RGPD : Comment rendre son site Internet conforme ?

Le RGPD (Règlement Général pour la Protection des Données / GDPR en anglais) est entré en vigueur pour toutes les entreprises françaises et européennes depuis le 25 mai 2018. Depuis, de nombreux changements juridiques ont eu lieu dans le but de protéger les données des utilisateurs. 

Difficile d’y comprendre quelque chose avec ces changements ? Offensive vous explique les actions à mener pour rendre votre site internet conforme au règlement en vigueur.

Le RGPD, Quésaco ? 

Le RGPD a pour but d’encadrer et protéger le traitement des données utilisateurs en Europe. Ces données sont  les informations permettant d’identifier une personne physique telles que le nom, l’adresse électronique, l’adresse IP, le numéro de sécurité sociale, les données de connexion, de localisation, etc… et renforce donc la loi Informatique et Libertés de 1978. Si vous ne le saviez pas déjà, vos données font l’objet d’un véritable commerce entre les entreprises. A votre dépend ou non, ce sont elles qui régissent énormément les services de Google, Facebook, Uber ou encore d’Amazon, pour ne citer qu’eux. La CNIL est là pour faire le ménage et éviter la pratique frauduleuse sur vos données.

 

Qui est concerné par le RGPD ?

Il s’applique à toutes les organisations utilisant le traitement de données personnelles : celles qui sont établies au sein de l’UE, mais aussi celles qui sont hors de l’UE et mettent en œuvre des traitements pour fournir des biens ou des services aux résidents européens. Les entreprises, organismes publics, associations, et dorénavant leurs sous-traitants sont aussi concernés, sans oublier que toute collecte de données entrant dans un cadre professionnel est soumise à l’application du RGPD.

Sachez que chacune de ces organisations a des obligations différentes en fonction de la sensibilité des données traitées, de leur volumétrie, et des impacts de ces données sur leur business.

Ayez en tête que les internautes doivent avoir l’entière maîtrise de leurs données personnelles grâce au droit à la portabilité : ils peuvent recevoir et consulter à tout moment les données que vous avez pu collecter les concernant, sous un format informatique exploitable.

 

Être en conformité avec la RGPD

Le RGPD est une véritable opportunité pour gagner en transparence et ainsi obtenir la confiance de vos clients, partenaires et salariés. Bien évidemment votre site internet se doit également d’être en adéquation avec le règlement, sous peine de sanctions administratives et financières allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total.la CNIL a favorisé jusque-là l’accompagnement des entreprises dans cette transition. Aujourd’hui, elle est devenue intransigeante. En 2020, d’après Netwrix, seules 23% des entreprises étaient conformes à la RGPD. L’Europe est à la traîne, et la CNIL le fait comprendre en appliquant les premières sanctions. 

Si on en croit le rapport de Netwrix :« 44% des entreprises françaises interrogées ne classent pas les données au moment de la création. Étant donné qu’une exigence fondamentale du RGPD est de collecter uniquement les données critiques de l’entreprise auprès des citoyens de l’UE, de nombreuses organisations françaises courent un risque élevé d’amendes élevées pour non-conformité »

Vous n’êtes pas encore en conformité ?

Contactez-nous

1/ La politique de confidentialité (protection des données personnelles)

Dans l’architecture de votre site, il est important de bien distinguer les mentions légales et la politique de confidentialité (ou la politique de protection des données personnelles).

Les mentions légales rassurent les internautes sur votre identité. Elles vous permettent d’agir en toute transparence en leur exposant clairement toutes les informations relatives à l’éditeur du site : les coordonnées, le numéro d’identification au Registre du Commerce et des Sociétés (RCS), le numéro de TVA intracommunautaire, le capital social, le nom du Directeur de la publication et du Responsable de la rédaction, les coordonnées de l’hébergeur du site, et le numéro de déclaration à la CNIL.

Dans le cadre du RGPD, vous devez mettre en place une politique de confidentialité clairement distincte des mentions légales ou des CGV/CGU, qui sera accessible dans le pied de chacune des pages de votre site internet. Vos visiteurs pourront y retrouver l’ensemble des informations concernant le traitement de données :

  • Les finalités du traitement : l’objectif de ces collectes de données
  • L’identité du responsable de traitement : qui collecte ces données
  • Leur durée de conservation : le droit à l’oubli est obligatoire
  • Le rappel des droits des utilisateurs : interrogation, accès, opposition, modification et suppression des données
  • Les personnes susceptibles de prendre connaissance de ces données (en plus du responsable de traitement)
  • Les mesures de sécurité que vous avez mises en place
  • L’identité du DPO (Data Protection Officer) s’il existe

Par exemple, vos visiteurs pourront y trouver par quel moyen accéder à leurs données personnelles (mail, téléphone, courrier…) dans le cadre de leur droit à la portabilité, ou encore se renseigner sur le type de données collectées, sur l’utilisation qui en est faite, etc.

Vous pouvez par exemple consulter, le pied de page (footer) de notre site internet où l’onglet “Données personnelles” (équivalent de politique de confidentialité) est désormais disponible.

2/ Un consentement éclairé

Les collectes de données

Lors de chacune de vos collectes de données, par exemple dans le cas de formulaires, l’utilisateur doit connaître toutes les informations nécessaires concernant le traitement de ses données avant qu’il ne clique sur “envoyer”. Le RGPD spécifie dans l’article 13 que ces mentions doivent impérativement être fournies “au moment où les données sont obtenues”. Vous devez alors: 

  • Ajoutez une case à cocher ou un bouton confirmant que l’utilisateur consent à partager ses données (il doit pouvoir l’accepter ou le refuser).
  • Expliquez la raison de cette collecte de données (“pour recevoir notre newsletter” par exemple)
  • Ajouter une case à cocher de type “J’ai lu et accepte la politique de confidentialité de ce site”. Attention, ne pré-cochez pas cette case ou vous serez dans l’illégalité. En effet l’action de cocher cette case vaut pour consentement. Ce consentement à la collecte et au traitement de données n’a pas de limite de validité.

