Les directives européennes relatives à la protection des données ont imposé des règles en vigueur depuis 2018. Elles sont regroupées sous le nom de RGPD pour Règlement Général de Protection des Données. Dans le but d’encadrer vos données personnelles, des données considérées comme sensibles, le RGPD impose de nombreuses règles dès lors qu’il est question de données personnelles collectées. Si l’on pense tout de suite aux sites web pour cette collecte, c’est aussi le cas de bien d’autres secteurs comme les entreprises par exemple, mais nous nous concentrerons ici sur les sites web. Pour le grand public, ce n’est qu’un pop-up à l’arrivée d’un nouveau site sur lequel on clique sur J’accepte. Pour l’administrateur du site internet, c’est un ensemble complexe de procédures à encadrer. On vous explique tout pour rendre votre site conforme RGPD.
La conformité de vos données personnelles est une protection imposée par l’Europe et la CNIL pour vos actions sur Internet. Ainsi, le RGPD encadre le contenu des cookies sauvegardés par le site visité, quelle que soit sa politique en la matière, ainsi que les informations recueillies au cours de votre relation avec le site web. Le RGPD empêche ces données d’être traitées et être prises en compte et sans le consentement des visiteurs. Quand on créé un site internet, il faut maintenant le rendre conforme à cette règlementation.
Contenu de l'article
ToggleLe but du RGPD
Comprendre ce qu’est une donnée personnelle
Une donnée personnelle est une donnée qui va permettre, de façon directe ou indirecte, de vous identifier. Identifier ne veut pas seulement dire que l’on va découvrir votre nom et prénom, ce n’est d’ailleurs pas utile. Quand on fait du webmarketing, on traite beaucoup de données.
Une identification, c’est une information factuelle qui est reliée à votre personne. Une donnée personnelle peut donc être votre numéro de sécurité sociale, mais aussi une plaque d’immatriculation. Cela peut être votre numéro de carte bleue, mais aussi votre historique de navigation. Cela concerne encore votre positionnement comme votre adresse mail.
Pourquoi protéger les données ?
À l’heure de l’omniprésence sur les réseaux sociaux, il n’est pas toujours facile de cerner ce qui est public de ce qui est privé. Or, toutes ces données personnelles, mal acquises et mal utilisées, sont une atteinte à votre liberté et à votre vie privée.
En France, depuis 1978, la loi Informatique et Libertés de la CNIL permettait d’encadrer la collecte et l’utilisation de ces données. Avec le RGPD, la France, en même temps que tous les autres pays européens, met à jour cette loi.
Pourquoi instaurer le RGPD ?
Le RGPD est le successeur direct de la fameuse loi Informatique et Libertés. Elle permet à la CNIL de coller à l’évolution des technologies, la loi française datant de 1978. C’est donc sur de nombreux points que le RGPD apporte de nouvelles réponses selon 3 grands thèmes.
- Le RGPD précise les obligations du responsable de traitement des données personnelles.
- Il précise les droits des personnes.
- Il renforce les sanctions.
Ces 3 thèmes se déclinent donc en un ensemble de mesures à prendre pour être en conformité avec le règlement européen.
- Il faut pouvoir documenter le processus de traitement pour en démontrer la conformité. On parle de Accountability.
- Réaliser l’analyse d’impact pour les traitements de données personnelles à risque (santé etc.).
- Respecter les principes de protection des données dès la conception du site web. On parle de Privacy by design.
- La protection des données doit être une donnée par défaut, Privacy by default.
- Il y a obligation d’information sur les failles de sécurité concernant les données personnelles.
- Nommer, lorsque la situation le demande, un DPO, Data Protection Officer.
- La portabilité des données personnelles entre deux services doit pouvoir se faire dans un format lisible par les deux parties.
- Le RGPD permet aussi le droit à l’effacement des données personnelles, ou droit à l’oubli.
- Prise en compte de la responsabilité des sous-traitants.
- Les sanctions ont été considérablement augmentées, et sont de l’ordre de 20 millions d’euros ou de 4 % du CA dans les situations les plus graves.
Qui est concerné par le RGPD ?
À partir du moment où vous avez un site web, vous êtes concernés par le RGPD. Qu’il soit un site vitrine, un blog ou un e-commerce, vous êtes susceptibles d’entrer en contact avec vos lecteurs, clients ou prospects. C’est aussi valable pour un site d’affiliation. Cela peut se faire par le dépôt de cookies ou d’un traceur publicitaire, mais aussi par le biais du formulaire de contact pour la newsletter par exemple. Dès lors que vous êtes susceptible de récolter une information concernant un internaute de votre site internet, le RGPD vous concerne car vous allez être amené à collecter, utiliser et stocker des données personnelles. Rendre un site conforme RGPD est une obligation légale.
La mise en conformité de votre site web avec le RGPD
La conformité d’un site passe par la collecte et l’utilisation de données, mais elles sont toutes différentes en fonction de votre activité. C’est pourquoi le responsable de la protection des informations des visiteurs doit s’assurer de sujets divers selon le domaine d’activité.
Concernant les sites vitrines
On appelle sites vitrines les sites web qui n’ont pas vocation à faire du e-commerce. Il peut s’agir de la présentation de votre entreprise, ou d’un blog par exemple. Pour rendre ce site conforme RGPD, les recommandations sont les suivantes :
Vous devez afficher les mentions légales, on trouve le lien généralement en bas de page, pour informer les visiteurs sur leurs droits et être identifiable comme éditeur du site internet.
