Parlez-nous de votre Projet Consultez nos news Postulez chez Offensive
 

RGPD : Comment rendre votre site Internet conforme ?

RGPD : Comment rendre votre site Internet conforme ?

Le RGPD (Règlement Général pour la Protection des Données / GDPR en anglais) entrera en vigueur pour toutes les entreprises françaises et européennes le 25 mai 2018. Offensive Studio vous explique les actions à mener pour rendre votre site internet conforme à ce nouveau règlement.

Le RGPD harmonise le droit européen relatif à la protection des données personnelles (toutes les informations permettant d’identifier une personne physique telles que le nom, l’adresse électronique, l’adresse IP, le numéro de sécurité sociale, les données de connexion, de localisation, etc…) et renforce donc la loi Informatique et Libertés de 1978.

Qui est concerné par le RGPD ?

Il s’applique à toutes les organisations utilisant le traitement de données personnelles : celles qui sont établies au sein de l’UE, mais aussi celles qui sont hors de l’UE et mettent en oeuvre des traitements pour fournir des biens ou des services aux résidents européens (comme les GAFA par exemple). Les entreprises, organismes publics, associations, et dorénavant leurs sous-traitants sont aussi concernés, sans oublier que toute collecte de données rentrant dans un cadre professionnel est soumise à l’application du RGPD.

Sachez que chacune de ces organisations a des obligations différentes en fonction de la sensibilité des données traitées, de leur volumétrie, et des impacts de ces données sur leur business.

Les internautes retrouvent avec ce nouveau règlement l’entière maîtrise de leurs données personnelles grâce au droit à la portabilité : ils peuvent désormais recevoir et consulter à tout moment les données que vous avez pu collecter les concernant, sous un format informatique exploitable.

Mise en conformité de votre site internet

Le RGPD est une véritable opportunité pour gagner en transparence et ainsi obtenir la confiance de vos clients, partenaires et salariés. Bien évidemment votre site internet se doit également d’être en adéquation avec le règlement, sous peine de sanctions administratives et financières allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total. Toutefois une période de transition est prévue pour vous accompagner dans cette nouvelle gestion des données personnelles jusqu’à la fin de l’année, les sanctions ne seront donc pas immédiates.

Vous n’êtes pas encore en conformité ?

Contactez-nous

1/ La politique de confidentialité (protection des données personnelles)

Il est important de bien distinguer les mentions légales et la politique de confidentialité (ou la politique de protection des données personnelles).

Les mentions légales rassurent les internautes sur votre identité. Elles vous permettent d’agir en toute transparence en leur exposant clairement toutes les informations relatives à l’éditeur du site : les coordonnées, le numéro d’identification au Registre du Commerce et des Sociétés (RCS), le numéro de TVA intracommunautaire, le capital social, le nom du Directeur de la publication et du Responsable de la rédaction, les coordonnées de l’hébergeur du site, et le numéro de déclaration à la CNIL.

Dans le cadre du RGPD, vous devez mettre en place une politique de confidentialité clairement distincte des mentions légales ou des CGV/CGU, qui sera accessible dans le pied de chacune des pages de votre site internet. Vos visiteurs pourront y retrouver l’ensemble des informations concernant le traitement de données :

  • Les finalités du traitement : l’objectif de ces collectes de données
  • L’identité du responsable de traitement : qui collecte ces données
  • Leur durée de conservation : le droit à l’oubli est obligatoire
  • Le rappel des droits des utilisateurs : interrogation, accès, opposition, modification et suppression des données
  • Les personnes susceptibles de prendre connaissance de ces données (en plus du responsable de traitement)
  • Les mesures de sécurité que vous avez mises en place
  • L’identité du DPO (Data Protection Officer) s’il existe

Par exemple vos visiteurs pourront y trouver par quel moyen accéder à leurs données personnelles (mail, téléphone, courrier…) dans le cadre de leur droit à la portabilité, ou encore se renseigner sur le type de données collectées, sur l’utilisation qui en est faite, etc.

Vous pouvez par exemple consulter, le pied de page (footer) de notre site internet où l’onglet “Données personnelles” (équivalent de politique de confidentialité) est désormais disponible.

2/ Un consentement éclairé

Les collectes de données

Lors de chacune de vos collectes de données, par exemple dans le cas de formulaires, l’utilisateur doit connaître toutes les informations nécessaires concernant le traitement de ses données avant qu’il ne clique sur “envoyer”. Le RGPD spécifie dans l’article 13 que ces mentions doivent impérativement être fournies “au moment où les données sont obtenues”. Ajoutez une case à cocher ou un bouton confirmant que l’utilisateur consent à partager ses données (il doit pouvoir l’accepter ou le refuser), expliquez la raison de cette collecte de données (“pour recevoir notre newsletter” par exemple), et vous pouvez rajouter une case à cocher de type “J’ai lu et accepte la politique de confidentialité de ce site”. Attention, ne pré-cochez pas cette case ou vous serez dans l’illégalité. En effet l’action de cocher cette case vaut pour consentement.

