Site d’auteur et RGPD

Je pensais inaugurer ce blog avec un article plus fun que la mise en conformité d’un site en regard de la législation européenne, mais le sujet RGPD étant devenu THE sujet incontournable dans le World Wide Web, pourquoi refuser de surfer avec la vague ?

Quelle vague, me demanderez-vous ? Nous sommes le 05 mai 2018, soit 20 jours avant « Le Jour J ». Si vous avez jusqu’ici échappé au raz-de-marée qui s’empare des réseaux sociaux, sites et blogs au sujet de la mise en conformité RGPD, c’est que vous vivez dans une île déserte (et parfois, ce doit être  agréable).

Bon. Vu que le sujet ne me rend pas non plus lyrique, tâchons de le traiter bien (*), mais vite.

 


Okaiche. Le RGPD, déjà, c’est quoi ?

Le Règlement Général sur la Protection des Données, signé en 2016, sera applicable à compter du 25 mai prochain dans tous les États membres de l’Europe.

Il concerne la protection des données personnelles.

Par données, on entend bien évidemment les données dites sensibles (bancaires, santé, affiliations religieuses, etc.), mais aussi, de façon plus basique, notre identité (oui, même juste le prénom), notre historique de navigation, nos préférences de navigation, ou notre mail.

N’était-on pas protégés avant ?

Si, mes amis, mais ça, c’était avant.

En France, nous avions la (efficace mais vieillotte) loi Informatique et Liberté.

Maintenant, un Règlement européen va donc lui venir en renfort.


Pour une bonne nouvelle… c’est une bonne nouvelle ?

Oui. Le fait d’être mieux protégés (vie privée, confidentialité) est évidemment une bonne nouvelle.

Le champ d’application du RGPD concerne 3 aspects : la collecte, le stockage, et le traitement des données à caractère personnel.

Avec, à la clé, pour tout contrevenant (et même les simples réfractaires) des sanctions potentiellement lourdes.

 


Qui est concerné ?

En tant que « personnes physiques » protégées : tout le monde.

Concernant les acteurs de la collecte :

  • En tant qu’entreprises, ben… les entreprises ! Depuis l’autoentrepreneur jusqu’à la méga-entreprise.
  • Et la nouveauté, c’est que… les associations sont visées aussi (oui, les listes de vos membres, tout ça tout ça).

Au-delà, le règlement s’attachant à toute forme de traitement des données personnelles, quiconque collecte ce type de données (même juste un simple nom ou mail) – que ce soit par le biais d’un espace physique ou virtuel –  gagnera fort à se mettre, dans la mouvance, en conformité.

Tout webmaster ou gestionnaire de site (qu’importe que vous ayez « fait » votre site vous-même ou non, à partir du moment où vous collectez des contacts ou des données de navigation) sera donc, dès le 25 mai, concerné.

Un exemple ? Si vos fichiers se trouvent piratés et qu’un malware infecte les ordinateurs de tous les membres de votre espace privé (ou de votre liste d’abonnés par mail), vous êtes légalement responsable. Idem si d’autres données leur sont volées.


Oui euh mais moi je suis juste un.e auteur.trice avec une gentille newsletter et rien de plus…

je vends pas de service, même pas mes livres (pas sur mon site), même pas mes chaussettes trouées… rien du tout !

Cool. Que te dire ?

Perso, je ne suis pas juriste, j’ai assez de mal à me dépatouiller avec ne serait-ce que l’administratif (en bonne phobique de la paperasse), je n’irai pas te donner des cours approfondis sur la mise en conformité juridique de ton site et/ou blog !

Mais une partie de mon job étant d’accompagner les pro de la plume à gérer leur présence en ligne, le minima que je me dois de faire est de les sensibiliser (au moins) à ces sujets… et de leur conseiller de se renseigner auprès d’interlocuteurs professionnels (CNIL, avocats, conseillers juridiques, professionnels du Web, etc.)

Et de se mettre au goût du jour fissa.

