Règles de RGPD et RGAA

LE RGPD

Réglementation Générale sur la Protection des Données

1. Introduction au RGPD

Qu’est-ce que le RGPD ?

Le RGPD (Règlement UE 2016/679), entré en vigueur le 25 mai 2018, est le cadre juridique européen régissant la protection des données personnelles.
Il vise à :

• Protéger les droits fondamentaux des personnes en matière de traitement de leurs données.

• Harmoniser les règles au sein de l’Union européenne.

• Responsabiliser les acteurs publics et privés qui traitent ces données.
  
  

À qui s’applique-t-il ?

• Toutes les organisations (entreprises, associations, administrations) traitant des données de citoyens européens, qu’elles soient situées dans l’UE ou non.

• Il concerne tous les traitements : collecte, stockage, utilisation, diffusion, suppression.
  
  

2. Concepts clés

Donnée personnelle

Toute information permettant d’identifier directement ou indirectement une personne :

• Identité : nom, prénom, adresse.

• Données techniques : adresse IP, identifiants.

• Données sensibles : santé, opinions politiques, biométrie.
  
  

Traitement

Toute opération réalisée sur des données : collecte, stockage, modification, suppression, transfert.

Responsable du traitement

L’organisation qui détermine la finalité et les moyens du traitement.

Sous-traitant

Celui qui traite les données pour le compte du responsable (ex. prestataire informatique).

3. Principes fondamentaux du RGPD

1. Licéité, loyauté, transparence – informer les personnes concernées.

2. Limitation des finalités – traiter les données uniquement pour un objectif précis.

3. Minimisation des données – collecter uniquement ce qui est nécessaire.

4. Exactitude – maintenir les données à jour.

5. Limitation de conservation – conserver les données uniquement le temps nécessaire.

6. Intégrité et confidentialité – assurer la sécurité des données.

7. Responsabilisation (accountability) – prouver le respect du RGPD.
   
   

4. Les droits des personnes

Le RGPD renforce les droits des citoyens :

• Droit d’accès (article 15) : savoir quelles données sont traitées.

• Droit de rectification (article 16).

• Droit à l’effacement ("droit à l’oubli") (article 17).

• Droit à la portabilité (article 20).

• Droit d’opposition (article 21).

• Droit à la limitation du traitement (article 18).

• Droit d’être informé sur l’usage de ses données.
  
  

5. Obligations des organisations

Tenue d’un registre des traitements

Obligatoire pour les entreprises de plus de 250 salariés ou celles traitant des données sensibles.

Désignation d’un DPO (Délégué à la Protection des Données)

Obligatoire pour :

• Les autorités publiques.

• Les entreprises effectuant un suivi systématique à grande échelle.

• Les entreprises traitant des données sensibles à grande échelle.
  
  

Notification des violations

Obligation d’informer la CNIL (et les personnes concernées dans certains cas) sous 72 heures après découverte d’une violation de données.

Analyse d'impact (DPIA)

Obligatoire pour certains traitements présentant un risque élevé (vidéosurveillance, données de santé, etc.).

6. Sanctions prévues

Les amendes peuvent atteindre :

• Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu).

• Mesures complémentaires : avertissement, suspension des traitements, injonctions.
  
  

7. Rôle de la CNIL

En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) :

• Contrôle le respect du RGPD.

• Peut sanctionner les manquements.

• Accompagne les organisations dans leur mise en conformité.
  
  

8. Mise en conformité : étapes clés

1. Cartographier les traitements (identifier les données collectées, leur finalité, leur durée de conservation).

2. Mettre à jour les politiques de confidentialité.

3. Réviser les contrats avec les sous-traitants.

4. Former et sensibiliser les équipes.

5. Mettre en place des procédures (gestion des violations, demandes d’exercice de droits).

6. Assurer la sécurité des données (chiffrement, anonymisation, contrôle d’accès).
   
   

9. Exemples pratiques

1. Gestion de bases de données clients (CRM, newsletters)

• Cas : Tu enrichis un CRM avec des leads collectés via formulaires et événements.

• Obligations :

  • Vérifier que chaque contact a donné son consentement (formulaire avec case non pré-cochée, double opt-in recommandé).

  • Documenter la source de chaque lead (formulaire, salon, partenariat).

  • Mettre en place une politique de conservation (ex. supprimer les leads inactifs depuis 3 ans).

  • Offrir un moyen simple de se désinscrire (lien dans les emails).

2. Campagnes d’emailing

• Cas : Tu prépares une campagne pour relancer des prospects.

• Obligations :

  • Segmentation basée sur des données pertinentes (pas d’utilisation abusive, ex. pas de ciblage santé sans consentement explicite).

  • Vérifier la licéité du traitement (prospection B2B possible sous intérêt légitime, B2C nécessite souvent le consentement).

