En tant que propriétaire de site internet (ou futur propriétaire), vous devez savoir que certaines réglementations nationales ou internationales sur la protection des données pourront s’appliquer à vous. Par conséquent, même en ayant un site internet hébergé au Maroc et/ou avec un nom de domaine « .ma », vous pourriez être concerné par le RGPD qui est le Règlement Général sur la Protection des Données qui s’applique en Europe. Cet article proposé par Baleez est justement là pour vous aider à mieux comprendre :
- Ce qu’est le RGPD
- Si vous êtes concerné
- Quelles mises en conformité seront à prévoir
Puisque le web ne dispose pas de frontières et que le flou peut être présent chez un grand nombre de personnes, la rédaction de cet article a par conséquent été nécessaire afin d’informer et de sensibiliser les propriétaires de sites marocains sur l’impact du RGPD dans leur présence en ligne. En effet, beaucoup pourraient penser qu’ils ne sont pas concernés par cette réglementation étant donné qu’ils sont implantés au Maroc, mais la réalité est différente comme nous allons le découvrir dans la suite de cet article.
Qu’est-ce que le RGPD ?
Tout le comme le Royaume du Maroc qui dispose de sa propre réglementation en matière de collecte de données personnelles (voir le site de la CNDP pour plus d’information), le territoire européen a lui aussi une réglementation qui s’applique à l’ensemble des pays de l’Union européenne et qui s’intitule : le RGPD (on retrouve également et très fréquemment le terme « GDPR » qui est l’acronyme anglais).
Brièvement, retenez que le RGPD est une réglementation internationale entrée en application le 25 mai 2018 qui permet d’établir un cadre juridique unique et commun en Europe pour les professionnels, en fonction de l’évolution des sociétés et des nouvelles technologiques. L’objectif final du RGPD est d’être au service des citoyens de l’UE afin de leur permettre un meilleur contrôle de l’utilisation des données les concernant et par conséquent instaurer un climat de confiance envers le numérique.
Chaque pays de l’UE dispose d’une institution nationale chargée de veiller au respect du RGPD sur son territoire, mais également de sensibiliser, d’informer, etc. N’hésitez donc pas à parcourir leurs sites afin d’avoir tous les détails à propos du RGPD. Celui de la CNIL pour la France par exemple pourra vous apporter beaucoup d’informations complémentaires à cet article.
La notion de « données personnelles » et de « traitement de données personnelles »
Le RGPD est là pour garantir aux citoyens de l’UE un meilleur contrôle des données personnelles les concernant, mais ce qui est voulu ici par « données personnelles » est les informations qui se rapportent à une personne physique identifiée ou identifiable et qui permettent une identification de façon directe ou indirecte.
À titre d’exemple pour l’identification directe, il est possible de citer le nom et le prénom d’une personne. Pour l’identification indirecte, il est par exemple possible d’identifier une personne à l’aide :
- D’un numéro client
- D’un numéro de téléphone
- D’une donnée biométrique
- De caractéristiques physiques, psychologiques, génétiques, psychiques, économiques, culturelles ou encore sociales
- D’une voix ou d’une image
Il est considéré que l’identification d’une personne peut avoir lieu à partir d’une seule donnée (numéro de téléphone par exemple) ou à partir d’un croisement de données (nom + adresse postale par exemple). En effet, dès lors que des données personnelles sont stockées dans une base (marketing, prospects ou clients par exemple), qu’elle soit informatisée ou non et qu’elles permettent de remonter jusqu’à des personnes physiques par diverses opérations (même si les noms n’y sont pas stockés), on parlera de traitement de données personnelles et le RGPD s’appliquera par conséquent. À l’inverse, un traitement de données concernant des entreprises (coordonnées, adresses, etc.) ne sera pas considéré comme un traitement de données personnelles étant donné qu’il ne permettra pas de remonter jusqu’à des personnes physiques.