Vous devez pouvoir justifier des informations recueillies, et donc ne vous concentrer que sur ce qui est utile. On ne vous demandera pas votre lieu de résidence si c’est inutile comme pour l’envoi d’une newsletter.
Vous devez informer les visiteurs du site de la collecte de données personnelles, du but de la démarche, des moyens de traitement, la durée de conservation et les destinataires. Il faut pour cela recueillir l’accord explicite de l’internaute. Il s’agit du fameux pop-up sur les cookies en arrivant sur un nouveau site web. Une trace du consentement doit être archivée, la possibilité d’apporter des modifications doit être clairement affichée et vous pointez un lien vers une page de politique de confidentialité.
Concernant les sites e-commerces
Dans le domaine des sites de e-commerce, c’est-à-dire où la vente se fait directement en ligne, la protection des données est un sujet encore plus sensible pour les entreprises concernées. Tout d’abord parce que dans ces données il y a les coordonnées bancaires (qui peuvent être traitées uniquement par le prestataire de paiement en ligne). Ensuite, c’est un sujet plus sensible car l’entreprise va faire une collecte de données bien plus conséquente. On peut citer les produits favoris, l’âge, l’adresse, l’adresse mail et d’autres encore.
Pour rendre un site e-commerce conforme RGPD, vous avez plus d’obligations encore et elles concernent les sujets suivants :
- Site web sécurisé en https
- Complexité du mot de passe
- Sécurisation des données bancaires via un tiers de confiance
Il faut bien entendu reprendre aussi les points concernant les sites vitrine, c’est-à-dire demander le consentement éclairé et indépendant de l’internaute, avoir une page de Politique de confidentialité et donner un droit de regard comme déjà décrit à propos des données collectées.
La politique vis-à-vis des cookies
Le RGPD ne signe pas la fin de vie des cookies. Il est toujours possible d’en déposer sur le terminal informatique de l’utilisateur de votre site web. Il y a deux raisons d’être à ces cookies. Le premier est d’être un traceur publicitaire pour offrir une expérience d’achat plus personnalisée, ou pour mieux connaître son internaute. Ensuite, le cookie sert à tracer les données de navigation, à l’image de Google Analytics. Pour être conforme RGPD, il faut veiller à la bonne utilisation de ces cookies.
Ce qu’il est nécessaire de faire, c’est d’informer l’internaute concernant les cookies obligatoires au fonctionnement du site, mais aussi de donner le choix d’accepter ou non les cookies secondaires, en expliquant leur but. Si d’un point de vue de l’entreprise qui gère le site internet les cookies sont légitimes, ils peuvent ne pas l’être aux yeux de l’internaute qui a donc toute discrétion pour les autoriser ou non. L’utilisateur du site internet doit savoir que les cookies sont une durée de vie de 13 mois.
Le DPO pour gérer le RGPD
Le DPO pour Data Protection Officer est une personne chargée de la protection des données. Elle est à nommer obligatoirement si le site concerne une autorité publique ou un organisme public. C’est aussi valable lorsque les données traitées sont sensibles, comme la religion.
Même en dehors d’une obligation légale, nommer un DPO permet de confier la gestion de tout le RGPD a une même personne pour s’assurer que toute la politique de collecte des données reste conforme aux attentes de la CNIL et du RGPD. Ce n’est pas une tache qui s’apprend en lisant des articles sur Google, c’est un véritable travail qui va demander beaucoup de veille, de contrôler tous les éventuels sous-traitants au niveau de leur traitement de données et bien d’autres paramètres encore.
Démarches pour être conforme RGPD
Les utilisateurs de WordPress et autres le savent bien, il existe de nombreuses extensions disponibles et paramétrables afin de se mettre en conformité avec les directives européennes. Cependant, il faut s’assurer que le plug-in soit bien à jour des nouvelles règles européennes (et non une autre région du globe qui connaissent des systèmes similaires au RGPD) et que la conception même de ces logiciels soit valide. S’ils peuvent être une réponse adaptée pour de petits sites, ce n’est pas le cas de site de plus grandes importances pour une entreprise ou un site web recouvrant des milliers de vues quotidiennes. Dès lors, nommer un DPO voir faire appel à un prestataire extérieur peut être la solution.
Des entreprises spécialisées ont vu le jour dans l’audit et la mise en conformité de votre site internet. Ils sont l’assurance d’un travail efficace qui vous protégera d’éventuelles sanctions. Même si vous ne cherchez pas à mal faire, la complexité du RGPD peut entraîner des erreurs ou des défauts d’information dont vous seriez responsable, d’où l’intérêt d’une aide spécialisée.
Mise en conformité de votre site, le résumé des actions
Le RGPD passe par l’obtention du consentement de la part de l’internaute de la collecte de ses données personnelles. Ces dernières doivent être facilement accessibles, notamment pour demander leur suppression. Chaque consentement doit être sauvegardé.
Il est nécessaire de mettre à jour vos CGU/CGV, ainsi que votre page de confidentialité. Elle doit permettre de donner accès à ses données personnelles. Le consentement de traitement des données personnelles doit se faire clairement, en obtenant l’accord avant la navigation sur le site avant la validation d’une inscription à une newsletter.