Logo myWebProject
MENU
Logo myWebProject
ARTICLE N° 39 #Réglementation

Comment rendre mon site conforme à la RGPD
(Réglementation Générale sur la Protection des Données)

ARTICLE PRECEDENT
LISTE ARTICLES
ESSENTIEL DE L'ARTICLE
Afin d'être conforme à la nouvelle réglementation relative à la RGPD, voici la liste des actions à mettre en oeuvre de manière générale sur les sites internet. Toutes ces actions ne concernent pas forcément votre projet, pour connaître celles qui doivent être mises en place, prenez contact avec votre agence professionnelle.

Les exigences RGPD

  • Protection des données personnelles des utilisateurs
  • Procédure pour que les internautes expriment leur droits
  • Déclarer l'éditeur du site
  • Informer de l'existence des cookies traceurs et obtenir le consentement
  • Sécuriser les échanges de données et les transactions
  • Sécuriser le stockage de données
  • Informer des modalités de gestion de leurs données personnelles
    • Règles de protection des données
    • Règles de conservation
    • Process de modification
    • Process de suppression
  • Cas de l'inscription à la newsletter : informer clairement sur les modalités de désinscription

Plus globalement voilà les questions qu'il faut se poser :

  • Le site traite-t-il des données personnelles ?
  • Le consentement d'enregistrement des données personnelles est-il correctement exprimés et demandé ?
  • Le site dispose-t-il d'une politique de confidentialité, est-elle facilement accessible et compréhensible ?

Les actions concrètes de mises en conformités RGPD pour votre site Internet

Mise en oeuvre d 'une Politique de confidentialité

Mettre en place un écran Politique de confidentialité pour indiquer à vos internautes de manière claire et précise:

  • Quels types de données personnelles vous enregistrez sur votre site
  • Les règles de conservation de ces données personnelles (Où, comment et combien de temps)
  • La procédure permettant à vos utilisateurs de rectifier et/ou de supprimer leurs données et le délai de traitement des demandes de rectification et suppression
  • Qui est le responsable du traitement et de la gestion des données personnelles
  • Une cartographie (un récapitulatif) des données enregistrées sur votre site

Sécurisation du transfert de données entre l'utilisateur et le serveur web

Afin de sécuriser au maximum le transfert des données entre le navigateur des Utilisateurs et le serveur du site, un certificat de sécurité SLL (Secure Socket Layer) peut être implémenté. Un site sécurisé par un certificat SSL s'affiche en HTTPS au lieu de HTTP.

La technologie SSL chiffre et protège les données transmises à l'aide du protocole HTTPS. Le SSL garantit aux visiteurs de votre site web que leurs données ne seront pas interceptées de manière frauduleuse mais pas que, il comporte de nombreux autres avantages.

Pour connaître les différences et les avantages du HTTPS reportez-vous à l'article 39 : « Quels sont les avantages du HTTPS ».

Mise à jour des formulaires de collecte d' information pour obtenir les demandes de consentement

On parle ici des formulaires qui permettent d'envoyer des informations. (formulaire de contact, formulaire de création de compte, de connexion, de devis, etc.).

Pour la demande de consentement, il est préconisé d'ajouter une case à cocher associée à une mention du type (pour le formulaire de contact par exemple) : « En soumettant ce formulaire, j’accepte que les informations saisies soient enregistrées, pour connaître et exercer vos droits sur ces données, vous pouvez consulter notre Politique de Confidentialité ».

Il est demandé de préciser la finalité de l'enregistrement des données, cela peut également être indiqué dans la demande de consentement, par exemple : « En soumettant ce formulaire, j’accepte que les informations saisies soient enregistrées et exploitées dans le cadre de ma demande, pour connaître et exercer vos droits sur ces données, vous pouvez consulter notre Politique de Confidentialité ».

Tant que cette case n'est pas cochée par l'utilisateur, le bouton d'envoi du formulaire ne devra pas être accessible et par conséquent l'utilisateur ne pourra pas envoyer ses informations.

Bien entendu la politique de confidentialité devra expliquer clairement comment sont gérées les données enregistrées via le formulaire :

  • Les règles pour la protection des données
  • Les règles de conservation
  • Le process de modification
  • Le process de suppression

Compte client

Pour les sites Internet qui gèrent des comptes clients, le formulaire de création de compte doit être conforme à la mise en place des éléments cités dans le paragraphe précédent.

Lorsque le client se connecte, il doit pouvoir facilement et rapidement modifier les informations liées à son compte mais il doit également pouvoir supprimer son compte de manière très simple.

Newsletter

Vous disposez d'un formulaire d'enregistrement d'adresses emails et vous faites du mailing sur cette base de données d'emails, vous devez impérativement et de manière claire et précise indiquer :

  • Les modalités de gestion de l'adresse email (comme pour les autres données personnelles : protection, conservation, modification, suppression)
  • La finalité de l'utilisation de l'adresse email (pourquoi allez-vous l'utiliser, quel type de mailing)
  • Votre assurance à ne pas communiquer l'adresse email collectée à des tiers, ou sinon, préciser à qui, dans quel but, et demander le consentement de manière claire
  • Vos newsletters doivent comporter systématiquement un lien de désinscription fonctionnel

Procédure de gestion des Cookies

Les internautes doivent être informés et donner leur consentement préalablement à l'insertion de traceurs. Ils doivent disposer d'une possibilité de choisir de ne pas être tracés lorsqu'ils visitent un site ou utilisent une application. Les éditeurs ont donc l'obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement.

Une procédure doit donc être mise en place pour recueillir le consentement de l'utilisateur quant à cette insertion. L'utilisation la plus commune étant les cookies de solutions de mesure d'audience (Google analytics).

Mentions légales

Il est également nécessaire de mettre à jour les mentions légales dans le but de préciser que votre site répond aux critères de la RGPD et que vous disposez d'une politique de confidentialité.

Il faudra également ajouter un lien vers cette politique de confidentialité.

Sanctions liées au non-respect de la RGPD

Retrouvez les sanctions liées au non-respect de la RGPD très rapidement dans un prochain article.

Conclusion

Si vous répondez correctement à tous les points énoncez ici, vous vous donnez de grandes chances d'être conforme à la réglementation RGPD. Vous pouvez consolider votre action par un audit de conformité.

N'hésitez pas me contacter pour cela.

RGPD : Règlement général sur la protection des données - myWebProject

ESSENTIEL

  • Rédiger et mettre en ligne une politique de confidentialité
  • Sécuriser le transfert de données entre les utilisateurs et le serveur web
  • Mettre à jour les formulaires de collecte d'information pour obtenir les demandes de consentement
  • Répondre aux exigences liées aux comptes utilisateurs
  • Répondre aux exigences liées au processus d'envoi de newsletter
  • Rédiger et mettre en ligne une procédure de gestion des Cookies (traceurs)
  • Mettre à jour les mentions légales du site

RECOMMANDATIONS

  • Faite un audit préalable de votre site pour lister les actions à mettre en oeuvre
  • Faite un audit à posterio pour être certain de la conformité à la réglementation

LIENS UTILES

Solution de mesure d'audience : Google analytics
https://analytics.google.com
Formulaire de déclaration CNIL
https://www.cnil.fr/fr/declarer-un-fichier
Article 38 : quels sont les avantages du protocole HTTPS
/fr/article/38/quels-sont-les-avantages-du-protocole-https.html
Cet article m'a aidé
Cet article ne m'a pas aidé