Comme l’a fait, par exemple, Lionel Davoust (et il en parle – comme d’hab, très bien – de même qu’il parlait des dangers de Facebook). Il conseille, sur le sujet, la lecture de WP-Marmite (je ne saurai mieux faire).


site d'auteur et RGPD


Je suis auteure.trice. J’ai un blog (ou site ou les deux). Là, tout de suite, concrètement, qu’est-ce que je fais ?

(et oui, toi aussi, ô poète de l’insaisissabilité, avec tes 5 inscrits à ta newsletter derridaïque en pliure de papier virtuel !)

1. Respire. Zen. La CNIL ne va pas poster un sniper devant la fenêtre de ton site Web parce que tu n’es pas cent pour cent « en conformité RGPD » dès le 25 mai à minuit une.

2. Si tu vends des produits ou services (oui, même un atelier confidentiel de haïku) sur ton site ou blog, ou tes bouquins (auto-édition ou micro-édition par exemple), ou des œuvres d’art (oui, même une grenouille en papier mâché), et/ou si tu promeus tes services en tant qu’entrepreneur (auto ou pas), freelance, consultant ou que sais-je (avec ou sans e-commerce en ligne), je ne saurais trop te pousser au popotin pour te mettre, aussitôt que possible, en conformité. Le #RGPDproof, c’est THE truc à faire, et fissa (et idem si tu représentes une association – d’écrivains fans de King ou que sais-je).

3. Si tu es un simple particulier (auteur.trice édité.e par l’édition traditionnelle, ne faisant que présenter ses œuvres et causer de ses chats dans un blog), tu es évidemment moins « à risque ». N’empêche. Ce serait bien vite oublier que :

  • L’inscription (« abonnement ») de lecteurs.trices à ton blog (du type « recevez mes articles ») suppose une collecte de données personnelles.
  • L’inscription à ta newsletter, idem. Et les deux (abonnement aux articles / inscription à la newsletter) doivent maintenant être séparés – ne serait-ce que par une case à cocher différente – dans ta collecte.
  • Le fait de laisser un commentaire suppose (c’est fonction de tes paramétrages) de remplir un champ (souvent noté comme obligatoire) avec un prénom (avec ou sans nom) et un mail. Donc, des données personnelles, rebelote.
  • Le fait de te contacter par un formulaire passe aussi par le fait de te laisser nom (ou au moins prénom) et e-mail. Tu ne conserves rien ensuite ? Bien. Mais tant que tu ne le mentionnes pas, comment le savoir ?
  • Si tu as un espace membres ou forum dédié, ou autre… même topo : il y a des données.
  • Les biscuits divers (« cookies » en anglais) de ton site/blog sont gourmands en données, aussi (par exemple, ils « croquent » et recueillent : le type de navigateur utilisé par tes visiteurs.euses, les pages qu’ils.elles visitent, les liens sur lesquels ils.elles cliquent (dans le site ou hors-site), leur adresse IP, la date et l’heure de leur visite, leur durée de connexion sur le site, le lieu de connexion, le type d’appareil utilisé (téléphone, ordinateur, tablette), etc.
  • Tous les outils d’analyse (« tracking » en anglais) tels que Google Analytics, le sont également (et de façon précise).
Les données personnelles, nous en collectons tous, de façon volontaire ou pas.

Alors, pour se mettre à jour (****)… comment faire ?

 



A quoi s’attaquer ? Dans quel ordre ?

L’ordre, je n’en sais rien (pour les sources fiables, un clic sur la CNIL). Et note bien (en gros, en gras, en surligné) que tout ce que je vais te dire n’est qu’une base d’inspiration pour te lancer – pas un pas à pas règlementaire.


Le Dossier RGPD

Oui, tu as bien lu… le dossier !

Tu vas te créer un petit dossier jaune, bien en vue sur ton bureau (et sauvegardé aussi dans ton Cloud ou une clé USB à part), et tu le nommeras « Registre de conformité RGPD » (ou ce que tu voudras, hein, c’est ton dossier).

