Le règlement RGPD (Règlement Général sur la Protection des Données) s’applique à toute entité qui collecte et traite des données personnelles de résidents européens, qu’il s’agisse d’un site web de petite taille ou de géants du web tels qu’Amazon ou Meta…
Par conséquent, il est fortement recommandé de ne pas faire l’impasse sur les enjeux RGPD rattachés au site web que vous souhaitez acquérir.
Sans oublier les risques bien réels de sanctions pécuniaires pouvant être prononcées par l’autorité de contrôle du règlement RGPD (CNIL).
Étudions ici (sans attendre…) l’utilité d’un audit RGPD et d’un audit de sécurité des données personnelles.
Puis les sanctions à connaître en cas de non-conformité RGPD…
La mise en conformité RGPD d’un business digital a un coût à évaluer lors du rachat.
C’est pourquoi, l’audit RGPD d’un site internet peut être intégré à l’étape d’audit global, préalable au rachat. Il peut être mené par le DPO interne (le délégué à la protection des données personnelles) sous forme d’auto-diagnostique du site ou par un prestataire spécialement mandaté en qualité de DPO externe.
Dans tous les cas, les points de contrôles devront mener à la mise en place d’un plan d’action préventif et correctif, de manière à se prémunir de tout risque de sanction au titre du règlement RGPD.
En premier lieu, il convient d’identifier le flux des données et les systèmes d’informations.
Le but est de répertorier l’emplacement des données personnelles et de déterminer leur mode de circulation.
C’est-à-dire, de recenser tous les outils, les bases de données et autres systèmes permettant de conserver et de gérer des données personnelles. Des dossiers physiques conservés en format papier au logiciel métier …
Sans oublier les collectes électroniques, à partir du point d’entrée, les bases de données payantes ou acquises au fil du temps, les cookies…
L’audit porte également sur la bonne mise à jour du Registre de traitement des données, obligatoire en vertu de l’article 30 du RGPD.
Ce support permet d’identifier les intervenants au niveau du traitement des données (représentant légal, sous-traitants, autres…). Il détermine les catégories de données traitées et leur finalité. Par exemple : à quoi vont servir ces données ? qui accède à ces données et à qui seront-elles transmises ?
Enfin, le Registre de traitement des données devra préciser la durée de conservation des données personnelles et par quelles procédures et moyens elles sont sécurisées.
En complément, conformément à l’article 6 du RGPD, l’analyse portera sur la licéité du traitement des données. Le but est ici de s’assurer que les données personnelles collectées ont bien fait l’objet d’un consentement préalable ou qu’elles sont justifiées par une obligation légale par exemple.
L’enjeu ici est de vérifier la collecte des preuves de consentement (article 7 du RGPD) et l’information préalable des personnes concernées quant à leur droit de suppression ou de récupération de leurs données personnelles.
Les notions de « qualité des données » et de « minimisation » de leur traitement sont des points à contrôler également. Cela signifie que la collecte des données doit être adéquate, limitée au strict nécessaire.
Dans certains cas, l’analyse d’impact dite « PIA » sera obligatoire en vertu de l’article 35 du RGPD et des lignes directrices G29 « Guidelines on Data Protection Impact Assessment ».
Il s’agit de mener une analyse très poussée lorsque le traitement des données peut entrainer un risque élevé pour les droits et les libertés des personnes concernées. Cette démarche est particulièrement lourde sur le plan organisationnel.
Sont concernés les traitements de type statistiques, données de santé, croisement de données, transfert des données hors UE, profilage etc…
Dans ce cas un audit complet s’avère indispensable.
L’audit de sécurité des données personnelles du business digital est le pendant de l’audit RGPD, sur le plan technique.
Plusieurs points de contrôle seront à analyser tels que :
Sont-ils suffisamment formés et sensibilisés à la sécurité informatique ainsi qu’aux risques de cybermenaces ? Une charte informatique est-elle en vigueur au sein de l’entreprise ?
En particulier, pour les sites web, il est nécessaire de veiller à l’utilisation de protocoles TLS, au contrôle des entrées, au consentement d’utilisation des cookies…
Toutes ces vérifications permettront d’établir un audit complet, permettant d’évaluer la conformité du site au règlement RGPD sur le plan règlementaire (l’audit RGPD) et technique (l’audit de sécurité des données personnelles).
Tout site web (ou business digital) situé en Europe qui collecte des données personnelles entre dans le champ d’application du règlement RGPD.
De même pour les sites web hébergés en dehors de l’Union Européenne, dès lors que des données personnelles de résidents européens sont collectées.
Du médecin généraliste à la plateforme de contenus, toute entité collectant des données personnelles peut faire l’objet de sanctions au titre de la RGPD.
En termes d'e-réputation, une sanction sur le fondement de la RGPD en procédure ordinaire peut être rendue publique. Cela peut entrainer une perte de confiance considérable auprès du public.
La CNIL rappelle qu’il existe deux procédures de mise en œuvre de sanctions, en cas de violation des dispositions du RGPD :
La gravité de la violation est analysée de manière discrétionnaire par l’autorité de contrôle (la CNIL) en fonction de plusieurs critères tels que la durée de la violation, le type de données personnelles traitées (simples ou sensibles…), l’absence ou non de mise en conformité à la suite d’avertissements, l’étendue du traitement concerné (le traitement des données personnelles est-il local, national ou international…). L’ampleur du préjudice des victimes est également pris en compte.
Ainsi, il est nécessaire d’être en mesure de repérer toute violation du RGPD afin de mettre en conformité un site web, à l’occasion de son rachat. Quelques exemples ci-dessous :
Quelles sanctions s’appliquent en matière de RGPD ?
Le site de la CNIL publie régulièrement ses décisions sur https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil. Cela permet d’avoir une idée des types de sanctions qui s’appliquent en pratique. Par exemple, parmi les sanctions récentes nous pouvons noter :
Dans ce cas d’espèce, Orange a inséré des publicités, affichées entre les courriels des utilisateurs sans leur consentement. Il s’agissait d’annonces publicitaires prenant la forme de courriels.
Quels sont les cas les plus connus en matière de sanctions RGPD ?
Meta (Facebook) a été sanctionné à hauteur de 1,2 milliard d’euros en mai 2023, par l’autorité de contrôle irlandaise. C’est une amende historique, en matière de sanctions du non-respect du RGPD. Le motif est que Meta a continué de transférer des données personnelles d’utilisateurs de l’Espace Économique Européen vers les Etats-Unis (donc en dehors de l’Europe) malgré les avertissements. Meta est un habitué des sanctions en matière de RGPD.
Parmi les plus grosses amendes dans le domaine des business digitaux, réseaux sociaux ou plateformes, nous pouvons citer en plus de Meta : Amazon, Tik Tok, WhatsApp…
La convention de croupier est un outil stratégique et peu connu. Prenez connaissance des atouts et des limites de la convention de croupier afin de partager les pertes et les bénéfices rattachés à vos droits sociaux, en toute discrétion
Découvrez la clause MAC, un outil contractuel essentiel dans les cessions et acquisitions. Protégez vos transactions face aux changements significatifs affectant l'entreprise cible
Suivez notre guide complet pour apprendre à sourcer, filtrer, analyser, négocier et reprendre un site e-commerce cette année.
Estimation du bon prix, préparation de votre dossier de vente, ciblage des acheteurs, négociation. Tous nos conseils pour vendre votre site e-commerce.
