Le Journal de WebKomoMai

Image représentant le RGPD

Votre site conforme au RGPD

Depuis Mai 2018, l’Union Européenne, à travers le RGPD,  encadre l’utilisation des données personnelles des individus. Cet article est essentiellement une synthèse des informations issues du site de la CNIL, Commission nationale de l’informatique et des libertés. C’est une autorité administrative indépendante française. Son rôle est de protéger le consommateur contre tout usage abusif de données informatiques le concernant. C’est elle qui s’assure du respect de l’application du RGPD.

Dans cet article vous trouverez également des réponses concrètes pour la mise en place du RGPD dans le cadre de votre site web.

Qu'est ce que le RGPD?

Le Règlement général sur la protection des données (RGPD) est le nouveau cadre juridique de l’Union Européenne. Il contrôle la collecte et le traitement des données à caractère personnel des utilisateurs.

Il est entré en vigueur le 25 mai 2018. Il s’applique à toutes les entités à travers le monde qui traitent des données à caractère personnel appartenant à des résidents de l’Union Européenne.

Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Les données personnelles et leur traitement

Une "donnée personnelle", c'est quoi?

Les données personnelles d’un individu sont toutes les informations qui permettent d’identifier concrètement cette personne physique.

Il peut s’agir d‘informations directes (nom, prénom, date de naissance, etc). On trouve aussi des numéros d’identification (sécurité sociale, téléphone, client, etc). Mais elles peuvent également être issues du croisement de plusieurs informations qui permettent d’identifier une personne précisément.

L’ensemble de toutes ces informations qui se rapportent à une personne physique s’appelle une base de données personnelles.

Illustration de la protection des données

Et le "traitement" de données personnelles?

C’est l’utilisation des données personnelles d’un individu par une entreprise ou un organisme, pour un but précis et identifié. Les données de l’entreprise ne sont pas concernées, on parle bien ici de la personne physique. Ce traitement de données n’est pas obligatoirement numérique. S’il est constitué sous forme de fiches papier, les règles à appliquer sont les mêmes.

Le RGPD, pour qui?

Toute entreprise basée en Europe OU utilisant des données de résidents européens, se doit de respecter le RGPD.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Comment se mettre en conformité avec le RGPD?

La CNIL recommande de suivre 4 grandes étapes:

Constituer un registre de traitement de données
Faire le tri dans les données
Respecter le droit des personnes
Sécuriser les données

Le registre de traitement de données

Dans un document unique, il s’agit d’identifier l’ensemble des activités pour lesquelles vous collectez des données personnelles. Pour chaque activité, vous devez ensuite justifier de cette nécessité, noter le type de données concernées et qui y a accès.

Le tri des données

En rédigeant le registre, vous devez réfléchir à la pertinence des données collectées. Il faut également les conserver uniquement sur une durée nécessaire.

Le respect du droit des personnes

Pour chaque collecte de données personnelles, le RGPD impose d’informer l’utilisateur: finalité, fondement juridique, accès, durée, modalités, envoi hors UE. Sur un site, une mention générique peur renvoyer vers la page de « politique de confidentialité » pour donner tous les détails.

L’utilisateur doit aussi pouvoir accéder, modifier, faire effacer ses données collectées. Elles lui appartiennent.

La sécurité des données

Prenez les mesures nécessaires pour minimiser le risque de piratage ou de vol. Dans le cas de données numériques, il convient d’utiliser des mots de passe complexes

Le RGPD au niveau du site Web

Vous l’avez compris, le RGPD peut être lourd et compliqué à mettre en place selon l’organisme ou l’entreprise. Je ne vais vous parler ici que du cas pratique du site web. Bien évidemment, le RGPD doit aussi être appliqué au reste de votre activité.

Sécurité et échange des données

Pour protéger la transmission des données personnelles, l’étape indispensable est le passage en https:// . Un site en http:// ne garantira pas suffisamment de sécurité. Ainsi vous augmentez la protection contre les malveillants qui souhaiteraient récupérer les données des internautes qui interagissent sur votre site.

Veillez également à sécuriser votre site avec les règles fondamentales de mises à jour, d’administration, de mots de passe complexes, choix d’hébergeur, etc.

Les mentions légales

L’accès à un site ne doit pas être conditionné à l’abonnement à une newsletter.