Dedans, tu mettras :

  1. Un fichier (Excel ou autre) listant chacune de tes collectes (la collecte par ton formulaire de contact / celle du sondage machin / celle de l’inscription dans ta zone membres / celle de l’inscription à ta newsletter / celle de l’abonnement aux articles / de l’affiliation bidule, etc.)

Dans ce fichier, pour chaque collecte, tu détailleras  :

  • qui s’occupe du traitement (responsable de traitement)
  • quels types de données sont concernés (types de données)
  • dans quel but précis (objet du traitement)
  • le temps de conservation de ces données (pour chaque type de collecte)
  • la date du début de chaque collecte (que ce soit pour une newsletter ou pour une campagne ponctuelle)
  • les mesures de sécurité que tu adoptes (et le cas échéant, celles que tu comptes développer)
  • etc.

Attention, tu ne mets pas les données dedans, hein ! Juste le détail du traitement pour chaque type de données. Si tu n’as qu’une newsletter, tu n’auras qu’une ligne, ou qu’une colonne… mais fais-toi quand même un fichier.

2. Ton fichier CNIL avec tes numéros et détails,  si tu as déjà fait ta déclaration. Si elle n’est pas faite encore, renseigne-toi directement auprès de la CNIL (les modalités de déclarations pouvant être amenées à changer au cours de l’année 2018).

3. Un fichier dans lequel  tu listeras (si tu en as) tes sous-traitants (par exemple un gestionnaire de mailing-list, une page de vente, un plug-in d’opt-in ou de contact ou de newsletter, un outil d’analyse statistiques, etc.)

Devant le nom de chaque sous-traitant, et ses coordonnées de contact, tu inscriras ce que tu lui confies, de façon précise, et ce que tu sais, à l’heure actuelle (tu pourras compléter plus tard) de ses propres mesures pour la protection des données.

Idem pour chaque affiliation, partenaire, etc.

Sans oublier ton interface (WordPress, par exemple – voir plus bas).

L’utilité de ce dossier ? D’une, tu ne peux tout avoir en tête, et deux, en cas de litige (ou de simple contrôle CNIL), il sera là. Enfin, troisième point : la CNIL (qui est l’autorité administrative en charge de l’application du RGPD) n’attend pas (surtout si tu es une toute petite structure, voire un simple particulier – ou une petite asso) que, d’un coup, tu mettes tout, parfaitement, en place. Ce qu’elle attend de toi, c’est de voir ta bonne volonté, ton sérieux dans la prise en charge de cette question, et tes progrès… avec ce dossier, tu pourras tout lister (même petit peu par petit peu) et garder, de chaque progrès, une trace. Donc, au fur et à mesure de tes démarches (même toutes petites démarches), fais-le.


Mentions légales

As-tu une page « Mentions légales » ?

Tu dois (je t’épargne ici mon imitation de Maître Yoda ^^).

C’est une obligation (et ça l’était bien avant la tornade du RGPD).

Leur fonction est notamment de mettre en avant la (ou les) personne(s) responsable(s) du site et de l’ensemble de son contenu et le ou les biais de contact (qui doivent apparaître clairement).

Si tu ne sais pas les rédiger (ou quoi mettre dedans), il existe des générateurs qu’on trouve en quelques clics sur la Toile.


Politique de confidentialité

Certains l’incluent dans les Mentions légales.

Personnellement, dès le moment où il y a un formulaire autre que le basique « abonnez-vous aux articles de ce blog » (et attention, les articles, c’est UNIQUEMENT les articles – pas la newsletter ou que sais-je… le RGPD est strict sur ce point, et je vais très vite y revenir), j’aurais tendance à dire d’inclure une page « Politique de confidentialité », pour que tout soit séparé et bien clair. Et de configurer un lien vers cette page à partir de tous les formulaires du site (et aussi des Mentions légales).

Note : Je ne l’ai pas fait encore. Je vais m’y atteler.

