RGPD et internet | Le Monde de la Propreté

Lorsque vous mettez en place un site internet à l’aide duquel vous communiquez ou par le biais duquel vous récupérez des données personnelles, des mesures de protection de ces données doivent être mises en place.

Accueil
RGPD La règlementation en matière de
protection des données Le registre de
traitement des données RGPD et
gestion des RH RGPD et
relations commerciales RGPD et
Internet

Vous devez respecter la réglementation en matière de protection des données personnelles lorsque vous mettez en place un formulaire permettant aux visiteurs de votre site de vous poser des questions, aux candidats de soumettre leurs candidatures ou lorsque vous permettez à vos clients de s’identifier à l’aide d’un identifiant dédié à l’utilisateur concerné. Pour l’ensemble de ces cas, et bien d’autres encore, vous devez munir votre site internet d’une politique de confidentialité claire et accessible, ainsi que d’une politique de cookies précisant l’utilisation des traceurs, leurs finalités, leur durée de conservation et les moyens permettant aux utilisateurs de gérer ou retirer leur consentement.

Politique de Confidentialité

La politique de confidentialité de votre site internet est un document, accessible facilement depuis n’importe quelle page de votre site, qui explique comment votre entreprise collecte, traite et efface les données personnelles des utilisateurs de votre site.

La politique de confidentialité a pour objectif de garantir une information transparente, concise et compréhensible aux personnes dont les données sont traitées.

Une politique de confidentialité bien rédigée est essentielle pour établir la confiance des utilisateurs et se conformer aux lois sur la protection des données.

A NOTER

Il est important de veiller à ce que la politique de confidentialité soit facilement accessible sur le site web ou l'application de l'entreprise, généralement par le biais d'un lien dans le pied de page ou dans le menu de navigation.

La politique de Confidentialité doit, au minimum, contenir :

les informations de contact
Les coordonnées de l'entreprise, y compris l'adresse postale, l'adresse e-mail et les coordonnées du responsable de la protection des données.
les finalités de la collecte des données
Une description claire des raisons pour lesquelles les données personnelles sont collectées.
Par exemple : la gestion de la création et de l’utilisation d’un espace utilisateur, la gestion des factures et des paiements, la gestion du recrutement et des candidatures, l’exécution du contrat en cours.
les catégories des données à caractère personnel traitées
Une liste des types de données personnelles collectées.
Par exemple : les données relatives à l’identité des personnes, les coordonnées de contact des personnes, les données de connexion.
la base Juridique du traitement
Une explication des bases juridiques sur lesquelles repose le traitement des données.
Par exemple, le consentement de l'utilisateur, l'exécution d'un contrat, l'obligation légale, l'intérêt légitime, etc.
la durée de conservation des données récoltées
Par exemple :
- 1 an pour une relation précontractuelle avec des clients potentiels,
- 5 ans pour une relation contractuelle existante afin de gérer d’éventuelles réclamations,
- 3 ans pour les avis des personnes sur les prestations accomplies,
- 10 ans pour les factures et des paiements des services,
- 12 mois pour l’établissement de statistiques en lien avec l’utilisation des services, etc.
les droits des utilisateurs concernant les données personnelles traitées et les procédures à suivre pour mettre en œuvre ces droits
Par exemple : le droit d’accès, le doit de rectification, le droit d’effacement, le droit de limitation, le droit de portabilité, le droit d’opposition, le droit de limitation, etc.

Cookies

Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web).

Les cookies peuvent servir à mémoriser l’identifiant de l’internaute, la langue d’affichage de la page, un identifiant permettant de tracer la navigation à des fins statistiques et publicitaires, etc.

Les cookies constituent donc un outil de traçage car ils permettent à ceux qui les mettent en place d’analyser la navigation, les habitudes de consultation et de consommation des internautes afin notamment de leur proposer des publicités ciblées ou des services personnalisés.

Les cookies sont également un outil de profilage car les données collectées peuvent également être exploitées pour établir le profil de navigation de l’internaute, en signalant la nature et le nombre de pages visitées, ou encore en établissant quelles sont les pages les plus régulièrement consultées.