Les mentions légales doivent être à la fin des formulaires de contact et d’un abonnement à une newsletter. Pour éviter d’alourdir la page, il est possible de noter uniquement une mention renvoyant vers une page de politique de confidentialité. On peut aussi avoir une case à cocher qui notifie que l’utilisateur a bien lu les mentions légales et les accepte. Cette case ne doit pas être cochée par défaut et doit être obligatoirement validée pour permettre l’envoi.

Exemple de formulaire d’inscription à la newsletter de la CNIL. Il n’y a pas de case à cocher mais la phrase en-dessous explicite clairement la raison de la collecte de l’adresse mail. Un lien permet par ailleurs d’accéder à la page de politique de confidentialité.

L’envoi d’email via une newsletter n’est autorisé que si la personne s’est inscrite elle-même ou que vous avez eu son consentement. Tout mail envoyé via une newsletter ou un emailing doit donner la possibilité à la personne de se désinscrire.

 

Vous devez expliciter clairement sur le site les données qui sont collectées, la finalité et la durée de conservation. Les visiteurs doivent avoir accès à vos coordonnées afin qu’ils puissent vous contacter pour accéder, modifier ou faire effacer ces données. L’accès à cette page de politique de confidentialité et de mentions légales doit être visible et facilement accessible (généralement en pied de page).

Des plugins comme ContactForm7 ou WPforms vous permettent de répondre à ces obligations.

Les mentions légales à faire apparaître dans votre page de politique de confidentialité:

  • Vos coordonnées
  • L’identification de votre entreprise
  • Coordonnées de l’éditeur du site
  • Coordonnées de l’hébergeur
  • La personne responsable de la mise en conformité au RGPD dans votre entreprise
  • Données collectées
  • But de cet enregistrement et comment les données sont utilisées
  • Durée de stockage des données
  • Procédures pour voir, modifier, effacer les données collectées
  • Information sur les traceurs utilisés sur le site

Les cookies et traceurs

« Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale »

Les cookies sont de petits fichiers déposés par le navigateur sur votre ordinateur. Ils sont générés par le serveur du site visité ou par une application tierce qu’il utilise. Ils enregistrent des informations sur les pratiques des visiteurs qui interagissent avec un site.

Vous devez mentionner l’utilisation de cookies sur votre site et donner la possibilité à l’internaute de refuser l’activation des cookies. Ces fichiers ne sont pas forcément malveillants, ils peuvent par exemple permettre une meilleure navigation. Certains mêmes sont obligatoires pour que le site fonctionne. Mais d’autres font beaucoup plus et enregistrent par un cheminement complexe et un croisement de données les habitudes de chaque visiteur.

Certains cookies d’ailleurs ne nécessitent pas de demande de consentement car leur utilisation est obligatoire et le visiteur est expressément actif dans la demande d’un service. C’est le cas par exemple des cookies de « paniers d’achat » sur une boutique de vente en ligne. Par contre, tout ce qui requiert de la publicité nécessite une information préalable, ainsi que certains boutons de partage de réseaux sociaux ou d’analyse d’audience. Retrouvez toutes ces infos sur le site de la CNIL:

 

L’internaute doit être informé par l’apparition d’un bandeau:

  • des finalités précises des cookies utilisés;
  • de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien « en savoir plus et paramétrer les cookies » présent dans le bandeau;
  • du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal

     

Pour connaître les cookies utilisés par votre site, quittez toutes les pages du navigateur, supprimez les cookies et naviguez ensuite sur toutes les pages de votre site. Listez les cookies qui sont apparus. Recherchez à quoi ils servent et évaluez ceux qui vous sont nécessaires ou pas… et faites le ménage!

Les internautes doivent avoir la possibilité de les refuser, individuellement ou globalement. Les cookies doivent avoir une durée de validité de maximum 13 mois.

Le plugin CookieNotice, notamment, est adapté pour réaliser un bandeau pour recueillir le consentement des visiteurs pour l’utilisation de cookies. Un paramétrage avancé donne la possibilité de personnaliser le texte, les boutons et de donner le choix de refuser l’utilisation des cookies. 

Besoin de mettre votre site aux normes?

faisons le point sur l'existant et ce qu'il reste à mettre en place

Contactez-moi!