses sont les entreprises à continuer d'en faire qu'à leur tête.

Donc pour faire simple, le RGPD est une loi pour la protection des données personnelles des utilisateurs du web, pour ainsi protéger la vie privée des citoyens européens. Elle est entrée en vigueur officiellement le 25 mai 2018, mais c'était déjà dans les petits papiers depuis un moment.

Quid de la donnée personnelle.

Une donnée personnelle, selon le RGPD, représente tout ce qui peut potentiellement identifier quelqu’un, directement ou indirectement.

Texte de loi :

« Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Comment récupère-t-on cette donnée personnelle ?

À chaque fois qu’un visiteur fréquente un site web, son adresse IP est « mémorisée » dans un fichier que l’on appelle les « logs ». Cela est général et tous les sites web mémorisent cette donnée.

Il est également possible de collecter des données par d’autres biais comme le formulaire de contact, les commentaires sur votre blog, les plug-ins de sécurité (ReCaptcha par exemple) ou de statistiques (Google Analytics) qui enregistrent l’activité sur votre site, ou encore les espaces membres ou les boutiques en ligne, même d'un "petit entrepreneur". Il faut savoir qu'une de ces données seules ne permet pas forcément de remonter jusqu’à une personne, mais la combinaison de plusieurs données peut permettre d’identifier quelqu’un. Ce qui explique la présence de cette loi pour mieux protéger les usagers du web.

Cette nouvelle réglementation concerne tous les professionnels quel qu'il soit, et quelle que soit la taille de l'entreprise, donc même les microentreprises. Il cible tout site qui collecte, analyse et traque des données personnelles de personnes situées dans l'UE. Ce qui explique pourquoi certaines blogueuses américaines ont bloqué l'accès à des visiteurs français, car même si les États-Unis ne font pas partie de l'Europe, la blogueuse américaine se retrouve concernée malgré elle par cette loi lorsque ces Françaises laissent leur adresse mail pour s'inscrire à leur newsletter. Eh oui.

Jusqu’à 20 millions d’euros (ou 4% du chiffre d’affaires annuel, en fonction de ce qui est le plus élevé). Eh oui, rien que ça ! À noter également que les personnes lésées par cette non-conformité du professionnel pourront engager des poursuites en cas d’exploitation frauduleuse de leurs données personnelles.

Le principe même est la protection de la vie privée des usagers du web, ce qui implique certains points :

• Anticiper les problèmes avant qu’ils ne surviennent.
• Paramétrer les outils que l’on utilise de manière à ce qu’ils protègent au maximum les utilisateurs par défaut, en ne collectant que les données strictement nécessaires. L'usager ne doit pas avoir à farfouiller partout dans les paramètres pour bloquer certaines données sensibles.
• Permettre cette protection de la vie privée sans pour autant bloquer l’accès à certaines fonctionnalités.
• Assurer la sécurité des données personnelles.
• Être transparent avec les utilisateurs sur ce qu’il advient de leurs données personnelles.
• Obtenir l'accord des usagers sans utiliser un stratagème monté de toute pièce. Je pense notamment au cadeau gratuit pour obtenir votre adresse mail.

La chose à retenir, c'est que l'on collecte des données pour un but précis, nous ne devons pas en faire une autre exploitation.

Politique de confidentialité.

Ne pouvant modifier clairement cette page (merci Jimdo), vous pouvez retrouver ma politique de confidentialité sur la page de mes mentions légales. Ces éléments supplémentaires vous informent de ce qui est récolté et de quelle manière j'utilise vos données personnelles.

Le transfert de données.

La notion de transfert de données vers un pays tiers a été définie par la CNIL comme étant « toute communication, toute copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, toute copie ou déplacement de ces données d’un support à un autre, quel que soit ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire ».

J'utilise habituellement Wetransfer pour recevoir vos enregistrements pour les transcriptions. À cette occasion, je leur ai écrit un mail afin de connaître précisément leurs actions pour le RGPD, voici leur réponse (traduite automatiquement en français par Google traduction, je n'ai donc pas corrigé afin d'avoir une réponse authentique à vous communiquer) :

" Bonjour Laurie,

Merci de nous avoir contactés !

Vous pouvez lire ce que nous avons fait pour être conforme dans cet article du centre d'aide.

