RGPD : Votre site web est-il conforme ?

Vous le savez sans doute, depuis le 25 mai 2018, les entreprises ont l’obligation d’avoir un site conforme au RGPD - Règlement Général Européen sur la Protection des Données . Ce règlement vise à mieux protéger les données en ligne des citoyens européens et s’applique à tous les sites de l’Union Européenne, qu'ils soient marchands ou vitrines.
En cas de non conformité, les sanctions de la CNIL (Commission Nationale de l'Informatique et des Libertés) peuvent faire mal (A lire : Quelques exemples de sanctions et condamnations prononcées par la CNIL ).

Quelles obligations pour votre entreprise et son site web ? 

Demander explicitement  le consentement à l'internaute

Chaque internaute arrivant sur votre site doit pouvoir consentir ou refuser la collecte et le traitement de ses données personnelles. Même en cas de consentement, il doit pouvoir retirer son consentement à tout moment. Cette demande de consentement doit être répétée chaque fois qu’il y a collecte de données personnelles.
Mais qu'est ce qu'une donnée personnelle ? Selon la CNIL " toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement."
Par exemple

• nom et prénom
• adresse IP/ données de traçage
• adresse e-mail
• numéro de téléphone
• adresse postale 
• cookies : les cookies strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur sont dispensés du recueil de ce consentement.
• identifiants de connexion 
• données sensibles : relatives à la santé, l’identité physique et psychique d’une personne, situation économique …

De ce fait, le consentement est obligatoire lorsque vous collectez, par exemple, des informations sur vos visiteurs via un formulaire ou l’inscription à une newsletter.

Non seulement vous devez permettre au visiteur de consentir ou pas, mais vous devez garder une preuve de son consentement en cas de vérification par la CNIL.

Les cookies, c'est quoi ? 

Les cookies sont des petits fichiers qui s'installent sur l'ordinateur du visiteur et permettent de "tracer" sa navigation sur votre site. C'est donc grâce à eux que vous pouvez disposer de statistiques de trafic sur votre site. La demande de consentement à la collecte des cookies et au traçage se fait généralement par le biais d'un bandeau qui demande explicitement au visiteur s’il consent ou non à la collecte et au traitement de ces données. Le bandeau doit comporter obligatoirement 3 boutons : “j’accepte tous les cookies” / “ je refuse tous les cookies” et un bouton "Personnaliser" permettant lister tous les cookies existants et de les accepter/refuser au cas par cas.

Exemple : 

De même, chaque formulaire de votre site internet doit impérativement comporter une demande de consentement et indiquer la finalité de la collecte de ces données. Comme pour le bandeau, votre formulaire doit contenir un lien vers la page de votre site qui informe sur le traitement des données et les engagements pris pour les protéger.

Exemple : 

Attention : une case pré-cochée est interdite ! Vous ne devez pas forcer / inciter / orienter la demande de consentement de traitement de données. 
Si un internaute refuse la collecte de cookies en arrivant sur votre site internet, vous devez quand même lui permettre de naviguer sur celui-ci.

Informer le visiteur du traitement de ses données

Vos visiteurs vous donnent des informations. En échange, et c'est légitime, vous devez leur expliquer clairement comment vous les récupérez, pourquoi vous en avez besoin, combien de temps vous allez les conserver et quel traitements vous leurs réservez. Le but doit être légitime et légal au regard de votre activité.

En pratique 

Toutes les informations concernant la collecte et le traitement des données personnelles des utilisateurs doivent figurer sur une page “Politique de confidentialité” de votre site internet. 

Un lien dans le footer (en bas de votre site) doit y mener facilement. 

Cette page doit indiquer : 

• quelles données sont collectées et traitées
• les personnes qui y ont accès
• les traitements effectués : enregistrement des données analytics à des fins publicitaires, de retargeting, traitement de données via un CRM, communication à des tiers...
• le lieu de stockage
• la durée de conservation
• comment l’internaute peut avoir accès à ses données et comment il peut les modifier
• comment l’internaute peut se désinscrire de vos canaux de communication

Votre site doit également comporter des mentions légales qui informent l’internaute des conditions d’utilisation du site, de l’identité du responsable ainsi que les engagements pris par votre société pour la protection des données de l’internaute.

Attention 

En cas de piratage des données, vous devez informer la CNIL et les victimes dans les 72 heures qui suivent le vol de leurs données. Vous devez également effectuer les actions nécessaires pour sécuriser de nouveau vos bases de données et régler le litige.

Permettre le droit à l’oubli

Votre politique de confidentialité et vos mentions légales doivent informer l’internaute de son droit à l’oubli et lui expliquer comment l’exercer. 

De plus, vos différents canaux de communication doivent permettre à l’internaute de se désinscrire à tout moment facilement. 

En pratique 

Vos newsletters doivent comporter la mention “Se désinscrire" dans vos mails marketing avec un lien permettant la désinscription. Il doit être facilement repérable et facile à exécuter.

Dans le cas où un internaute possède un compte personnel sur votre plateforme, vous devez lui permettre de supprimer / suspendre son compte via un formulaire facilement accessible.

Tenir un registre des activités de traitement des données

Chaque entreprise doit tenir un registre sécurisé des données des utilisateurs, de sorte à : 

• faciliter la réponse aux demandes de l’internaute : droit à l’oubli, modification des données…
• avoir une bonne gestion des données de sa base client 

Des outils comme le CRM vous permettent de bien gérer votre base de données en conformité avec le RGPD.

Veiller à la conformité des extensions de votre site internet (plugins et CMS)

Si vous utilisez un CMS tel que WordPress, votre site utilise sans doute des plugins. Assurez-vous que ceux-ci respectent bien le RGPD : il arrive en effet que certains plugins ou CMS recueillent des données sans consentement.
Informez-vous sur les outils utilisés pour la gestion de votre site internet et leurs évolutions en faisant une veille régulière (ou en demandant à votre prestataire web de le faire).

Comment mettre votre site internet en conformité avec le RGPD  ?

Afin de mettre votre site en conformité avec le RGPD, contactez une agence web qui pourra vous aiguiller sur les manquements et les corriger. 

Si ce n’est pas encore le cas, créez rapidement vos pages  “Mentions légales” et “Politique de confidentialité”. 

A noter que le contenu des mentions légales d’un site dépend de son activité et de sa nature. Pour vous aider à y voir plus clair, nous avons regroupé dans une fiche technique les informations qui doivent obligatoirement figurer sur votre site selon votre statut. A vous de jouer !