La politique d'utilisation des cookies doit obligatoirement :

décrire les cookies installés sur le site,
permettre aux utilisateurs du site internet d’accepter ou de refuser les cookies non essentiels au fonctionnement.
Les utilisateurs du site internet doivent disposer d’un éventail de réglages de confidentialité, depuis les plus restrictifs (par exemple, "ne jamais accepter les cookies") jusqu’aux plus permissifs (par exemple, "toujours accepter les cookies"), en passant par des options intermédiaires (par exemple, "rejeter les cookies des tiers"). Ce choix doit être présenté sous une forme facile à visualiser et à comprendre.

A NOTER

Consentement aux cookies sur plusieurs appareils : quelles règles ?

Avec la multiplication des appareils connectés, les utilisateurs accèdent aujourd’hui aux sites et applications depuis plusieurs terminaux. Pour simplifier la gestion du consentement aux cookies, certaines entreprises proposent un consentement multi-terminaux, permettant à l’utilisateur d’exprimer une seule fois ses choix, lesquels s’appliquent ensuite automatiquement à l’ensemble de ses appareils liés à son compte. Afin de protéger la vie privée des internautes, la CNIL a publié des recommandations pour encadrer strictement ces pratiques.

Source : Cookies et autres traceurs : à quelles conditions peut-on consentir en une fois pour plusieurs appareils ? | CNIL

Dépôt de candidature via un site web

Dans le cas particulier d’une candidature adressée par le biais de votre site internet, veillez à toujours mentionner/mettre en oeuvre les 3 éléments suivants :

la politique de protection des données,
les traitements mis en œuvre aux fins de recrutement,
l'envoi d'un accusé de réception dès la réception de la candidature.

Enfin, en cas de réutilisation des informations personnelles du candidat pour une nouvelle finalité, veillez à vérifier que cette finalité soit compatible avec la finalité initiale et que la personne concernée soit informée de l’utilisation qui va être faite.

Par exemple, si vous réutilisez les données collectées dans le cadre du recrutement pour établir un contrat de travail du candidat nouvellement recruté, veuillez l’informer de cette nouvelle utilisation.

Pour plus d’informations sur le RGPD dans le recrutement, nous vous invitons à consulter le guide référentiel en matière de recrutement élaboré par la CNIL.

Exemples de trames d'article ou mails

Gestion de la candidature - mention à faire apparaître

En tant que responsable de traitement, l’entreprise [XXX] traite les données à caractère personnel du candidat dans le cadre de la gestion du recrutement.

Les données collectées sont nécessaires pour remplir la finalité décrite ci-dessus.

Ainsi, les données à caractère personnel pourront être conservées [xx] mois à compter du dernier contact avec le candidat. En tout état de cause, les données du candidat ne sont pas conservées au-delà de la durée nécessaire à la finalité du traitement.

Le candidat dispose d’un droit d’accès, de rectification, de suppression et de portabilité de ses données, ainsi que du droit de définir des directives relatives au sort de ses données à caractère personnel après son décès.

Le candidat peut également s’opposer ou limiter le traitement de ses données à caractère personnel et introduire une réclamation auprès de l’autorité de protection et de contrôle des données (Commission Nationale Informatique et Libertés).

Pour exercer ces droits, le candidat peut adresser sa demande soit :

par mail à l’adresse suivante : [maildpo@dpo.fr]
par courrier à l’adresse postale suivante : [Adresse postale]

Pour plus d’information sur le traitement de ses données, le candidat peut référer à l’onglet "recrutement" du site [www.siteentreprise.fr]

Mail de demande de renouvellement de la conservation des données personnelles du candidat

Bonjour,

Il y a pratiquement 24 mois, vous avez postulé à une offre d’emploi sur notre site internet.

Conformément au Règlement européen sur la protection des données, en vigueur depuis le 25 mai 2018, la période de rétention de vos informations personnelles arrivant à échéance, nous vous invitons à la renouveler afin de nous autoriser à conserver vos données personnelles et à vous proposer, le cas échéant, un nouveau poste.

Pour ce faire, il vous est demandé : [Préciser la marche à suivre]

Sans réponse de votre part dans un délai de [X jours], vos informations personnelles seront supprimées automatiquement : vous ne pourrez donc plus être contacté par nos équipes recrutement si nous avions un poste à vous proposer correspondant à votre profil. Vos précédentes candidatures seront aussi supprimées.

Cordialement,

L'équipe en charge du recrutement.

Mail d’information de suppression de données personnelles du candidat

Bonjour,

Il y a [X jours], nous vous avons sollicité pour vous demander le renouvellement de la conservation de vos données dans notre système.