Si la rédaction d’une telle page ne t’inspire pas, tu peux, soit trouver un juriste ou un freelance spécialisé pour le faire (en particulier si tu vends des produits ou services de façon directe, depuis ta plateforme)… soit chercher, parmi les extensions WordPress (si ton site est sous WordPress) un plug-in dédié.

Note : Info à consulter plus bas… WordPress te proposera bientôt la génération cette page.

Si jamais ta plume se sent d’attaque, voici quelques éléments à préciser au fil de cette page (et là encore, je ne garantis pas une liste exhaustive ni même exacte – donc, vérifiez !) :

  • Une mention claire des façons dont vous récoltez les données sur le site (abonnements, formulaires, contact, commentaires, cookies, etc.)
  • Le type de données collectées (données de navigation, adresses mail, noms, date d’inscription à votre mailing list, etc.)
  • La façon dont vous stockez, utilisez, revendez ou non ces données
  • Les mesures de sécurité prises pour la confidentialité des données lors de la collecte et du stockage
  • La durée durant laquelle elles seront conservées par vous et vos sous-traitants éventuels (par exemple dans Mail Poet, Mail Chimp… ou votre BAL)
  • La mention transparente des tiers pouvant avoir accès, de façon directe ou indirecte, à vos données (gestionnaires de campagnes email, de statistiques (comme Analytics), annonceurs, partenaires, affiliations, etc.)
  • Le but clair et précis de la collecte et du traitement de chaque type de données (cookies pour améliorer la navigation / questionnaires pour réaliser des statistiques / opt-in pour l’envoi d’une newsletter / formulaire de contact pour répondre aux courriers, etc.)
  • Une aide pour rendre vos internautes maîtres des données qu’ils confient par le biais de votre site/blog : comment ils peuvent paramétrer les cookies, comment ils peuvent se désinscrire ou se désabonner, etc.
  • Un formulaire de contact pour vous joindre
  • Votre adresse mail

Pour bien rédiger cette page règlementaire il existe des canevas proposés gratuitement par différents sites sur le web (hop, on fait travailler le moteur de recherche !).


La page de contact

Incontournable.

Et un mail (a minima).



Sous-traitants, affiliés, partenaires

Sont-ils en règle avec le passage RGPD ?

De l’outil d’emailing à l’affiliation avec Machin ou Truc, c’est essentiel.


Bandeau spécial « Cookies »

Un paramétrage spécial « cookies » (avertissant vos visiteurs.euses et leur permettant de les paramétrer) est obligatoire, également.

La CNIL mentionne très clairement que chaque visiteur.se de tout site (je dis bien « tout site ») doit être averti.e de la présence de traceurs.

Le bandeau informera :

  • « des finalités précises des cookies utilisés ;
  • de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
  • du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal. »

« Dans la mesure où le consentement ne doit pas être ambigu, précise la CNIL, ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation. »

Votre visiteur ne doit pas seulement être INFORME qu’il est « pisté ». Il doit aussi pouvoir REFUSER les cookies et un bouton ou lien doit l’envoyer, s’il clique dessus, sur une page de paramétrage des traceurs.

 


Formulaires
  • L’opt-in à la papa, c’est fini (tu sais, le petit formulaire super vague où la case était cochée par défaut et où, d’une seule « entrée », tu acceptais tout et n’importe quoi).

Révolue, l’époque où tu disais oui à un cadeau gratos et où tu te retrouvais contacté.e pour une série d’offres commerciales n’ayant rien à voir (ou peu) avec le schmilblick… au pilon, ce marketing violeur de consentement, et tant mieux !

  • Maintenant, l’approbation doit être explicite (et éclairée par toutes les explications nécessaires).

Donc, théoriquement, le « Rentre ton mail pour juste mes articles et reçois ma newsletter en bonus, et en super cadeau gratuit, toutes les offres commerciales des partenaires vendant mes bouquins et en prime, les nouvelles du concours de skate-board de ma grand-mère », c’est caduc (et plus du tout du tout règlementaire).

