Blog

Mettre son site web en conformité #RGPD

Le Règlement Général sur la Protection des Données de l’Union européenne (RGPD) prendra effet le 25 mai 2018 : êtes-vous prêts ?

Cette loi apportera des changements fondamentaux aux pratiques de collecte de données et de sécurité informatique. Le RGPD impose également de fortes pénalités en cas de non-conformité (en cas de non-respect, cela peut vous coûter jusqu’à 4 % de votre chiffre d’affaires).

Le RGPD vise à responsabiliser les professionnels concernant le traitement des données. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

La réforme de la protection des données poursuit plusieurs objectifs :

  • renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures
  • responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants)
  • crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées

Même si votre activité n’est pas strictement liée à du traitement de données, vous êtes concernés si vous possédez un site web !

Voici les règles à respecter et les changements à effectuer au sein de votre site web afin de le rendre conforme d’ici le 25 mai :

1. Mieux informer sur les données que vous collectez
Cela peut se faire soit dans les mentions légales soit dans une nouvelle page de type Politique de confidentialité. Le plus souvent, les données collectées sont les suivantes :
– cookies Google Analytics
– données fournies par l’utilisateur lors d’inscription à une newsletter ou sur un formulaire de contact

2. Obtenir le consentement explicite des visiteurs et utilisateurs de votre site web
Vous ne pouvez plus contenter du simple bandeau de cookies forçant l »utilisateur à accepter l’utilisation de cookies s’il souhaite consulter votre site web. Vous devez permettre à chaque visiteur d’accepter ou refuser les services (réseaux sociaux, géo-localisation, suivi de navigation, etc.). Bien entendu, vous devez faire en sorte de désactiver tous les services concernées tant qu’ils n’ont pas été explicitement autorisés ou que le visiteur a interdit certains services.

Le consentement doit suivre les principes suivants :

  • Clarifier l’acte de consentement
    Aucune ambiguïté : la formulation est obligatoirement positive.
  • Distinguer le consentement des conditions générales
    Le consentement ne peut pas être une condition préalable à l’inscription à un service.
  • Recueillir le consentement par une action positive
    L’opt-in est obligatoire (et le double opt-in fortement conseillé). L’opt-out est désormais interdit.
  • Faciliter la rupture du consentement
    L’utilisateur doit pouvoir facilement retirer son consentement. Chaque autorisation peut être modifiée et les conditions de désinscription et de droit à l’oubli doivent être spécifiées clairement.

3. Adapter vos formulaires
Après avoir explicitement expliqué et justifié la nécessité pour l’utilisateur de fournir telle ou telle information, vérifiez que l’utilisateur accepte votre politique de confidentialité ou vos CGU mises à jour. Vos cases à cocher doivent obligatoirement être conformes aux principes de consentement mentionnés ci-avant.

4. Assurer un traitement des données sécurisé
La norme SSL (URL de site web commençant avec https) va devenir obligatoire pour assurer à vos utilisateurs qu’ils peuvent naviguer en toute sécurité sur votre site web. Bien sûr, si vous n’avez pas d’e-commerce et pas de compte client en ligne, cela peut sembler superflu mais les navigateurs vont bientôt vous obliger à sécuriser votre site web, donc autant anticiper et préparer votre migration vers SSL !

 

Vous pouvez voir un exemple de mise en pratique de ces préconisations en consultant notre toute nouvelle page de Politique de confidentialité pour voir le paramétrage des cookies, ainsi que mon formulaire de contact.

 

Je n’ai pas abordé ici tous les points complexes de cette règlementation, notamment concernant la nomination de DPO, le registre des données, etc. Je me contente de lister les actions simples que toute entreprise communiquant sur le web doit mettre en place.

 

Aller plus loin :

  • le site web de la CNIL est une mine d’informations avec plein de fiches pratiques et de très documentation très fournie si vous vous sentez d’attaque

Vous souhaitez vous faire accompagner pour mettre en conformité votre site web ? Contactez-moi pour un devis !

Partager cet article :
Laisser un commentaire