Retenez également que chacune de vos collectes doit avoir une finalité, un but précis, comme tout simplement répondre aux internautes souhaitant vous contacter. Les champs de saisie à remplir doivent donc être pertinents et adaptés : vous ne pouvez collecter que les informations strictement nécessaires : c’est le principe de minimisation.

Si vous utilisez un site WordPress, pensez à vérifier si tous vos plugins relatifs à la collecte du consentement et des données des utilisateurs (formulaires, commentaires, retargeting) et à l’utilisation de vos données utilisateurs (personnalisation de contenus, suivi du comportement des visiteurs, de newsletters, de marketing automatisé…) sont bien conformes au RGPD.

 

Les cookies (ensemble des traceurs déposés et/ou lus)

Le RGPD vient renforcer le “Paquet Télécom” (ensemble de réformes européennes datant de 2008 et 2009) concernant les cookies et traceurs. Lorsqu’un internaute se rend sur votre site internet, le “bandeau cookies” doit impérativement spécifier à l’utilisateur : 

  • Que des cookies vont être déposés sur son terminal
  • Les finalités précises de ces cookies, sans aucune ambiguïté
  • Le fait que la poursuite de la navigation autorise le dépôt de cookies

L’internaute doit pouvoir s’y opposer et modifier les paramètres grâce à un lien directement présent dans le bandeau. N’oubliez pas qu’un simple clic sur ce lien ne vaut pas pour consentement. 

Ce bandeau cookies ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation (visite d’une autre page du site, clic sur un élément…).

À noter que certains cookies utilisant les fonctionnalités d’autres sites peuvent être perçus comme intrusifs, comme Google Adsense, Analytics, Adwords, Facebook et Twitter

Depuis le 1er Avril 2021, de nouvelles mesures ont été mises en place pour réguler l’utilisation des cookies. Désormais, chaque internaute a la possibilité de signaler son consentement clairement sur l’activation des traceurs dans le fameux “bandeau cookie” lorsque l’on entre sur un site. Ils permettent aux sites d’enregistrer notamment l’activité de leur audience. Cette mesure favorise le contrôle total de l’internaute sur l’usage de ses données. Reste à voir combien de temps les sites mettront pour se mettre à jour. 

Voici à quoi cela doit ressembler avec un focus sur le bandeau cookie de Cultura : 

bandeau cookie Cultura 1

 

Bandeau Cookie Cultura 2

 

Pour rappel, le consentement aux cookies a une durée maximale de 13 mois. Il est donc important de mettre en place une suppression automatique des données au-delà de ce délai.

Tout responsable de traitement devra être en mesure d’apporter une preuve du consentement de l’internaute. Aussi, l’article 7 du RGPD impose qu’un consentement donné doit pouvoir être retiré tout aussi simplement, c’est-à-dire en un seul clic : le visiteur peut revenir sur sa décision à tout moment.

Certains cookies et traceurs sont tout de même dispensés de consentement : ceux qui sont strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur (cookies de panier d’achat, identifiants de session, authentification, ou encore certaines solutions d’analyse de mesure d’audience) mais peu d’outils permettent aujourd’hui de respecter toutes les conditions nécessaires à cette exemption. Vous pouvez consulter la liste ici.

 

3/ La sécurisation des données

Lors de la création d’un site, le RGPD rappelle que vous devez impérativement assurer la protection globale de votre site internet, et vous recommande de tout mettre en œuvre pour sécuriser les données de vos utilisateurs. Cela passe aussi par un audit de sécurité complet. Dans le cas du piratage de votre base de données, vous avez désormais l’obligation de le notifier à la CNIL (Commission Nationale de l’Informatique et des Libertés) en moins de 72 heures. Celle-ci pourra obliger les responsables de votre entreprise à communiquer le piratage à chaque utilisateur victime si cela engendre un risque élevé pour ses droits et libertés.

L’ensemble des internautes dispose d’un droit à la réparation des dommages matériels ou moraux. Selon la CNIL : “toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi”.

 

4/ Un dossier documentaire

Une fois en conformité avec le RGPD, vous devez créer un dossier documentaire démontrant que le traitement des données personnelles que vous opérez respecte le règlement européen. Vous pourrez trouver toutes les informations qui devront y figurer ici.


Vous avez besoin d’aide ?

Contactez-nous

Cet article regroupe l’ensemble des actions à effectuer dans le cadre de la mise en conformité de votre site internet, cependant d’autres actions sont à mettre en place pour votre transformation globale. Vous pouvez visiter le site internet de la CNIL qui met à votre disposition les ressources nécessaires à votre mise en conformité au RGPD.

Le RGPD impose également aux entreprises traitant à grande échelle des données sensibles de nommer un DPO (Data Protection Officer = Délégué à la Protection des Données) qui saura vous informer des mesures à mettre en place et s’assurer de leur application au sein de votre organisation.

Offensive peut effectuer pour vous la mise en conformité de votre site internet incluant, entre autres, un audit juridique, la mise en place ou la mise à jour d’une politique de protection des données personnelles, un renforcement de la sécurité, ou encore un nouveau bandeau cookie conforme au RGPD.

Êtes vous en conformité RGPD