Petit point sur le RGPD

Aujourd’hui, petit point sur la nouveauté légale du moment, le RGPD, ou Réglement générale de la protection des données, et ses implications sur internet : site web, applications, plateforme elearning.

Qu’est-ce que c’est ?

Le RGPD (ou General Data Protection Regulation en anglais) est en entrée en vigueur le 25 mai 2018. Il impacte toute structure qui collecte et utilise les données personnelles de citoyens de l’Union Européenne.

Il traite de la protection des données numériques personnelles des utilisateurs (sécurité des données, durée de conservation, traitement des données, portabilité des données…). Il faudra donc informer clairement les utilisateurs sur les informations qui seront collectées, à qui elles seront éventuellement divulguées, si elles seront sécurisées ou encore le temps qu’elles seront conservées.

Mais la principale nouveauté réside dans le consentement de l’utilisateur.  Celui-ci doit en effet être informé que ses données personnelles vont être collectées et doit donner son consentement à cette collecte d’information. Par la suite, l’utilisateur doit avoir la possibilité de demander la suppression de ses données personnelles, c’est ce qu’on appelle le droit à l’oubli.

Impacts pour les site web, plateformes elearning et applications en ligne

Mentions légales

Une page mentions légales indiquant le propriétaire du site, le responsable éditorial ou encore l’hébergeur ne suffira plus. Toute application en ligne devra comporter aussi une page Politique de protection des données personnelles. C’est elle qui indiquera aux internautes ou utilisateurs de l’application comment seront utilisées leurs données personnelles.

Le site de la CNIL propose des exemples de page de politiques de protection des données que l’on peut réutiliser selon différentes situations.

Formulaires

Les formulaires permettant de collecter les informations de l’utilisateur devront indiquer comment les données seront collectées, si elles seront conservées, et si oui, combien de temps. Un formulaire dans lequel on ne rentre pas de données nominatives ne sera pas impacté par la RGPD.

Il faudra également préciser à l’utilisateur qu’il pourra à tout moment faire valoir son droit à l’oubli et demander la récupération ou la suppression de ses données personnelles.

Sécurité des données

Plusieurs recommandations sont apportées pour la sécurité, notamment :

  • Mot de passes chiffrés
  • Mise en place d’un firewall
  • Mise à jour fréquentes et sauvegarde
  • Mise en place de différents niveaux d’accès à l’application

Cookies

Un bouton permettant de désactiver les cookies doit être mis en place. Jusqu’à maintenant, le consentement était implicite (« En utilisant ce site, vous acceptez notre politique de cookies ») mais cela ne suffit plus. L’utilisateur doit maintenant pouvoir personnaliser l’utilisation des cookies et décider lesquels il autorise en visitant le site ou en utilisant l’application.

Si vous visitez par exemple le site SOS RGPD pour la première fois, vous verrez en bas un bouton « Personnaliser » permettant de choisir les cookies à autoriser ou pas.

Mise en place : WordPress et Moodle

La plupart des applications, LMS ou CMS sont déjà compatibles avec le RGPD ou sont en train de le devenir.

WordPress

Le plugin anti-spam de WordPress, Akismet, est déjà compatible et propose une option pour Afficher un message d’information sur la vie privée sous vos formulaires de commentaire.

Woo Commerce est également déjà compatible mais certains plugin de le sont pas encore.

La plupart des plugins de gestion des cookies font ou feront bientôt la mise à jour afin de proposer la gestion des cookies.

Moodle

Côté elearning, Moodle est compatible à partir de la version 3.5 mais des plugins sont sortis permettant de rendre un Moodle 3.3 ou 3.4 compatible. La nouvelle version propose donc plusieurs options permettant la mise en conformité au nouveau réglement :

  • Vérification de l’âge des utilisateurs à l’inscription
  • Gestion automatisée des demandes de retrait des données : export ou suppression automatique de toutes les données de l’utilisateur à sa demande
  • Gestion d’une ou plusieurs pages de politiques de gestion de données
  • Gestion de catégories de données : chaque catégorie créée permet d’y associer un type de données, son utilisation et sa durée de conservation.
  • Possibilité d’assigner le rôle Data protection officer (responsable de la gestion des données) et d’afficher sur le site un lien permettant de le contacter directement pour toute demande ayant trait à l’utilisation des données.
  • Compatibilité des plugins : une page permettant de voir en un coup d’œil les plugins additionnels installés et leur compatibilité ou non avec le RGDP. Les plugins devront donc se rendre compatibles avec l’API Moodle permettant de gérer le RGDP.

Conclusion

Le RGPD est entré en vigueur le 25 mai 2018 et votre responsabilité en tant que gérant d’un site ou d’une application est engagée. Des mesures sont prévues pour s’assurer de la conformité : sanctions, rappel à l’ordre ou en ultime recours, amendes.

 

Archives