8 points pour un site internet conforme au RGPD

Vous êtes en retard dans la mise en conformité de votre site dans le cadre du RGPD, vous n’y comprenez pas grand-chose ? Cet article sans prétention vous retrace les basiques à mettre en œuvre. Il concerne plutôt de petites et moyennes entreprises avec un « petit site ». Sinon, offrez-vous plutôt des prestations professionnelles pour être dans les clous. N’oubliez pas toutefois que le RGPD impose des obligations au-delà de votre site web, par exemple si vous gérez sur un logiciel les données de vos clients.

Obligations générales

Juste un petit rappel en amont sur ce que sont des données personnelles.

Nommer un délégué à la protection des données

En clair, donnez ce rôle à vous même ou quelqu’un dans votre organisation. Le délégué à la protection des données gérera les registres (point suivant) et pensera à faire modifier votre site en fonction de l’évolution de la manière dont vous gérez les données personnelles.

Remplir les registres

En cas de contrôle, et pour vous y retrouver vous même, la CNIL propose des modèles. Vous y recenserez les activités concernées par la gestion de données personnelles, le type de données, pour quel objectif, et les personnes concernées.

Rendre son site internet compatible RGPD

Passer au HTTPS

Le seul moyen d’assurer à vos visiteurs une vraie confidentialité des données échangées avec votre site, c’est de chiffrer celles-ci. Il n’y a pas 36 façons de procéder, il faut installer un certificat SSL. Vous aurez alors un joli cadenas vert devant votre URL dans les navigateurs, et surtout vous empêchez quiconque de voler les données personnelles de vos « clients » quand ceux-ci interagissent sur votre site.

Assurez-vous d’avoir un site sécurisé (et plus)

Même avec le HTTPS, si votre site est une passoire (plugins pas à jour, code plein de failles de sécurité, serveur d’hébergement mal infogéré et faillible), tous vos efforts ne serviront à rien. Les données personnelles de vos clients seraient à la merci d’individus malveillants. Assurez-vous aussi qu’il soit correctement codé, sans quoi les lacunes pourraient vous coûter cher

Au passage, pensez aussi au minimum à avoir une suite de sécurité correcte sur vos postes de travail. Avez-vous un vrai antivirus et firewall (pas des trucs gratuits car la plupart du temps ils ressemblent à ça... ) sur tous vos ordinateurs qui accèdent aux données personnelles de vos clients dans votre entreprise ?

Expliquez ce que vous faites des données recueillies

Sur une page spécifique, expliquez de manière compréhensible à quelle occasion vous recueillez des données personnelles, pour quoi faire, et accessoirement comment vous les protégez.
Donnez des détails et précisions sur le type de données, elles seront différentes selon que vous administrez un e-commerce ou un site avec un simple formulaire de contact.
Rappelez que l’utilisateur a un droit de connaître, modifier, supprimer certaines de ces données.

Donnez (enfin) à l’utilisateur le choix d’accepter ou pas les cookies

Dans la plupart des cas, les sites affichent un bandeau de demande de consentement, mais déposent malgré tout sans vergogne leurs cookies de stats ou de régies publicitaires. C’est illégal ! Et c’est clairement un des meilleurs points d’entrée pour les GAFA pour récupérer des données, et en prime les croiser avec tout ce qu’ils connaissent déjà de vos visiteurs.

Mais avec cette mise en conformité, sachez que vous allez perdre une bonne partie des données de vos statistiques (par exemple avec Google Analytics)  sauf si vous utilisez une solution validée par la CNIL comme Matomo (anciennement Piwik).

Demandez l’accord express de vos visiteurs

Lorsqu’ils remplissent un formulaire de contact (ou toute autre demande), lorsqu’ils passent une commande, obligez vos visiteurs à cocher une case qui stipule qu’ils ont bien compris à quoi vont servir les données qu’ils transmettent. Un simple lien pourra les renvoyer vers la page spécifique ou vous expliquez tout cela (ça vous évitera d’en mettre des tonnes, une simple phrase suffira).

Permettez à vos visiteurs de récupérer, modifier, supprimer leurs données personnelles

Il y a peu de chance qu’un visiteur vous demande une vraie portabilité de vos données comme il pourrait le demander à Facebook ou un autre gros acteur du web. En revanche, il peut légitimement vous demander d’exporter et de lui donner tout ce que vous avez stocké le concernant.

Vous devez aussi être en mesure de lui permettre d’apporter des modifications ou de supprimer les données personnelles qui le concernent.

Parfois un simple e-mail suffit pour la demande et si le contenu est simple à identifier et exporter, tout va bien, mais si un utilisateur vous demande le contenu des 60 commentaires qu’il a déposé sur votre blog ou le contenu de tous les formulaires remplis sur votre site, un outil automatisé vous fera gagner du temps.

Pour conclure

La CNIL à clairement communiqué sur les thématiques de ses contrôles en 2018, mais l’année passe vite. Alors même si vous êtes en retard en regard de la loi qui imposait son application dès le 25 mai 2018, il vous reste un peu de temps.