Ce consentement à la collecte et au traitement de données n’a pas de limite de validité.

Retenez également que chacune de vos collectes doit avoir une finalité, un but précis, comme tout simplement répondre aux internautes souhaitant vous contacter. Les champs de saisie à remplir doivent donc être pertinents et adaptés : vous ne pouvez collecter que les informations strictement nécessaires : c’est le principe de minimisation.

Si vous utilisez un site WordPress, pensez à vérifier si tous vos plugins relatifs à la collecte du consentement et des données des utilisateurs (formulaires, commentaires, retargeting) et à l’utilisation de vos données utilisateurs (personnalisation de contenus, suivi du comportement des visiteurs, de newsletters, de marketing automatisé…) sont bien conformes au RGPD.

Les cookies (ensemble des traceurs déposés et/ou lus)

Le RGPD vient renforcer le “Paquet Télécom” (ensemble de réformes européennes datant de 2008 et 2009) concernant les cookies et traceurs. Lorsqu’un internaute se rend sur votre site internet, le “bandeau cookies” doit impérativement spécifier à l’utilisateur :

  • Que des cookies vont être déposés sur son terminal
  • Les finalités précises de ces cookies, sans aucune ambiguïté
  • Le fait que la poursuite de la navigation autorise le dépôt de cookies

L’internaute doit pouvoir s’y opposer et modifier les paramètres grâce à un lien directement présent dans le bandeau. N’oubliez pas qu’un simple clic sur ce lien ne vaut pas pour consentement.

Ce bandeau cookies ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation (visite d’une autre page du site, clic sur un élément…).

À noter que certains cookies utilisant les fonctionnalités d’autres sites peuvent être perçus comme intrusifs, comme Google Adsense, Analytics, Adwords, Facebook et Twitter par exemple, et l’internaute devra donner son consentement pour chacun d’entre eux.

Exemple de bandeau pour les cookies publicitaires et de mesure d’audience :
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [Par exemple des publicités ciblées adaptées à vos centres d’intérêt] et [Par exemple réaliser des statistiques de visites]”.

Pour rappel, ce consentement aux cookies a une durée maximale de 13 mois. Il est donc important de mettre en place une suppression automatique des données au delà de ce délai.

Tout responsable de traitement devra être en mesure d’apporter une preuve du consentement de l’internaute. Aussi, l’article 7 du RGPD impose qu’un consentement donné doit pouvoir être retiré tout aussi simplement, c’est-à-dire en un seul clic : le visiteur peut revenir sur sa décision à tout moment.

Certains cookies et traceurs sont tout de même dispensés de consentement : ceux qui sont strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur (cookies de panier d’achat, identifiants de session, authentification, ou encore certaines solutions d’analyse de mesure d’audience) mais peu d’outils permettent aujourd’hui de respecter toutes les conditions nécessaires à cette exemption. Vous pouvez consulter la liste ici.

3/ La sécurisation des données

Dans un contexte où les données personnelles sont menacées, le RGPD rappelle que vous devez impérativement assurer la protection globale de votre site internet, et vous recommande de tout mettre en oeuvre pour sécuriser les données de vos utilisateurs. Cela passe aussi par un audit de sécurité complet. Dans le cas du piratage de votre base de données, vous avez désormais l’obligation de le notifier à la CNIL (Commission Nationale de l’Informatique et des Libertés) en moins de 72 heures. Celle-ci pourra obliger les responsables de votre entreprise à communiquer le piratage à chaque utilisateur victime si cela engendre un risque élevé pour ses droits et libertés.

L’ensemble des internautes dispose d’un droit à la réparation des dommages matériel ou moral. Selon la CNIL : “toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi”.

4/ Un dossier documentaire

Une fois en conformité avec le RGPD, vous devez créer un dossier documentaire démontrant que le traitement des données personnelles que vous opérez respecte le règlement européen. Vous pourrez trouver toutes les informations qui devront y figurer ici.


Vous avez besoin d’aide ?

Contactez-nous

Cet article regroupe l’ensemble des actions à effectuer dans le cadre de la mise en conformité de votre site internet, cependant d’autres actions sont à mettre en place pour votre transformation globale. Vous pouvez visiter le site internet de la CNIL qui met à votre disposition les ressources nécessaires à votre mise en conformité au RGPD.

Le RGPD impose également aux entreprises traitant à grande échelle des données sensibles de nommer un DPO (Data Protection Officer = Délégué à la Protection des Données) qui saura vous informer des mesures à mettre en place et s’assurer de leur application au sein de votre organisation.

Offensive Studio peut effectuer pour vous la mise en conformité de votre site internet incluant, entre autres, un audit juridique, la mise en place ou la mise à jour d’une politique de protection des données personnelles, un renforcement de la sécurité, ou encore un nouveau bandeau cookie conforme au RGPD.




in porta. sem, dolor Lorem et, libero libero dolor. ipsum id, odio