Enfin, retenez qu’un traitement de données personnelles doit avoir une finalité claire, légale et nécessaire pour l’activité du professionnel qui s’apprête à collecter des données personnelles comme le montrent les exemples suivants :
- Collecte d’e-mail pour inscrire un internaute à une newsletter afin qu’il puisse recevoir de façon hebdomadaire des conseils, actualités et nouveautés
- Collecte de coordonnées d’un client pour facturer et expédier une commande à la suite d’un achat sur un site de vente de ligne
- Collecte d’un nom, prénom et e-mail d’un prospect pour répondre à une demande de devis faite depuis un formulaire de contact
À titre d’exemple, une collecte de numéro de sécurité sociale pour l’achat d’un téléphone depuis un site de vente en ligne ne sera pas justifiée et nécessaire pour mettre en œuvre un tel traitement.
Quel est le lien entre le RGPD et les sites internet ?
De nos jours, sur la plupart des sites web, des données personnelles sont collectées en vue d’aboutir à un traitement. Ces collectes peuvent s’effectuer de différentes façons, mais principalement, nous les retrouvons au travers :
- Des formulaires de contact / demande de devis / demande de rappel
- Des inscriptions aux newsletters
- Des achats en ligne sur les sites e-commerce
- Des inscriptions sur des sites spécialisés (emploi, immobilier, etc.)
Après collecte des données personnelles en provenance des internautes, les propriétaires de sites doivent stocker ces données de façon sécurisée afin de les utiliser conformément au consentement exprimé par les utilisateurs (nous y reviendrons).
En tant que propriétaire de site marocain, êtes-vous concerné par le RGPD ?
Partons du principe que vous êtes propriétaire d’un site marocain. Pour mieux définir ce qui est voulu par « site marocain », voici trois exemples qui pourraient impliquer que vous êtes bel et bien propriétaire d’un site marocain :
- Vous êtes implanté au Maroc vous et/ou votre structure et vous disposez d’un site internet (pas obligatoirement avec une extension « .ma »)
- Vous êtes affilié à la communauté numérique marocaine et vous disposez d’un nom de domaine « .ma »
- Votre site internet est hébergé chez un prestataire marocain
Si vous êtes dans l’une de ces situations, il sera très probable que vous êtes propriétaire d’un site marocain.
Désormais, afin de savoir si vous êtes oui ou non concerné par le RGPD avec votre site marocain, il conviendra de vous poser cette question : est-ce que mon activité en ligne cible des résidents européens et collecte leurs informations personnelles ? Pour vous donner quelques exemples, voici des cas de figure de sites marocains concernés par le RGPD :
- Un site web qui collecte des données personnelles de personnes résidant en France dans le cadre de voyages organisés à Marrakech
- Un site web qui collecte des données personnelles de personnes résidant en UE afin de vendre et d’expédier en Europe des produits du terroir marocain
- Un site web qui collecte des données personnelles de Marocains résidents à l’étranger (MRE) résident en Europe afin de les accompagner dans leurs projets d’investissement immobilier au Maroc
Comme vous pouvez le voir, tous ces exemples ont comme point commun le ciblage et la collecte de données de résidents européens. Par conséquent, si vous êtes dans un cas de figure similaire, vous serez concerné par le RGPD même si votre structure se situe exclusivement au Maroc et que vous ne facturez qu’en dirhams. Notez également que les sous-traitants qui agissent pour le compte d’entreprises qui collectent des données personnelles sont également concernés par le RGPD.
Quelles sont les mises en conformité au RGPD à prévoir ?