  • Il faut donc revoir (et repenser entièrement) tes formulaires, inclure une coche par possibilité (en laissant le lecteur cocher ce qu’il souhaite), ajouter comment se désister, et glisser dans le texte du formulaire un petit lien vers ta page « politique de confidentialité ».

 

  • Certains pinailleront peut-être avec le consentement en « double opt-in », qui « couvrait » déjà le collecteur… mais le cœur du RGPD, ce n’est pas de t’inciter à « te couvrir » (en jouant sur les mots ou les étapes) :
C’est que ton « inscrit », « abonné », client ou autre, doit être à chaque étape parfaitement conscient et averti de ce qu’il fait (et de comment le défaire).

Et que tu dois le prendre par la main (et non le pousser d’une claque dans le dos) et lui expliquer, en toute transparence, chaque démarche.


Ressources utiles pour vos formulaires :

« Pour activer cette option, il faut :

→ aller dans Lists
→ cliquer sur le nom de ta liste
→ aller dans le menu Settings > List name and defaults
→ cocher « Enable GDPR fields »
→ « sauver » (en bas de page)
→ aller ensuite dans le menu Signup forms de la liste concernée
→ cliquer sur « Form Builder » (de là, tu dois voir que les mentions sont bien sur ton formulaire) »

Ajout perso : Je vous conseille, avant de paramétrer votre liste principale, de contacter déjà l’ensemble de vos membres pour leur demander un renouvellement (*****) de leur accord (c’est l’occasion de faire un tri, et un tri ne fait jamais de mal).


Quelques infos supplémentaires..

Les données personnelles que tu collectes dans un but commercial (et oui, je le répète : une inscription à un atelier en ligne ou l’achat de ta nouvelle format PDF à 99 centimes sont bien des interactions « commerciales ») se conservent 3 ans, au maximum, après le moment de la collecte ou du dernier contact actif (attention, une simple ouverture de mail est « passive »… ce n’est pas un « contact »).

Si tu as un utilisateur d’une zone membre, ce sera 13 mois maximum après sa dernière connexion.

Si tu as des inscrits pour une newsletter, renseigne-toi auprès de la CNIL. Ce que nous savons tous (enfin je crois) c’est que nul ne gagne à conserver ad æternam des personnes qui ne le (la) lisent pas – après quelques petits coucous en rappel, un petit ménage n’est pas nocif… au contraire.

[Edit : Maître Karine Mazand-Mboumba précise que la durée de conservation, concernant une newsletter, est tout simplement la finalité. Si j’ai des inscrits à ma newsletter « Le journal d’écriture d’un écrivain de science-fiction », et que 3 ans après, je n’écris plus que de la littérature sentimentale, le consentement de départ n’est plus en accord avec mes courriers.]

Les utilisateurs de WordPress (je parle du CMS open source) gagneront à lire l’article : « WordPress 4.9.6 et la conformité RGPD » : il rappelle quelles sont les données personnelles stockées (de façon native ou non) par WordPress, les nouveaux paramétrages et outils (comme l’ajout automatique d’une page « Privacy » dans le tableau de bord), ou la possibilité, sur demande d’un internaute, de lui envoyer ses informations personnelles dans un ZIP, etc. » – excellent article, très bien fait !

Pour les paramétrages de Google Analytics, il faudra penser à passer de 26 (ou plus !) à 14 mois pour l’expiration automatique des données d’utilisateurs. Et cocher « Activer » pour la réinitialisation à chaque session nouvelle (les 14 mois étant ainsi prolongés à chaque connexion).

Je n’ai pas vu ça dans les textes RGPD (ni dans les articles commentant ces textes) mais une page « Crédits » aussi, c’est bien. Pour citer, remercier, et aussi pour que des photographes ou illustrateurs dont les œuvres sont diffusées sans leur accord (oui, cela arrive) par des sociétés redistributrices d’images « libres de droits » sur le Net, puissent, en cas de besoin, nous contacter (je ne l’ai pas fait, mais je la prépare).