  • Respecter le droit d’opposition (désinscriptions gérées rapidement).

3. Tracking & cookies (Google Analytics, Facebook Pixel, etc.)

• Cas : Tu utilises des outils pour analyser les performances du site et suivre les conversions.

• Obligations :

  • Bannière de cookies conforme (bouton “Tout refuser” aussi visible que “Tout accepter”).

  • Consentement explicite avant dépôt de cookies non essentiels (Analytics, pub).

  • Mise à jour régulière de la politique de cookies.

4. Publicité ciblée (Facebook Ads, Google Ads)

• Cas : Tu crées des audiences personnalisées (lookalike, retargeting).

• Obligations :

  • Informer clairement les utilisateurs du transfert de leurs données aux plateformes publicitaires.

  • Signer les clauses contractuelles proposées par les régies (Meta, Google).

  • Supprimer les audiences lorsqu’elles ne sont plus pertinentes.

5. Partage de données avec prestataires

• Cas : Tu envoies une base de clients à une agence pour une campagne.

• Obligations :

  • Contrat de sous-traitance RGPD avec l’agence.

  • Ne partager que les données nécessaires (principe de minimisation).

  • S’assurer que le prestataire respecte la même sécurité et confidentialité.
    
    

6. Organisation de jeux-concours

• Cas : Tu organises un concours en ligne pour générer des leads.

• Obligations :

  • Informer les participants sur l’utilisation de leurs données (règlement clair).

  • Limiter la durée de conservation des données (ex. supprimer après attribution des lots si non réutilisées).

  • Ne pas utiliser les emails pour d’autres fins sans consentement.

7. Export & transfert de données hors UE

• Cas : Tu utilises un outil de marketing automation basé aux États-Unis.

• Obligations :

  • Vérifier les garanties (clauses contractuelles types).

  • Informer les utilisateurs que leurs données sont stockées hors UE.

8. Réponse aux demandes RGPD

• Cas : Un contact demande à connaître toutes les infos que vous avez sur lui.

• Obligations :

  • Répondre sous 1 mois.

  • Fournir une copie des données en format lisible.

  • Supprimer les données si la personne en fait la demande (sauf obligation légale de conservation).

Bonnes pratiques pour un assistant web marketing

• Tenir un registre simple de tous les traitements (campagnes, CRM, cookies).

• Demander conseil au DPO avant tout projet impliquant de nouvelles données.

• Documenter les consentements (screens, logs).

• Former les équipes à la gestion des droits (désinscriptions, accès, suppression).

Voir le site de l'état : https://www.economie.gouv.fr/entreprises/assurer-sa-cybersecurite-et-la-protection-de-ses-donnees/le-reglement-general-sur-la#:~:text=conformer%20au%20RGPD-,Le%20RGPD%2C%20qu'est%2Dce%20que%20c'est,application%20le%2025%20mai%202018.

LE RGAA

Référentiel Général d'Amélioration de l'Accessibilité

1. Qu’est-ce que le RGAA ?

Le RGAA est un référentiel officiel français qui vise à rendre les contenus numériques (sites web, applications, documents en ligne) accessibles aux personnes en situation de handicap.

Il traduit en pratique les exigences des standards internationaux WCAG (Web Content Accessibility Guidelines) et répond aux obligations légales issues de la loi française sur le handicap (loi n°2005-102).

En résumé, il s’agit d’un guide méthodologique pour :

• Améliorer l’accessibilité des sites web publics et privés.

• Permettre l’utilisation par les personnes ayant différents types de handicaps (visuel, auditif, moteur, cognitif, etc.).
  
  

2. Les grands principes du RGAA

Le RGAA repose sur les 4 grands principes des WCAG :

1. Perceptible – Le contenu doit être présenté de manière à être perçu par tous (ex. alternatives textuelles pour les images).

2. Utilisable – Les fonctionnalités doivent être utilisables facilement, notamment via le clavier ou des aides techniques.

3. Compréhensible – Le contenu et l’interface doivent être simples et cohérents.

4. Robuste – Les contenus doivent être compatibles avec les technologies d’assistance (lecteurs d’écran, logiciels de grossissement, etc.).

3. Structure et organisation du RGAA

Le RGAA se compose de thématiques, chacune déclinée en critères et tests :

• Images (ex. fournir des textes alternatifs)

• Couleurs (contraste suffisant entre texte et arrière-plan)

• Multimédia (sous-titres, audiodescriptions)

• Liens et navigation (liens explicites, menus accessibles au clavier)

• Formulaires (libellés clairs, messages d’erreurs accessibles)

• Scripts et composants dynamiques (compatibles avec les aides techniques)

Chaque critère est associé à des tests unitaires (oui/non/non applicable) permettant d’évaluer la conformité.

