/ Conseils en réglementation et RGPD / Par
arriere plan banniere reglementation scaled

Un site internet conforme au RGPD

Pourquoi faut-il mettre son site internet en conformité avec le RGPD ?

Depuis le 25 mai 2018, un nouveau règlement sur la protection des données (RGPD) est entré en vigueur et concerne toutes les entreprises françaises et européennes.

Cette réforme renforce la transparence sur l’utilisation des données personnelles sur internet et accorde de nouveaux droits à ses utilisateurs.

Bien que toutes les entreprises (mais aussi toute personne physique gérant un site internet comme par exemple un blog lifestyle ou déco) soient concernées par la réforme, à ce jour très peu se sont mis en conformité.

La CNIL veille à sa mise en application et le risque de prendre une amende peut atteindre jusqu’à 4% de leur chiffre d’affaires ou 20 millions d’euros…D’où l’intérêt à avoir un site internet conforme au RGPD !

Dès lors qu’un site internet collecte, utilise ou stocke des données personnelles, il se doit d’être conforme à la nouvelle législation, qu’il se trouve dans l’union Européenne ou ailleurs, dès l’instant qu’il est en contact avec des informations venant de ressortissants de l’UE.

Dès l’entrée sur un site internet récoltant des données personnelles, même un simple adresse IP ou des statistiques dans le seul but d’améliorer l’expérience utilisateur, l’internaute doit pourvoir y trouver toutes les informations concernant le traitement de ces données.

Les données personnelles, c’est quoi exactement ?

Selon le droit français, une donnée personnelle est une information permettant d’identifier une personne physique : un nom, une adresse mail, un numéro de téléphone, un nom de société, une adresse physique, la localisation géographique…

Les informations numériques enregistrées à chaque fois qu’un internaute surfe sur internet bénéficient également d’une protection renforcée. Il s’agit notamment de l’adresse IP, les visites sur les sites internet et même les clics sur des liens. Les photos ou contenus partagés, par exemple sur les réseaux sociaux, sont également considérés comme données personnelles.

La détention de ces informations personnelles est désormais réglementée et par là même soumis à obligations. Leur stockage doit être traçable et sécurisé.

protection des données personnelles

Par ailleurs, la réglementation donne de nouveaux droits aux utilisateurs quant à leur accès, leur rectification, leur portabilité et leur effacement (le droit d’oubli).

Depuis l’entrée en vigueur du RGPD, vous n’avez ainsi plus le droit de stocker des données sans but précis. Toute donnée personnelle stockée doit l’être avec un objectif précis et pour une période définie et l’utilisateur doit en être explicitement informé.

Alors, comment faire pour avoir un site internet conforme au RGPD ?

obligations legales site internet

Pour commencer il faudra adapter ses mentions légales et faire une page pour indiquer sa politique de confidentialité.

Au niveau des mentions légales, il convient de rajouter un paragraphe informant vos visiteurs de l’utilisation de cookies et sur leur finalité, ainsi que la possibilité de s’opposer au profilage et la démarche à suivre si tel est leur souhait.

Pour rappel, les mentions légales de votre site doivent contenir les coordonnées de votre entreprise (ou les vôtres s’il s’agit d’un simple blog), celles de votre éditeur et celles de votre hébergeur, ainsi que le Siret et le numéro de TVA.

Important : il faudra obligatoirement informer vos visiteurs de l’utilisation et de la finalité de cookies dès la première connexion à votre site par l’intermédiaire d’une bannière ou popup sur laquelle il faudra insérer un lien vers votre page de politique de confidentialité, en plus de la possibilité de cliquer sur un message de consentement ou un message de refus.

Votre page de politique de confidentialité devra contenir les informations suivantes :

  • L’endroit où vous stockez les données personnelles que vous collectez et comment elles sont sécurisées.
  • Combien de temps vous les conservez sachant le délai est de maximum 3 ans pour des données marketing et de 6 ans pour les données liées à des facturations des commandes.
  • Les services au sein de l’entreprise qui ont accès aux fichiers des données personnelles (pas nécessaire pour un micro-entrepreneur ou une entreprise individuelle).
  • Une explication pour que l’utilisateur sache clairement à quoi correspond son consentement lorsqu’il remplit un formulaire et coche la case qui valide l’utilisation de ses données personnelles.
  • La démarche à suivre pour avoir accès à ses données personnelles.
  • La démarche à suivre pour modifier les abonnements aux communications (newsletter), le cas échéant.
  • La démarche à suivre pour demander la suppression de ses données personnelles (droit à l’oubli).
  • Les liste des réseaux sociaux présents sur votre site avec un lien vers leur politique de confidentialité.
  • La démarche à suivre pour désactiver les cookies.