Encore une fois, cet article n’est qu’un petit récapitulatif, mais si vous faites tout cela votre bonne foi vous exonérera de toutes sanctions.

Travaillez bien...

Plus d'infos :

(je recevrai un mail quand un article est publié (no spam)

7 thoughts on “8 points pour un site internet conforme au RGPD

  1. Lili

    Merci pour ce récap bien pratique.

    Cependant, je ne suis pas d'accord avec le chapitre du consentement. En effet, il n'est pas obligatoire de demander l'accord express pour tous les formulaires. Il existe 6 bases légales du consentement dont celle de la nécessité contractuelle.

    En e-commerce, si le client souhaite passer commande, pour satisfaire sa demande (et donc le contrat ou pré-contrat), il faut avoir au moins ses nom et prénom, son adresse postale, son adresse mail, son numéro de téléphone (livraison, suivi par mail,...). Ces données personnelles sont nécessaires au traitement de sa commande et ne requiert pas de case à cocher.

    En revanche, si on demande par exemple sa date de naissance dans le formulaire, cette donnée n'est pas obligatoire pour traiter une commande et requiert une case à cocher.

    De même si on utilise ses données personnelles pour autre chose que lui envoyer son colis (newsletter par exemple), cela requiert une case à cocher (ce que de nombreux sites faisaient déjà).

    Le plus important est de préciser de façon claire, et ce dès qu'il saisit ses données personnelles, que celles-ci vont être conservées et traitées et à quelles fins. Un petit paragraphe "résumé" sur le formulaire avec lien vers la page "politique de confidentialité" est suffisant.

    Regardez par exemple comment la CNIL traite le consentement sur son formulaire newsletter : pas de case à cocher, une information claire du traitement de la donnée et pas d'abus (l'e-mail n'est utilisé QUE pour vous envoyer une newsletter - ce que vous demandez).
    Regardez aussi les sites tels que Décathlon, Leroy Merlin... et vous verrez comment ils traitent le RGDP dans le tunnel de commande.

    Le consentement a fait couler beaucoup d'encre (et créer beaucoup de modules et plugins en tout genre) car il fait peur aux e-commerçants mais résumer le consentement à "il faut une case à cocher sur tous vos formulaires" est faux. Ce que demande la CNIL c'est d'informer clairement l'internaute du traitement des données qu'il nous envoie, de n'utiliser ces dernières que pour les fins auxquelles il nous autorise et de ne pas abuser de ces dernières.
    En résumé, la CNIL ne veut plus qu'on utilise ces données pour de la publicité abusive ou pour les transmettre à des tiers si l'intéressé n'est pas d'accord.

    Donc, la mise en place du consentement sera différente d'un e-commerçant à un autre, selon qu'il veuille recueillir beaucoup de données et/ou des données sensibles et selon l'utilisation qu'il souhaite en faire par la suite. Parfois une case à cocher sera indispensable et parfois non.

  2. Pascal

    Bonjour et merci pour cet article. La notion de protection des équipements informatiques n'est pas un luxe, il est bon de le rappeler.
    Cordialement

  3. Sylvain Auteur de l’article

    @ Pascal
    Surtout qu'il est sans doute bien plus simple de pirater le poste d'un utilisateur avec un simple lien piégé que de hacker un site.

  4. Florent

    Merci pour cet article. La sensibilisation est essentielle en matière de règles sur la protection des données. Cet article y contribue.

    Je me permets d'apporter un point de précision, car l'une de tes recommandations pourrait être trompeuse Sylvain : "Expliquez ce que vous faites des données recueillies - Sur une page spécifique, expliquez de manière compréhensible à quelle occasion vous recueillez des données personnelles, pour quoi faire, et accessoirement comment vous les protégez."

    Il faut même aller plus loin. L'information devant être obligatoirement fournie aux personnes dont les données sont collectées doit directement figurer sur les pages de collecte de données du site concerné. L'article 13 du RGPD dispose à cet effet "Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues [...]".

    Ainsi, à titre d'exemple, si vous disposez d'une page "contact" ou "demande d'information commerciale" intégrant un formulaire de collecte de données sur votre site web, vous devrez directement indiquer sur cette page pourquoi les données sont-elles collectées (finalité), pour combien de temps, si elles seront transférées en dehors de l'union européenne ou non, etc. L'intégration de ces informations sur une page annexe dédiée à "la vie privée" par exemple, n'est pas suffisante.

    La conformité d'un site internet est importante : c'est le premier élément public que vos visiteurs, clients vont visualiser sur votre structure. Il ne faut pas la négliger 🙂

  5. carrelage aspect bois sur Evreux

    Merci pour cet article complet et bien rédigé ..
    on retrouve je respect des RGpd sur très peu de site ...et je rejoins totalement le point de vu de Lili sur ce sujet

  6. Takeo

    A l'image des directives européennes qui pénalisent les micro-entreprises qui n'ont pas les moyens de se payer un juriste ou un avocat. Totalement débile, on fait comment si on ne récolte strictement aucune info sur son site ?

Partagez sur :

Les commentaires sont fermés.