Site Internet et RGPD : que faire ?

RGPD par-ci, RGPD par là … C’est un sujet qui revient beaucoup et qui touche tous les propriétaires de site internet aujourd’hui. Cependant, les informations ne sont pas toujours claires et précises !

Tentons de synthétiser tout ceci et de lister les actions à mettre en place … rapidement.


Explications synthétiques de la RGPD

L’acronyme RGPD provient de Règlement Général pour la Protection des Données. C’est une réglementation européenne qui sera effective le 25 Mai 2018. La CNIL, la Commission Nationale de l’Informatique et des Libertés, sera chargée de faire respecter la RGPD en France.

Intérêts de ce Règlement ?

Chaque internaute aura le contrôle et la protection de ses données personnelles sur internet.

Suis-je concerné par la RGPD avec mon site ?

Le RGPD concerne toute personne, physique ou morale, qui utilise des données personnelles de citoyens Européens.

Pour faire simple, vous êtes concerné :

  • Si vous avez des formulaires (contact ou autre)
  • Si vous avez des inscriptions newsletters
  • Si vous vendez des produits
  • Si vous avez des commentaires sur votre site
  • Si vous avez des CGV/CGU sur votre site
  • Si vous utilisez des données de localisation des visiteurs ou de connexion (GPS, IP …)

Autant dire 95% des sites internet actuels !

 


A. Que faire concrètement sur mon site pour être conforme à la RGPD ?

 

Voici 7 règles concrètes à respecter sur votre site pour être en phase avec la fameuse RGPD.

1. Créer une page de confidentialité

Cette page de confidentialité doit être facilement accessible depuis n’importe quelle page de votre site. (le footer est une bonne idée)

Sur page de confidentialité, indiquez clairement :

  • Vos coordonnées. Exemples : Adresse de la société, email de contact , Tel …
  • L’éditeur du site, l’ hébergeur, et la personne morale ou physique qui est responsable de la maintenance.
  • Quel type de données collectez-vous sur votre site internet (formulaires, commandes, newsletters… ). Exemples : nom, prénom, email, téléphone, adresse postale, adresse IP, localisation GPS …
  • Pourquoi collectez-vous ces données. Exemples : communication pour vos newsletters, pour les livraisons, pour la facturation, …
  • Combien de temps vous allez stocker les données. Exemples : vous conservez les données webmarketing 3 ans maximum, et les données comptables (facture de commande etc …) 6 ans maximum.
  • Les mesures de sécurité mises en place pour assurer la protection des données des visiteurs, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données.

2. Pour tous les formulaires

Pour vos formulaires, quels qu’ils soient (cases à remplir avec nom, email ou tout autre donnée personnelle) :

  • Rajoutez une case à cocher supplémentaire indiquant que l’utilisateur est conscient de partager ses données
  • Expliquez la raison d’utilisation de ses données
  • Proposez aux utilisateurs de se désinscrire ou d’accéder à leurs données

 

Exemple :

3. Gestion des commentaires

Lorsqu’un visiteur veut laisser un commentaire, même principe ! Il doit cocher une case pour valider qu’il est d’accord pour laisser ses données. Utilisez un message du type « j’accepte les règles de confidentialité de ce site ». Case à cocher au moment où il valide son commentaire par exemple.

Exemple :

4. Mettre à jour les plug-ins et les extensions (wordpress, Prestashop …)

Forcément, ça bouge sur les internets ! Jetez un œil régulièrement à vos plug-ins et extensions afin de les mettre à jour !

Vérifiez bien que ces extensions sont conformes à la RGPD ou le seront prochainement !

 

5. Processus d’effacement de données :

Alors là, ça se complique un peu …

Les utilisateurs devront pouvoir :

  • Retirer leur consentement d’utilisation des données
  • Faire une demande pour effacer leurs données
  • Accéder à leurs données
  • Modifier leurs données
  • Transférer leurs données vers un tiers* (droit à la portabilité)

Pour cela, nous vous conseillons de créer une page spécifique sur votre site, pour que les utilisateurs puissent faire une demande.

Dans un premier temps, vous pouvez mettre en place une adresse email de contact pour effectuer manuellement la requête de l’utilisateur. Et quand les demandes se feront plus fréquentes, il sera toujours temps de prendre des outils automatiques ! Mais pas de panique, les extensions et plug-ins dédiés ne devraient pas tarder à voir le jour.

Évidemment, une fois que l’utilisateur a fait sa demande. Vous devrez la respecter …

*Concernant le transfert de données, vous devez fournir un fichier lisible et exploitable. Le format CSV est surement le plus approprié …

 

6. Blinder votre site et vos données : sécurité avant tout !

Si ce n’est pas déjà fait, mettez en place des mesures et techniques garantissant un haut niveau de sécurité des données de vos utilisateurs. Chiffrement des données, mise en place de pseudo, cryptage des données …

Si par malheur, vous avez une faille de sécurité et des données seraient potentiellement dérobées, il faut impérativement informer la CNIL dans les 72 heures. Il faudra également prévenir les utilisateurs concernés, si la faille venait à compromettre leurs données.

7. Mettre en place un registre de traitement des données

Il vous faut créer un registre de traitement des données et nommer la personne en charge de ce dernier. À vous de définir le type de registre que vous souhaitez mettre en place (fichier Excel, progiciel …)

Que doit contenir ce registre ?

 

 

Données issues du site de la CNIL

Retrouvez également un exemple de registre à compléter sur le site de la CNIL : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

Cas de dispense ou de simplification de ce Registre (Ouf !) :

Si vous êtes un petit ecommerce, ou un site à trafic moyen ou faible, inutile de faire un registre ultra poussé !

Si vous exploitez des données ou de la data à plus grande échelle, c’est obligatoire !

 


B. Site ecommerce (ou eshop) et RGPD, que faire de plus ?

Si vous vendez sur internet, des règles complémentaires sont à respecter. Et des actions sont également à mettre en place. Voici les 2 principales :

 

1. Les avis clients

La RGPD impose le consentement d’utilisation des données de l’utilisateur, même pour les avis !

Vous avez donc deux possibilités :

  • soit vous ajoutez une case à cocher lors de la validation de l’avis ; « j’accepte la politique de confidentialité en sus d’émettre mon avis »
  • soit vous acceptez les avis clients qui ont passé commande sur votre site (et qui ont donc, de fait, validé votre politique de confidentialité)

2. La politique de confidentialité

Elle doit être visible de façon claire lors des commandes. (voir détails en début d’article)

Préparez donc une case à cocher « j’accepte la politique de confidentialité avant ma commande »

 

 

C. Conclusion RGPD : site internet et boutique en ligne

Vous l’aurez compris, la RGPD risque de modifier un paquet de sites web ! Mais on devra respecter les règles, c’est ainsi !

Pour être en règle, il faut bien retenir une chose : mettez-vous à la place de l’internaute sur votre site. Ce dernier doit être au courant et accepter que ses données soient utilisées !

Alors, oui il y a encore du flou dans cette RGPD, mais le fait de mettre en place dès maintenant ces actions, qui pour certaines, sont relativement simples et rapides, prouveront que vous êtes de bonne foi 😉