Sans réponse de votre part, nous vous informons que nous avons procédé à la suppression de l’ensemble de vos données personnelles.

Cordialement,

L'équipe en charge du recrutement.

Inscription à une newsletter

Vous pouvez, dans le cadre de l'activité de votre entreprise, permettre aux utilisateurs du site internet de votre entreprise de s'inscrire à une lettre d'information électronique, appelée également "Newsletter". Celle-ci permet, par exemple, aux utilisateurs de votre site internet, qui l'ont expressément demandé, de rester informés des offres à pourvoir, des actualités du secteur, des offres de partenaires,...en recevant régulièrement des mails de la part de votre entreprise.

L’envoi de newsletters doit respecter les règles du RGPD, dont notamment :

consentement préalable et explicite : les utilisateurs doivent donner leur accord clair avant tout envoi,
information transparente : mentionner de manière compréhensible sur votre site l’utilisation qui sera faite des données personnelles collectées,
possibilité de désinscription : offrir un moyen simple et immédiat de se retirer de la newsletter à tout moment.
L’entreprise doit être capable de prouver l’existence de ce consentement en cas de contrôle.

A NOTER

Pour la prospection BtoC (particuliers), le respect de ces règles est obligatoire pour ne pas être considéré comme spammeur.
Pour la prospection BtoB (professionnels), l’information et la possibilité d’opposition restent essentielles.
Pour toutes les données collectées, celles-ci ne doivent pas être conservées au-delà de 3 ans sans renouveler le consentement.

Modèles

Information sur le recueil d'adresse mail pour inscription à une newsletter

Votre adresse de messagerie est uniquement utilisée pour vous envoyer notre lettre d'information ainsi que des informations concernant les activités de[Nom de l'entreprise de propreté].
Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans chaque newsletter pour exercer vos droits (lien vers formulaire de désabonnement) et consulter les données personnelles (lien vers la politique des données personnelles).

Information sur la procédure de désabonnement à une newsletter

Vous voulez vous désabonner des newsletters : [Procédure à expliquer] (par exemple en bas de chaque newsletter envoyée, se trouve une mention permettant de se désabonner en cliquant sur un lien).

Notez qu'il y aura un laps de temps entre la demande d'arrêt et l'activation : [Délai à définir] (pas plus de 30 jours).

En ce qui concerne la publicité ciblée sur les réseaux sociaux (par exemple Facebook, LinkedIn), vous pouvez vous opposer à tout moment à ce traitement en configurant les paramètres relatifs à la publicité de votre compte.

Utilisation d'un formulaire de contact

Si votre site internet dispose d'un formulaire de contact, de rappel, de devis, ...vous devez préciser à quelles fins et à qui sont destinées les données que vous collectez.

Modèle

Information sur l'utilisation des données transmises dans un formulaire de contact

Les données collectées sur ce formulaire sont destinées à [Nom de l'entreprise de propreté]. Elles sont utilisées pour traiter votre demande de [Contact et d'information] ou [Devis] ou [Rappel]. Elles sont également utilisées à des fins de prospections sauf si vous vous y êtes opposé en cochant la case ci-dessous. [Case à faire figurer]

Conformément au Règlement UE 2016/679 du 27 avril 2016 sur la protection des données à caractère personnel et la Loi « informatique et libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès, de rectification, d’effacement, de portabilité et de limitation et opposition du traitement des donnés vous concernant que vous pouvez exercer en envoyant un email à l’adresse suivante : [Adresse mail]

Pour plus d’informations sur le traitement de vos données personnelles par [Nom de l'entreprise de propreté], vous pouvez consulter notre Politique de Protection des Données. [Lien vers la politique de confidentialité]

POUR EN SAVOIR PLUS

Un autodiagnostic gratuit

La Confédération des PME (CPME) et la CNIL se sont associées pour mettre à disposition un site vous permettant d'évaluer votre entreprise face au RGPD. Ce site a pour vocation de vous sensibiliser et vous expliquer, par 14 questions simples basées sur des usages, quelles sont les obligations auxquelles vous êtes soumis, quels sont les comportements à proscrire et ceux à privilégier. Il vous permettra aussi de mesurer le chemin parcouru et celui restant à parcourir pour vous mettre dans une démarche de conformité.

Procéder à mon autodiagnostic RGPD