Le RGPD est vague et peut s’appliquer dans beaucoup de situations. Avant d’aller plus loin, notez que le RGPD s’articule selon 6 grands principes pour la protection des données qu’il conviendra d’observer en permanence afin de mener et de maintenir votre mise en conformité sur la bonne voie :
- La collecte de données uniquement nécessaires au vu de la finalité envisagée tout en veillant à la minimisation des données collectées
- La transparence sur l’utilisation qui sera faite des données collectées ainsi que sur les modalités d’exercices de droits
- L’organisation et la facilitation de l’exercice du droit des personnes
- La fixation de durée de conservation des données
- La sécurisation des données et l’identification des risques
- La mise en conformité dans le cadre d’une démarche continue
Dans le cadre de cet article, ce qui nous intéresse le plus est la mise en conformité numérique et plus précisément à travers les sites web. Ce qui va suivre en matière d’axes à travailler pour votre mise en conformité n’aura pas pour objectif de lister toutes les mesures et obligations à respecter (il faudrait un autre article entier pour cela), mais simplement de vous aiguiller sur les grands axes à travailler et il y en a 3 que nous verrons ici :
- Le recueil de consentement
- La mise à disposition des informations légales
- Le respect de la durée de conservation des données
Voyons donc plus en détail chacun de ces axes que vous pourrez travailler dans le cadre de la création de votre site marocain (ou sur votre site existant si vous en possédez déjà un).
La collecte du consentement
Sur un site internet, la collecte de données personnelles peut se faire de plusieurs manières, mais généralement, celle-ci se fait à partir de la soumission d’un formulaire (de tous types) ou lors de la création d’un espace personnel (achats e-commerce par exemple). Par conséquent, si vous êtes amené à collecter des données personnelles (peu importe le mode), notez que vous devrez recueillir le consentement clair et non équivoque de l’internaute avant toute action de collecte, faute de quoi la collecte sera illégale.
Dans la pratique, ce recueil de consentement se fait à l’aide d’une case à cocher obligatoire en fin de collecte de données (case précochée par défaut non conforme). De plus, les internautes doivent être informés de ce à quoi ils consentent en leur apportant cette information (données collectées pour le passage d’une commande, d’une demande de devis, d’une inscription à une newsletter, etc.).
Vous trouverez ci-dessous un exemple de ce à quoi pourrait ressembler un recueil de consentement conforme au travers d’un formulaire de contact (le principe restera identique pour toute autre forme de collecte de données personnelles depuis un site internet).
À partir de cet exemple type présenté, il est possible d’en déduire plusieurs points qui vous aideront dans votre mise en conformité lors de collectes de données personnelles à travers vos formulaires et autres :
- La case à cocher est obligatoire et est non précochée. Sans cela, il ne doit pas être possible de soumettre le formulaire
- Une mention type a été intégrée à proximité de la case : « En soumettant ce formulaire, j’accepte que les informations saisies soient exploitées dans le cadre de [mentionner la raison] ». Avec ce type de mention à la première personne du singulier et avec des termes facilement compréhensibles, la collecte de consentement est donc claire et sans ambiguïtés. De plus, nous expliquons ici dans quel but sont collectées les données (exemple : demande de devis). Dans le cas où les finalités auraient été multiples, il aurait fallu mettre une case à cocher par finalité afin de collecter le consentement pour chacune d’entre elles (exemple : demande de devis + inscription newsletter)
- Afin d’informer le visiteur sur ses droits, une mention type « Pour connaître et exercer vos droits, notamment de retrait de votre consentement à l’utilisation des données collectées par ce formulaire, veuillez consulter notre politique de confidentialité. » a été inscrite. De plus, un lien direct vers la politique de confidentialité du site a été inséré afin que l’internaute puisse la consulter en parallèle
Enfin, notez que vous devrez toujours conserver les preuves des consentements que vous recevrez de la part de vos utilisateurs (ce à quoi ils ont consenti, coordonnées, dates, heures, etc.).
La mise à disposition des informations légales
En cherchant à vous conformer aux grands principes du RGPD abordés précédemment, vous devrez également mettre à la disposition de vos visiteurs des informations relatives à leurs droits par rapport à leurs données personnelles collectées (accès, rectification, suppression, opposition). Ces informations devront également inclure entre autres :
- La ou les finalités pour la collecte des données
- Quelles sont les données collectées
- La durée de conservation des données
- Les coordonnées du responsable de traitement et éventuellement celles du DPO (Délégué à la Protection des Données)
- Qui pourra accéder aux données
- La procédure pour exercer ses droits par voie électronique en tant que déposant (coordonnées de contact par exemple), etc.
