Un site internet conforme au RGPD

Valorisez-le-RGPD-sur-vot

Le RGPD ou Règlement Général de la Protection des Données, un Règlement de l’Union Européenne entré en vigueur depuis le 25 mai 2018 !

Il concerne toutes organisations entreprises, collectivités associations, professions libérales qui collectent et traitent des données personnelles. Nous avons déjà évoqué ce règlement, cœur de nos métiers chez SYSGUARD dans des articles précédents.

Parmi les questions à se poser pour toutes organisations et notamment celles qui ont un site internet qu’il soit vitrine ou e-commerce : quels contenus doivent figurer sur mon site pour être conforme au RGPD. Quels process dois-je mettre en place pour sécuriser les données collectées via mon site. Bien entendu, ces questions s’adressent également çà ceux qui ont un projet de création de site web.

Avant d’aborder ces deux question, nous ferons quelques rappels sur ce désormais célèbre règlement.

Quelques rappels sur le RGPD?

On peut dire que ce règlement vient sérieusement perturber de nombreuses organisations de par ses objectifs. En effet il a pour but principal de redonner à toutes personnes physiques le contrôle sur ses données à caractère personnel.

Qu’entend-t-on par données à caractères personnelles ?  

Ce sont toutes les informations qui permettent d’identifier directement ou indirectement une personne physique. A titre d’exemples, on peut citer le nom, le prénom, une adresse mail, toutes informations démographiques (date de naissance, âge…), géographique (adresse, lieu de travail…).

Sans oublier les données que nous laissons via le web : adresse IP, cookies, toutes actions menées sur un site web (visite de pages, clics), informations divulguées sur les réseaux sociaux.

Qui est concerné ?

Dans notre introduction, nous précisons qu’il concerne toutes organisations (entreprises ; collectivités, associations, professions libérales) qui collectent et traitent de la donnée à caractère personnel. D’un point de géographique, tous les États membres de l’Union Européenne sont concernées. De même, une entreprise dont le siège social est situé hors de l’Europe est également concernée. Exemple : les GAFAM !

Les objectifs du RGPD

Il convient de rappeler que les objectifs du RGPD reposent sur 3 volets :

  • Un renforcement du consentement de la personne : ainsi, toutes personnes collectant et traitant des données à caractères personnelles (DCP) doivent informer de manière claire, précise, non équivoque que l’utilisateur d’un site consent à partager ses données personnelles pour des finalités bien définies.
  • Une obligation forte de sécuriser les DCP collectées. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
  • Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.

Les sanctions en cas de manquement

Le législateur Européen a prévu des amendes administratives qui, peuvent atteindre 2 % à 4 % du chiffre d’affaires mondial et jusqu’à 20 millions d’euros pour les infractions les plus graves.

Je rappelle qu’en France, la CNIL (Commission Nationale Informatique et libertés), instituée en 1978, est l’organisation compétente pour contrôler et sanctionner en cas de manquement.

Qu’en est-il pour les créateurs de site web et leurs clients ?

En tant que créateurs de sites web, toutes entreprises, sont des sous-traitants. En effet, ces entités travaillent au nom et pour le compte d’un client final. Leur relation ne s’arrête pas à la simple création d’un site web. Dans la pratique, la relation se prolongent dans la durée avec la maintenance évolutive et la sécurisation du site réalisé. De plus, avec les process installés pour contacter leur client, elles participent à la collecte de données pour son compte. Ainsi, doit être mis en place une politique de gestion des données en adéquation avec le RGPD.

En amont, dans le contrat qui vous liera avec votre client, des clauses quant au sort des données collectées et du RGPD devront être insérées :

  • Le nom et les coordonnées de votre Délégué à la Protection des Données (DPO)
  • Les processus utilisés pour récolter, stocker et exploiter les données collectées
  • Les moyens mises en œuvre pour sécuriser ces données.
  • Vos éventuelles relations à d’autres sous-traitants, susceptible d’exploiter ces mêmes données.
  • Les procédure mises en place pour notifier les failles de sécurité, et les processus de rectification ou suppression des données à la demande des utilisateurs (Registre de violations de données, plan de continuité d’activité, plan de reprise d’activité etc).