Depuis le premier jour, nous nous soucions beaucoup de la vie privée et du respect de nos utilisateurs. Nous avons toujours eu une politique de données allégée : pas d'inscription, pas d'installation, pas de reciblage. Protéger les données de nos utilisateurs est de la plus importance pour nous, et nous faisons de grands efforts pour nous assurer que nous le gardons en toute sécurité. Dans le cadre de cet effort, nous basons nos mesures de sécurité sur la norme ISO 27001, qui est la norme de sécurité de l’information la plus largement reconnue. À côté de cela, WeTransfer travaille exclusivement avec des partenaires de confiance tels qu'AWS et Adyen, qui seront entièrement conformes, et nous avons une déclaration de confidentialité qui est preuve GDPR (GDPR étant l’acronyme de RGPD en anglais).

À côté de cela, nous avons un responsable de la protection de la vie privée sur notre équipe et qui a préparé WeTransfer pour le GDPR. La majeur partie de son travail a été axée sur les nouvelles exigences de l'utilisateur, comme la mise en œuvre du droit à l'oubli. Sur la plan technique, nous avons amélioré les mesures de sécurité et de confidentialité en examinant toutes les équipes et la manière dont elles gèrent les données personnelles et organisationnelles en organisant des ateliers de sensibilisation et en créant une politique de confidentialité interne pour que tous les employés sachent comment traiter les données personnelles chez WeTransfer.

Espérons que cela vous informe beaucoup sur ce que nous avons fait pour être prêt pour le GDPR. Si ce n'est pas le cas, n'hésitez pas à nous contacter à tout moment, notre responsable de la protection de la vie privée se fera un plaisir de répondre à vos questions !"

Les données récupérées via les commentaires.

Lorsque vous laissez un commentaire sur mon blog, vous avez la possibilité de laisser votre site web, c'est une option que j'ai tenu à laisser active car cela peut me laisser l'opportunité de faire de belles découvertes. En revanche, et ce n'est pas une option modifiable, sur les sites Jimdo, il n'y a pas d'adresse mail à déposer pour pouvoir laisser un commentaire, par conséquent, je ne récupère aucune adresse mail via les commentaires du blog. Jimdo a seulement fait rajouter une case à cocher sur le formulaire de contact ainsi que sur la section commentaire du blog : "J'ai lu et accepte la Politique de confidentialité".

Les données récupérées via le formulaire de contact.

Sur mon formulaire de contact, j'ai ajouté un paragraphe reprenant les grandes lignes de ma politique de confidentialité présentes sur la page de mes mentions légales. Il y a également un lien renvoyant sur la politique de confidentialité. L'adresse mail est stockée dans les "archives du formulaire" de mon site web avec l'historique, c'est-à-dire le contenu du mail.

Google Analytics.

Il est précisé dans ma politique de confidentialité que j'utilise Google Analytics, cela vous explique notamment comment bloquer, vous en tant que visiteur, l'enregistrement de vos données par Google Analytics. Ce dernier me sert uniquement pour analyser mes statistiques de visites, comment j'ai été connu, le taux de rebond, si d'autres pages ont été visitées, etc. Je me sers uniquement de cet outil afin d'améliorer mon référencement.

Temps de stockage des données.

Vos données personnelles (adresse mail, nom, prénom, adresse de facturation) sont stockées par transcriptionetweb.com pour une durée indéterminée étant donné que ces informations me servent pour l'élaboration des devis et de la facturation des services de transcription. Rien d'autre.

Utilisation de vos données.

Comme précisé juste avant, j'utilise votre adresse mail uniquement pour répondre à vos demandes via le formulaire de contact ou de prise de contact directe via mon adresse mail. Je n'utilise votre adresse mail ou toute autre donnée personnelle pour aucune autre utilité que ma réponse et l'élaboration de devis et factures. Par ailleurs, je ne dispose pas de newsletter, donc je ne récupère pas non plus d'adresses mail par ce biais. Vous ne recevrez aucun autre mail qui ne serait pas lié à notre collaboration. Vos données ne sont pas cédées ou vendues à des tiers ou partenaires, je suis la seule à avoir accès à ces données.

J'espère avoir répondu à toutes vos interrogations. J'ai mis du temps à sortir cet article, car honnêtement ça n'est pas si évident que cela de bien comprendre cette réglementation, ce qu'elle implique et les actions que je dois mener pour être en conformité. Si vous avez la moindre question au sujet du traitement de vos données, contactez-moi, j'y répondrai dans les plus brefs délais.