Dans la pratique, la mise à disposition des informations obligatoires relatives à la collecte de données personnelles se fait par la création d’une page de politique de confidentialité (également appelée « vie privée » sur certains sites) avec un lien pointant vers celle-ci en pied de page du site par exemple. De plus, il conviendra pour votre de site d’ajouter systématiquement un lien pointant vers votre politique de confidentialité à proximité de chaque case à cocher obligatoire de recueil de consentement afin d’informer au préalable les utilisateurs de leurs droits.
En cas de besoin d’aide pour rédiger le contenu dédié à votre page de politique de confidentialité, sachez que des rédacteurs professionnels en documents juridiques pourront vous accompagner pour cela. Si vous cherchez une solution plus économique (mais, qui sera probablement moins personnalisée), sachez également qu’il existe en ligne des générateurs gratuits de mentions conformes au RGPD tels que celui d’Orson qui vous génèrera ces précieuses mentions obligatoires après avoir renseigné quelques informations sur votre activité en ligne (il vous appartiendra toutefois de relire, vérifier et éventuellement de corriger les informations générées, car cela relèvera de votre responsabilité).
Le respect de la durée de conversation
Une fois les données personnelles de vos utilisateurs collectées conformément au RGPD, vous devrez également assurer une maintenance manuelle ou automatique (selon les fonctionnalités installées sur votre site) afin de vous assurer du non-dépassement de la durée de conservation de celles-ci. Par conséquent, si un internaute vous donne son consentement et que votre politique de confidentialité mentionne une durée de 13 mois de conservation, vous aurez l’obligation de supprimer les données de cet internaute au bout de 13 moins.
Il conviendra donc d’assurer un suivi régulier de vos fichiers de traitement afin de vous assurer qu’aucune donnée n’a dépassé le délai fixé dans votre politique de confidentialité. Certains outils, notamment sur WordPress, proposent de supprimer automatiquement ces données sans intervention de votre part comme c’est le cas de WooCommerce, la célèbre extension pour les sites de vente en ligne (après paramétrage).
Comme le montre la capture ci-dessus, WooCommerce permet de paramétrer automatiquement la durée de conservation des données personnelles des utilisateurs depuis l’interface d’administration d’un site internet. N’hésitez donc pas à parcourir vos fonctionnalités installées sur votre site afin de voir les possibilités qu’elles offrent en matière de suppression automatique de données. Cela pourra en effet vous permettre d’éviter des oublis et même de vous faire gagner beaucoup de temps.
Faites-vous accompagner pour la mise en conformité de votre site marocain
Comme nous l’avons vu au cours de cet article, si vous disposez d’un site marocain et que votre activité est exclusivement établie au Maroc, mais que votre présence en ligne s’adresse à des citoyens de l’UE et que vous collectez leurs données personnelles, vous devrez vous mettre en conformité avec le RGPD, tout en veillant à respecter également la réglementation marocaine en matière de protection des données.
Cette réglementation pourra pour certains d’entre vous paraître contraignante, mais en réalité, une fois la mise en conformité effectuée, il restera simplement un léger travail de suivi et de veille à assurer. Mieux encore, en faisant l’effort de vous mettre en conformité et en montrant à vos prospects et potentiels clients que vous accordez la plus grande importance à leurs données et à leur vie privée, cela pourra montrer votre professionnalisme et être un argument commercial de taille pour votre activité contrairement à vos concurrents qui n’accordent pas ou peu d’importance aux droits des utilisateurs sur l’espace numérique.
Notez enfin que nous n’avons abordé ici que les grands principes du RGPD et les grands axes de mise en conformité qui seront à prévoir. Pour être parfaitement en règle, n’hésitez pas à vous faire accompagner par un professionnel compétent afin de vous assister sur cette partie juridique. Un concepteur de site pourra également vous aider dans la mise en conformité technique de votre site avec une maintenance de site internet comme cela est proposé chez votre prestataire webmaster / développeur web Baleez.
0 commentaires