Bonnes pratiques Opquast et RGPD

Par Élie Sloïm, le 25 mai 2018, dans Conformité.

Le RGPD entre en vigueur aujourd’hui. La dernière version des bonnes pratiques Opquast, rédigée et validée en 2015 ne prend évidemment pas en compte les exigences de ce texte: en effet, Opquast s’applique aux sites Web et applications tandis que le RGPD s’applique à toutes les activités des entreprises.

Il y a quand même un certain nombre de bonnes pratiques qui entrent dans le cadre des exigences du règlement européen, ou tout au moins qui vont vous conduire à aller dans le bon sens. Je vais simplement vous les lister ici :

  • BP31. Les données contenues dans le Whois du site permettent de le relier directement à son propriétaire.
  • BP 37. Si le site propose un espace personnel ou abonné, il est possible de sauvegarder les contenus personnels dans un format standard
  • BP39. L’achat d’un produit ou service est possible sans création de compte.
  • BP71. Le site propose au moins un moyen de contacter le modérateur des espaces publics.
  • BP87. L’étiquette de chaque champ de formulaire indique si la saisie est obligatoire.
  • BP129. Si le site déclare respecter un ou plusieurs standards ou référentiels, un lien est proposé vers chacun d’entre eux.
  • BP169. Un lien de désinscription est présent dans chaque newsletter.
  • BP170. La désinscription depuis une newsletter ne demande pas de confirmation par courriel.
  • BP171. L’inscription aux newsletters est soumise à un processus de confirmation.
  • BP172. La désinscription aux newsletters est possible depuis le site.
  • BP175. La fréquence d’envoi des newsletters est consultable avant l’abonnement.
  • BP185. L’identité des prestataires impliqués dans les transactions est précisée.
  • BP 186. La politique de confidentialité et de respect de la vie privée est accessible depuis toutes les pages.
  • BP 198. La procédure d’accès et de rectification des données personnelles est décrite.
  • BP199. La création d’un compte est soumise à un processus de confirmation.
  • BP197. L’objectif des cookies et les limitations inhérentes à leur refus sont expliqués.
  • BP200. La création de compte est possible sans recours à un système d’identification tiers.
  • BP201. Les comptes ou abonnements ouverts en ligne peuvent être fermés par le même moyen.

Nous allons également ajouter trois recommandations :

  • Recommandation 17. La date de mise à jour des contenus contractuels est indiquée.
  • Recommandation 58. La commande ou la création de compte ne provoque pas d’inscription automatique à une newsletter.
  • Recommandation 61. Toute collecte d’information personnelle fait l’objet d’une explication ou d’une justification

La BP31 – première de la liste ci-dessus : Les données contenues dans le Whois du site permettent de le relier directement à son propriétaire – devient bien moins applicable, mais toujours intéressante à vérifier (y a-t-il des données personnelles dans le Whois ?)

Alors, voilà, comme nous sommes des gens très sympathiques, nous vous proposons un lien que vous pouvez faire circuler avec cette petite liste :

Bonnes pratiques Opquast sur les données personnelles

Opquast best practices about personal data in english

Cette liste n’est pas suffisante pour être conforme au Règlement Européen sur les Données Personnelles, mais respectez-la et vous verrez, vous serez mieux, mais alors beaucoup mieux.

Petites remarques : vous avez encore une fois une preuve que les bonnes pratiques Opquast sont valables et durables. N’attendez pas qu’elles entrent dans la loi pour les appliquer (et pour vous former et passer la certification :p )