Désormais, il vaut mieux être en conformité face au RGPD. Cela valorisera le caractère sérieux de votre organisation vis-à-vis des clients. Maintenant ces généralités sur le RGPD exposées, intéressons-nous aux contenus obligatoires pour être en conformité au RGPD.

Quels contenus doivent figurer sur mon site pour être conforme au RGPD ?

Trois formalités essentielles doivent apparaître sur votre site web à savoir, les mentions légales, la politique de confidentialité notamment pour les sites e-commerce. En parallèle, vous devez mettre en place des méthodes et de la documentation pour expliquer les traitements de DCP au sein de votre organisation.

Les mentions légales

Combien de sites internet en France ne contiennent pas de mentions légales ? Il y a 10 ans, on estimait le pourcentage à 23%. Ce chiffre a probablement évolué de manière favorable. Cependant il reste de nombreux sites sans ces mentions. C’est un constat par exemple dans le monde de l’édition. Exemple : Je veux faire éditer mon second recueil de poésie et j’ai relevé que beaucoup d’éditeurs n’ont pas de mentions légales ni politique de confidentialité. Alors qu’ils vendent des livres au nom et pour le compte des auteurs pour lesquels ils travaillent. Certes, ils ne sont pas les seuls ! ON relève aussi d »autres entreprises, des municipalités…

Tout site internet se doit d’avoir des mentions légales dans lesquelles on doit trouver :

  • L’identité.
  • Les coordonnées.
  • Les mentions relatives à la propriété intellectuelle.
  • Les mentions relatives à l’hébergement du site.

Il existe également d’autre mentions obligatoires selon la nature et la thématique : site d’information, site concernant une profession règlementée.

Pour en savoir plus, je vous invite à consulter ce lien :  https://www.economie.gouv.fr/entreprises/site-internet-mentions-obligatoires

La politique de confidentialité

C’est une page plus « technique » d’un point de vue juridique. Elle est indispensable. Doit figurer en son sein :

  • Vos coordonnées, ainsi que l’éditeur du site, et son hébergeur.
  • Quels types de données sont collectés lors de l’inscription ou de la commande sur votre site web
  • Quelles sont la ou les finalités de la collecte : communication par newsletters, facturation, suivi du comportement de l’utilisateur sur le site…
  • La durée de stockage de ces données : vous pouvez garder les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
  • Les mesures de sécurité que vous avez mises en place
  • L’exercice par l’internaute de ces droits : comment il peut exercer leur droit de modification ou de suppression de ces données.

Ce sont des règles que l’on retrouve dans les articles 5 et suivants du RGPD.

Les conditions générales de vente

Elles concernent les site e-commerce. Vous devez indiquer un ensemble d’informations qui reprennent tout le process d’une vente :

  • Les informations collectés.
  • Tout ce qui concernent les produits, et leurs éventuelles règlementations spécifiques.
  • Les conditions de paiement.
  • La gestion des réclamations
  • Le SAV,
  • Des informations relatives au Code la Consommation.
  • Les conditions de résiliation et de résolution de la vente (Et oui acheter sur Internet, c’est souscrire un contrat de vente).
  • La gestion des litiges (Recherche d’accords amiables, juridiction compétentes…).

C’est un travail fastidieux. Les agences en pratique savent faire mais vous pouvez vous faire accompagner soit par un juriste, soit par un avocat.

Autres process

Nombreux sont les sites qui mettent en place des formulaires, notamment pour proposer l’inscription à une newsletter ou le téléchargement de documents. Soit un point de contact, où vos utilisateurs vous partagent des données personnelles

Il est donc recommandé d’ajouter une mention de transparence dans laquelle vous spécifiez la finalité de la collecte de données, précisez les droits inhérents propres aux utilisateurs avec un lien vers votre politique de confidentialité.

Attention ! Au cas où vous prévoyez de partager des données avec des partenaires pour faire de la prospection, l’utilisateur doit donner son consentement pour chaque usage. Dans ce cas de figure, un formulaire devrait être accompagné de la mention de transparence ainsi que des cases à cocher en fonction du nombre de consentements à donner.