Mise en conformité de vos formulaires de contact, de devis, d’inscription à une newsletter etc.

case à cocher pour le consentement formulaire de contact RGPG

L’article 6 du RGPD précise que « Le traitement n’est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. »

Il est donc indispensable de respecter les principes suivants :

  • L’internaute doit pouvoir autoriser de façon explicite qu’il consent au traitement de ces données personnelles.
  • On doit distinguer le consentement des conditions générales : le consentement ne peut pas être une condition préalable à l’inscription à un service.
  • Le consentement doit être obtenu par une action réelle : l’opt-in est obligatoire (et le double opt-in fortement conseillé) et demande donc à cocher soit -même une case. L’utilisation de la case pré-cochée (opt-out) n’est plus valide.
  • Il est interdit de demander des informations qui n’ont pas de rapport avec l’action proposé (âge, sexe…).
  • Les commentaires aux articles doivent également être en conformité avec le RGPD (connexion à un compte, acceptation de la politique de confidentialité…).
  • La rupture du consentement doit être facile et expliquée de façon claire.

Selon le RGPD, il doit être « aussi facile » de donner son consentement que de le retirer. De ce fait, le droit à l’oubli doit être mentionné à proximité immédiate du formulaire.

Petit conseil : pour ne pas faire fuir l’utilisateur qui ne souhaite pas donner son consentement au traitement de ses données personnelles et pour lui laisser la possibilité de vous contacter autrement, donnez lui un lien vers votre numéro de téléphone ou par exemple votre compte WhatsApp. Il aura ainsi une solution alternative pour établir un premier contact tout en ayant le choix de le faire de façon anonyme, et cela même si vous considérez que votre future relation avec votre utilisateur nécessite le recueil de ses coordonnées complètes.

Une fois la relation établie ce sera à vous de le rassurer et de lui expliquer pourquoi vous avez besoin de ces données et comment vous allez vous en servir dans votre future relation professionnelle avec lui.

Les autres points à vérifier

Voici donc pour l’essentiel mais il reste quelques points à vérifier et/ou à mettre en place pour que votre site réponde parfaitement aux exigences de la nouvelle loi européenne sur le traitement des données personnelles :

Vérifiez que toutes vos extensions se soient mises en conformité avec le RGPD, notamment celles recueillant les données statistiques que vous utilisez pour améliorer l’expérience de vos visiteur sur votre site et celles qui vous permettent de connaitre leur comportement.

Assurez vous que vos liens externes aillent vers des sites ou réseaux sociaux eux-mêmes conformes à la loi.

Vérifiez la vulnérabilité de votre site : mettez en place des boucliers efficaces pour éviter les failles de sécurité et assurez-vous que votre hébergeur en ait fait de même. De nombreuses extension sont disponibles pour éviter que votre site soit hacké par des personnes malveillantes. Par la même occasion, sécurisez votre propre ordinateur pour éviter que des personnes malveillantes aient accès à vos données sensibles et à celles de vos clients et prospects. Si vous détectez une faille, avertissez sans tarder la CNIL.

Mettez en place des liens vers votre politique de confidentialité au niveau de vos formulaires, de votre inscription à la newsletter, sur votre page expliquant l’utilisation de cookies, sur vos bannières et tous les endroits où des informations personnelles sont collectées.

sécurité site web

Créez une adresse mail dédiée à la demande de modification, de retrait ou de portabilité des données et traitez ces demandes dès leur réception.

Mettez en place un registre des données personnelles pour pouvoir justifier leur recueil et le consentement des personnes concernées en cas de contrôle par la CNIL. Il devra préciser quelles personnes ont accès à ces données et, le cas échéant, la liste des sous-traitants travaillant avec votre entreprise, ainsi que les mesures de sécurité mises en place. Veillez à ce que le registre soit toujours à jour.

Comme vous le voyez, ce n’est pas si simple d’être en conformité avec le RGPD, mais il est indispensable de s’en soucier dès maintenant. La CNIL, après une période de tolérance, vérifie régulièrement des sites choisis au hasard, et ceux qui lui sont signalés par des tiers.

Alors prêt à relever le défi d’avoir un site conforme au RGPD ?

Si l’exercice vous parait trop compliquée n’hésitez pas à me contacter pour bénéficier d’une prestation de mise en conformité de votre site vitrine ou votre blog.

Et pour consulter les règles spécifiques à votre site e-commerce lisez l’article qui lui est dédié. 

Publications similaires

Accessibility by WAH
Retour en haut