Extrait du RGPD

(Pour l’esprit, la forme, et le plaisir)

« Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. »

En gros, plus de zone grise.


Le « Plus »

« Nous ne sommes pas propriétaires des données d’autrui – nous en sommes les gardiens – les dépositaires. »

Maître Karine Mazand-Mboumba



Conclusion

J’ai bien envie de terminer ce petit billet (ce n’est qu’un billet de sensibilisation, je le rappelle, en rien une source d’info officielle – des erreurs ou inexactitudes ont pu se glisser au long de ces lignes) par une conclusion positive :

D’une, le ménage était nécessaire. J’ai longtemps (trop longtemps) bossé en marketing sortant, et j’ai trop vu d’abus de toutes sortes – le coup de balai me fait grand plaisir.

Deux, nous sommes tous (oui, nous tous, plumeux de toutes sortes) des consommateurs, des particuliers, des internautes. Savoir que nos données sont protégées (et notre libre-arbitre respecté), ça fait du bien.

Trois, j’ai tendance à penser que le RGPD est une opportunité de tout reprendre et tout réécrire (je ne parle pas de nos livres mais du comment et pourquoi de nos sites / blogs) sur de meilleures bases, claires, saines, respectueuses de nos visiteurs.euses et lecteurs.trices. D’instaurer avec eux.elles des relations plus transparentes, et basées, de ce fait, sur la confiance, et…c’est cool.

Personnellement, je sais que j’ai (et vous le constaterez à la date d’aujourd’hui si vous vous promenez sur mon site) encore beaucoup de pain sur la planche pour tout mettre en conformité pour « le grand jour » de l’application du RGPD. Ça me fait peur ? Non. Je vais faire les choses une à une, tranquillement, posément, et en notant tout dans un dossier. Et prendre chaque mesure, chaque acte, comme une avancée positive.

Après tout, en tant que consommatrice, en tant qu’internaute… et aussi en tant qu’ancienne professionnelle du télémarketing, n’ai-je pas appelé de tous mes voeux l’avènement du RGPD ?

 



 

Remerciements :

Ce billet a été écrit grâce à la générosité de divers intervenants et diverses sources. Si des erreurs se sont glissées entre ces lignes, ils n’en sont en rien responsables (et je plaide mon droit à l’imperfection et à l’erreur, et compte sur vous tous pour faire vos propres recherches auprès des bonnes sources, et, si vous en avez l’occasion, pour rectifier en commentaire ces diverses erreurs ou inexactitudes que vous noterez).

Je remercie particulièrement :

 



(*) Note : Quand je dis « bien », je devrais dire : « aussi bien que » ma phobie légendaire face à toute démarche administrativo-juridico-financiéro-pratique (car oui, je l’avoue, je me trémousse comme une otarie aveugle sur l’iceberg de la « vie réelle ») me le permettra.

(**) Révélation : Lionel Davoust n’est pas qu’un auteur : c’est un mage aqua-reptilo-cybernétique, filleul de Cousteau, neveu de Steve Jobs, et petit-neveu de Lovecraft…

(***) A l’heure où j’écris cet article, je suis éditée en « traditionnel », travaille en portage salarial et ne vends rien par le biais de mon site (pas de système de paiement, pas de réservation en ligne)… ça évoluera peut-être mais à chaque jour suffit sa mise en conformité : si des changements se font, le site et son aspect légal devront -les deux ensemble – évoluer.

(****) Personnellement, je ne le suis pas encore : cet article sera ma to-do list !

(*****) Les données personnelles de tous vos contacts qui n’ont pas donné leur accord dans le respect de toutes les normes RGPD (il n’est pas trop tard, un petit mail suffit à votre base actuelle pour l’obtenir) devraient (théoriquement) être détruits après le 25 mai.

(******) Sur l’illustration, c’est pas Zuckerberg, hein… c’est Lovecraft 🙂

Laisser un commentaire