Enfin lorsque vous voulez collecter des données, demandez lesquelles sont pertinentes et collecter le strict minimum

Tout créateur de site web se doit aussi de vérifier les extensions utilisées pour rendre les sites de leur clients fonctionnels car certaines fonctionnalités sont amenées à collecter des données. De plus, il faut prendre conscience que de nombreuses extensions (Notamment si vous utilisez wordpress), sont américaines. Vérifiez si des transferts de données ont lieu. Quelles sont les données susceptibles d’être transférées. En conséquence, si l’extension ou plug in ne respecte pas le RGPD, autant trouver une alternative !

Particularités pour les sites e-commerce

Pour les sites e-commerce, la mise en œuvre du RGPD entraîne quelques spécificités pour être en conformité !

Il est recommandé de mettre un lien explicite vers votre Politique de Confidentialité dans les formulaires de commande.

On connait l’importance et l’influence des avis clients sur le consommateur. Pour être en conformité face au RGPD, il est préférable de publier que les avis des clients qui ont acheté. En acceptant la politique de confidentialité, les conditions générales de vente, consommateur donne son consentement de manière claire, précise et univoque.

Comment se positionner quant aux abandons de paniers ? Les agences ou webmasters peuvent ajouter un plug in qui permet de récupérer la personne qui n’a pas terminée de son acte d’achat. Or, cela ne veut pas dire que la personne donne son consentement. Sachant qu’elle n’accepte pas les conditions générales de vente ni la politique de confidentialité.

Il existe une solution qui résout temporairement ce problème : rajouter un petit texte invitant l’utilisateur à consulter la Politique de Confidentialité, juste en-dessous du champ où il doit laisser son adresse mail par exemple.

Enfin, il faut instaurer un registre de traitement des DCP collectées. Ce registre devra être mis à jour perpétuellement. Également toute la politique mise en place pour la protection des données devra être documentée.

Comment sécuriser les données collectées et traitées

La sécurisation des systèmes informatiques, des sites et des données est aujourd’hui un enjeu capital. Cela se justifie par le contexte politico – économique actuel, l’augmentation exponentielle des cyberattaques avec violation de données. Désormais, plus personne ne peut dire, je n’intéresse pas la cybercriminalité car je suis trop petit. Au contraire, les TPE, PME, associations sont des cibles potentielles. Les pirates ont conscience qu’elles sont moins protégées et donc plus vulnérables.

Autant prévoir un maximum de processus de sécurité tels que :

  • Un process d’effacement ou de modification de données.
    • Exemples :
      • Créer une page spécifique dédiée à cette procédure sur votre site, contenant un formulaire de demande précis.
      • Insérer un lien de désinscription dans vos newsletters
  • Des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la données, pseudonymisation , Solutions anti spam, anti phishing…

Si un incident entrainant une violation ou une perte de données arrivent, toutes organisation a 72h pour déclarer l’incident à la CNIL. De plus, elle devra informer les utilisateurs si la violation est susceptible de créer des risques élevés pour ses droits et libertés. C’est ce qu’a fait par exemple France Travail.

Pour conclure

Les entreprises, ainsi que les agences de création de sites internet, qui, adaptent leurs pratiques au RGPD bénéficient désormais d’une véritable image d’expert, et d’une forte crédibilité. En insérant les textes règlementaires, les utilisateurs sont rassurés. Ainsi, elles créent une véritable relation de confiance avec leurs interlocuteurs.

Le RGPD est une opportunité pour repenser sa stratégie marketing en laissant davantage de libertés à vos utilisateurs dans leurs choix.

Chez SYSGUARD, nous faisons des sites internet aussi bien vitrine et e-commerce. Nous prenons évidemment en considération le RGPD. Sans oublier la sécurisation de vos données. Nous vous accompagnons soit dans l’intégralité de votre projet, soit pour la partie relative au RGPD (Rédaction des mentions légales, de la politique de confidentialité ou vos conditions générales de vente. Un besoin, contactez-nous.

Mettre son site web en conformité avec le RGPD by SYSGUARD

0 commentaires

Ecrit par Stéphane Rondelot

Juriste de formation, je suis expert en droit et en communication. Depuis plus de 20 ans, je forme les entreprises et les personnes en phase de création de société sur le droit des sociétés, l'économie et la communication. Passionné de nouvelles technologies, je me suis intéressé très tôt au droit de l'internet et bien entendu au RGPD.

Publié le 6 mai 2024