Pour autant, il est assez facile de mettre en place les règles minimales et éviter un risque d’amende.
Dans la majorité des cas, la collecte de données par voie de questionnaire, de formulaire ou de sondage sur le web va engendrer l’application du RGPD en raison du fait que l’adresse IP de l’utilisateur sera utilisée (or celle-ci est une donnée personnelle au sens du RGPD).
Il existe donc certaines obligations qui sont importantes à mettre en œuvre pour assurer sa conformité (I). On verra ensuite quelques exemples pratiques (II).
I. - Les obligations principales à respecter
Il existe un certain nombre d’obligations importantes à respecter : ajouter le traitement au registre, minimiser les données collectées, afficher les mentions d’information RGPD.
Étape 1 : Ajouter l’activité de traitement au registre
Dès lors qu’une organisation met en place une activité qui opère le traitement de données personnelles (au sens du RGPD = toute donnée qui permet d’identifier des personnes, directement ou indirectement), l’organisation devra référencer cette activité dans un registre.
Attention, on ne référence pas les données traitées, mais l’activité elle-même (ex : réalisation d’enquêtes de satisfaction client). Et la raison pour cela est que cela permet ensuite de savoir où sont les données personnelles traitées par l’organisation et ensuite de vérifier leur conformité (ex : leur sécurité, les délais pendant lesquels les données sont traitées, etc).
On utilise typiquement un logiciel de gestion de la conformité RGPD pour cela - et pour l’exemple de Legiscope, le logiciel propose déjà une série d’activité types de collecte et traitement de données prérédigées et conformes au RGPD ; on peut donc simplement importer ce type de traitement dans le registre :
Une fois l’activité importée, elle sera ajoutée automatiquement au registre et la description de l’activité de traitement sera conforme aux prescriptions de l’article 30 pour la création du registre.
En effet, l’organisation doit indiquer en détail :
- a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
- b) les finalités du traitement;
- une description des catégories de personnes concernées et des catégories de données à caractère personnel;
- les catégories de destinataires ;
- les transferts de données à caractère personnel ;
- les délais prévus pour l’effacement des différentes catégories de données;
- une description générale des mesures de sécurité techniques et organisationnelles
Il est possible d’écrire cette documentation à la main, mais le travail est fastidieux pour chaque traitement et ici, la rédaction a été préeffectuée entièrement :
Une fois l’activité ajoutée dans le registre, il est nécessaire ensuite de minimiser les données collectées.
Étape 2 : Minimiser les données collectées
Le RGPD impose de collecter le minimum de données auprès des personnes concernées (art. 5 ):
adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)
Dès lors il est nécessaire de s’interroger sur les questions posées et s’assurer qu’elles sont adéquates au regard des objectifs du traitement.
Par exemple, pour une entreprise opérant un service de ménage à domicile :
- la qualité du ménage : note de 1 à 10
- la ponctualité de la personne : note de 1 à 10
- la politesse de la personne : note de 1 à 10
- le nom du client ou son identifiant
Ces données sont en effet objectivement nécessaires pour l’évaluation de la prestation. Notez que les données sont ici bien minimisées en ayant recourt à une note de 1 à 10 et en évitant soigneusement un champ libre qui ouvrirait la possibilité aux clients d’entrer toute sorte de données (appréciations sans rapport avec le travail effectué).
C’est un élément important d’implémentation.
Étape 3 : Afficher les mentions RGPD d’information
Les mentions d’information RGPD sont également importantes à afficher à l’utilisateur, car cela fait partie des obligations de transparence que les organisations ont lors de la collecte des données personnelles - la CNIL ayant des prescriptions très détaillées à ce titre.
Si l’on veut simplifier les choses, il faut informer clairement l’utilisateur de ce qui est fait de ses données, de la raison pour laquelle on les collecte et d’une série d’autres informations comme le temps pendant lequel les données seront conservées.
Les mentions légales peuvent être générées automatiquement au moyen d’un logiciel de gestion de la conformité RGPD ou rédigées manuellement voici un exemple détaillé de mentions légales RGPD.
Étape 4 : Faut-il recueillir le consentement ?
Il n’est pas forcément nécessaire de recueillir le consentement des personnes dont les données sont traitées si le questionnaire intervient dans le cadre d’un service fourni par l’organisation.
En effet ce qu’impose le RGPD est d’avoir une base légale. Le consentement est une base légale, mais elle n’est pas la seule !
L’article 6 du RGPD nous donne 6 bases légales qui autorisent la collecte de données personnelles :
- Le consentement des personnes
- Le contrat, ou des mesures précontractuelles
- Une obligation légale
- La sauvegarde des intérêts vitaux d’une personne
- Intérêt public / autorité publique
- Les intérêts légitimes du responsable de traitement
Il est à ce titre parfaitement envisageable pour l’évaluation d’un service, de reposer sur la base légale “contractuelle”. Ceci étant dit, au-delà d’un service fourni, le consentement sera la base légale la plus appropriée pour tout questionnaire général (voir ici comment recueillir un consentement valable au titre du RGPD)
II. - Exemple pratique
Pour clôturer le tout, voici un exemple pratique de questionnaire d’évaluation d’une prestation conforme au RGPD :