News /

RGPD : Votre site est-il prêt pour le 25 mai 2018 ?

RGPD : Votre site est-il prêt pour le 25 mai 2018 ?

La RGPD entre en vigueur le 25 mai 2018. Avez-vous pensé à faire le nécessaire pour être en conformité ? Voici une synthèse des principaux points à ne pas négliger pour votre site web.

Qu’est-ce que le RGPD ?

Au travers de l’application du nouveau Règlement Général sur la Protection des Données personnelles (RGPD), l’Europe souhaite resserrer le traitement et la circulation des données à caractère personnel. Ce texte vient remplacer la Loi informatique et libertés de 1978 en renforçant le pouvoir de la CNIL, les droits des individus et les sanctions encourues (jusqu’à 20 000 000 € d’amende ou 4% du chiffre d’affaires mondial). Ce texte couvre l’ensemble des résidents de l’Union européenne.

Quels sont les éléments de mon site web concernés par ce nouveau règlement ?

Pour rappel, une donnée personnelle est une information identifiant directement ou indirectement une personne physique. Il peut s’agir d’un nom, d’un numéro de téléphone, d’un identifiant de connexion, d’une adresse, d’une date de naissance, d’une adresse IP, d’un email…

Formulaires

Vos formulaires, qu’ils soient d’inscription, de contact, pour votre newsletter, de demande de devis… doivent recueillir le consentement de l’internaute à l’utilisation des données personnelles qu’il transmet via le formulaire. Le consentement nécessite un acte positif clair de l’internaute. Remplir un formulaire n’est pas suffisant, ce n’est pas considéré comme un consentement explicite :

Est considéré comme « consentement » de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. (Article 4 Alinéa 11)

Il faut donc que tous vos formulaires comportent un opt-in actif, c’est-à-dire une case à cocher (non cochée par défaut !) obligatoire. Le consentement étant spécifique (lié à une finalité précise et unique), vous devez également, pour chaque utilisation de donnée différente pour un même formulaire (un envoi de demande de devis et une inscription à la newsletter), ajouter une case à cocher différente. Un lien vers vos mentions légales ou une page regroupant toutes les informations concernant le traitement des données devrait être également présent.

Puisque vous avez l’obligation de démontrer que la personne a bien donné son consentement pour l’utilisation de ses données personnelles, vous devez conserver dans une base de donnée une trace de cet envoi, avec les informations sur la personne qui a consenti, la date du consentement ainsi que ce à quoi la personne a consenti.

Bases de données existantes

Pour vos bases de donnée actuelles, vous devez vous assurer que vous possédez bien les consentements conformes RGPD (horodatage…). Si ce n’est pas le cas, vous devez demander un consentement à toutes les personnes concernées par ces données.

Attention : Vous devrez supprimer les données personnelles des personnes inactives depuis 3 ans de votre base de données. Une preuve de cette exclusion doit être conservée.

Cookies

Tous les cookies qui traitent des données personnelles identifiables sont soumis au RGPD. Au quotidien, cela signifie que la plupart des cookies, comme ceux de Google analytics, de publicités, de CRM, de chatbots ou des services proposées dans votre site web  y sont inclus.

Tout comme les formulaires, le consentement doit être explicite, vous devez donc laisser la possibilité à vos visiteurs d’accepter ou de refuser la présence de ces cookies. En cas de réponse négative, ces cookies doivent donc être désactivés. Vous devez également proposer un lien vers une page détaillant chacun de ces cookies. Le consentement doit être donné avant tout traitement autre que celui strictement nécessaire, également appelé « consentement préalable ».

Attention : Vous devrez re-demander le consentement des visiteurs de votre site web tous les 13 mois.

Mentions légales

Concernant les mentions légales, vous vous devez d’être le plus transparent possible quant aux traitements des données personnelles. Vos mentions légales doivent informer le visiteur de la récolte de ces données, en précisant la finalité (le but), leur utilisation, le temps de conservation ainsi que la méthode pour supprimer tout ce qui le concerne (personne-contact par exemple). Vous devez également lui donner des informations concernant :

  •        l’identité du Responsable de Traitement
  •        la finalité des traitements
  •        les personnes (sous-traitants par exemple) pouvant y accéder
  •        le type de données collectées
  •        leur durée de conservation
  •        la procédure pour exercer son droit d’accès, de rectification et d’effacement.

Sécurité du site web

Selon la CNIL :

Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée (…), y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).
(Article 5 Alinéa 1)

Nous vous recommandons donc :

  •  que votre site web soit en mode sécurisé HTTPS, ce qui permet de sécuriser la connexion entre le client et le serveur en chiffrant les données qui transitent entre votre navigateur et le serveur identifié,
  •   que votre site web soit mis à jour régulièrement avec les dernières versions de votre CMS et modules utilisés.

Bien entendu, cet article n’étant pas exhaustif, nous vous conseillons de demander un diagnostic RGPD à nos équipes afin de recenser toutes les modifications nécessaires à votre site web.

 

Pour en savoir plus :