4. Qui est concerné ?

• Les services publics : tous les sites et services en ligne de l’État, des collectivités et des établissements publics.

• Les entreprises privées : celles qui dépassent un certain seuil (CA ou effectifs), et depuis 2020, toutes les entreprises doivent fournir une déclaration d’accessibilité.

• À partir du 28 juin 2025, les entreprises qui proposent des services bancaires, de téléphonie, de e-commerce, de média audiovisuel et de transport devront se conformer à des exigences renforcées en matière d’accessibilité numérique.
  
  

5. Comment mettre en œuvre le RGAA ?

1. Audit d’accessibilité : Évaluer le site/app selon les critères RGAA.

2. Plan d’action : Identifier et prioriser les correctifs.

3. Mise en conformité : Appliquer les recommandations (techniques + rédactionnelles).

4. Publication : Rédiger et publier la déclaration d’accessibilité (obligatoire).

5. Suivi : Mettre à jour régulièrement l’audit et corriger les nouvelles non-conformités.

6. Ressources utiles

• Texte officiel : RGAA 4.1 sur le site du gouvernement

• Outils de test :

  • Color Contrast Analyzer

  • Wave

  • Asqatasun (audit RGAA open-source)

7. Exemples pratiques

1. Images & visuels (campagnes, blog, réseaux sociaux)

Problème classique

On publie un article ou une landing page avec des visuels attirants, mais aucune alternative textuelle n’est renseignée → une personne non-voyante avec un lecteur d’écran ne comprend pas le contenu de l’image.

Comment faire ?

• Toujours remplir l’attribut/balise ALT des images (logo, visuels produits, bannières).

• Exemple :
  
  

  • Mauvais : alt="" ou alt="image1".

  • Bon : alt="Visuel promotionnel - Offre spéciale : -20% sur les abonnements annuels".
    
    

Bon réflexe marketing :

Tu peux réutiliser les textes de campagne (slogan, accroche) comme alt-text → tu optimises l’accessibilité + le SEO.

2. Contraste des couleurs (emails & landing pages)

Problème classique

Une promo en gros caractères "Économisez 50%" en texte jaune sur fond blanc : illisible pour les daltoniens ou personnes avec une vision faible.

Comment faire ?

• Vérifier le contraste (outil gratuit : Contrast Checker).

• Respecter les ratios : 4,5:1 minimum pour le texte normal.
  
  

Exemple :

• Mauvais : #F5F5F5 (fond) + #FFFF00 (texte jaune).

• Bon : #000000 (texte noir) + #FFD700 (fond jaune).
  
  

3. Formulaires (inscription à une newsletter, lead gen)

Problème classique

Un champ "Nom" n’a pas de label, ou le message d’erreur ("Champ obligatoire") s’affiche en rouge uniquement → inaccessible pour les lecteurs d’écran et les daltoniens.

Comment faire ?

• Toujours associer un label clair à chaque champ.

• Message d’erreur textuel, pas seulement un code couleur.
  
  

Exemple :

html
CopierModifier
<label for="email">Votre adresse email</label>

<input type="email" id="email" name="email">

<span class="error">Veuillez entrer une adresse valide</span>

4. Vidéos (tutoriels, pubs, réseaux sociaux)

Problème classique

Une vidéo promo publiée sans sous-titres → inaccessible aux personnes sourdes ou malentendantes.

Comment faire ?

• Toujours ajouter des sous-titres (Youtube les génère automatiquement, mais à relire !).
  
  

• Pour des vidéos importantes → prévoir une transcription textuelle ou audiodescription si besoin.
  
  

5. Liens & call-to-action

Problème classique

Bouton "Cliquez ici" ou "En savoir plus" → les personnes utilisant un lecteur d’écran ne savent pas où elles vont atterrir.

Comment faire ?

• Rendre le lien explicite :

  • Mauvais : En savoir plus.

  • Bon : En savoir plus sur notre offre d’abonnement annuel.
    
    

6. Publications réseaux sociaux

• Décrire les images/vidéos avec des textes alternatifs (Twitter, LinkedIn, Instagram proposent un champ ALT).

• Éviter les hashtags illisibles : préférer #AccessibilitéNumérique plutôt que #accessibilitenumerique (usage du CamelCase).
  
  

En résumé –Réflexes “accessibilité marketing”

1. Toujours remplir les ALT (images produits, visuels pubs).

2. Vérifier le contraste des couleurs des campagnes.

3. Rédiger des labels clairs pour les formulaires + messages d’erreur compréhensibles.

4. Sous-titrer les vidéos et fournir une transcription si possible.

5. Utiliser des liens et CTA explicites.

6. Adapter les posts réseaux sociaux (ALT, CamelCase, lisibilité).

Voir le site de l'état : https://accessibilite.numerique.gouv.fr/