Comment mettre son site web en conformité RGPD ? – Les 3 étapes

29 avril 2020

Accueil//Ressources//Blog//DPO//Comment mettre son site web en conformité RGPD ? – Les 3 étapes

COMMENT METTRE SON SITE EN CONFORMITÉ AVEC LE RGPD ?

Véritable vitrine en ligne d’une entreprise, il est désormais impensable de se passer d’un site web tant les enjeux business de ces derniers sont importants.

Mais si ces espaces offrent une visibilité sans pareil aux entreprises et sont si pratiques, il ne faut pas oublier qu’ils sont avant tout destinés aux utilisateurs et que afin de réaliser la plupart de leurs objectifs, notamment marketing, les entreprises ont besoin d’exploiter le plus d’informations possibles sur leur trafic, de traiter des données.

Ainsi, entre tracking, publicité, cookies, politiques de confidentialité & cookies, les sites web sont en première ligne en matière de protection de la vie privée. Ils se doivent ainsi d’être particulièrement soignés et faire l’objet d’une politique de protection des données spécifique, renforcée depuis mai 2018 par la mise en exécution du Règlement Général sur la Protection des données.

Dans cet article, nos experts en droit de la data vous expliquent tout sur les obligations légales et bonnes pratiques qu’il vous faut respecter, les 3 indispensables afin de mettre votre site web en conformité avec le RGPD.

En bonus, recevez un modèle de politique de confidentialité, spécialement rédigé par nos experts pour l’occasion  !

Téléchargez un modèle de politique de confidentialité rédigé par nos partenaires experts en droit de l'IT et de la Data

Télécharger

1) Concevoir sa Politique de Confidentialité

Parce que les données personnelles sont désormais une priorité et intrinsèquement liées à tout individu naviguant sur le web, la prise de conscience de la nécessité de les protéger a parallèlement rendu impératif pour les éditeurs de site la rédaction conforme d’une politique de confidentialité.

Ainsi, pour que votre site web soit respectueux des données personnelles et de la vie privée des internautes, il doit être le plus transparent possible et permettre un accès simple et permanent à des informations qu’il s’engage à respecter.

En effet, l’alimentation de votre site web engendre nécessairement la collecte de données personnelles des visiteurs, par exemple par la collecte de leur identité et leur adresse mail en cas d‘abonnement de leur part.

Il y a donc traitement de données à caractère personnel (potentiellement de données sensibles) qu’il est nécessaire d’encadrer strictement.

La politique de confidentialité – ou Privacy policy – doit donc être rédigée en des termes simples et précis, permettant la compréhension de la pratique du site par tout internaute.

Cette obligation d’information est un des critères phare du RGPD à laquelle vous devez répondre en mentionnant les points suivants :

  • L’identité du responsable de traitement des données et les coordonnées de votre DPO s’il a été désigné
  • La base juridique pertinente justifiant pourquoi les données sont collectées et traitées
  • Le type de données que vous collectez, les raisons (ou finalités) de la collecte et l’exploitation que vous en est faites
  • Les destinataires ou les catégories de destinataires des données (responsable de traitements, sous-traitant, prestataires techniques …)
  • Le transfert ou l’absence de transfert des données au sein ou hors de l’Union européenne
  • La durée de conservation des données
  • L’exercice des droits des personnes concernées (accès – rectification – suppression – opposition – effacement) en mettant à disposition un moyen effectif de les exercer (par mail ou par adresse postale)
  • Le droit d’introduire une réclamation auprès de l’autorité de contrôle (en France, la CNIL)

En respectant ces points clés, vous serez juridiquement protégés et vous instaurez la confiance auprès des visiteurs ce qui ne pourra être que bénéfique pour votre activité.

2) Concevoir sa Politique des Cookies

Les cookies sont le véritable nerf de la guerre en ce qui concerne la protection de la vie privée en ligne.

Ce sont ces petits fichiers qui viennent se déposer sur les ordinateurs des visiteurs qui permettent d’obtenir des informations sur eux. Habitudes, parcours de navigation, panier d’achats, tout est géré à base de cookies.

C’est pourquoi il est indispensable d’y porter une attention particulière et de vous assurer que vous maîtrisez correctement et techniquement leur utilisation.

Ainsi, la première étape dans l’élaboration de votre politique de Cookies sera d’identifier tous les cookies qui vous sont nécessaires et ne conserver que ces derniers. Conserver des cookies qui ne vous sont pas indispensables ne peut que vous compliquer la tâche et ajouter des risques supplémentaires concernant la sécurité des données à caractère personnel de vos visiteurs. Cette phase d’audit est indispensable tant il peut être difficile de garder une vision précise des cookies que vous utilisez.

Il faut bien entendu vérifier vos outils (tels qu’Hubspot, Google Analytics etc.) qui sont susceptibles déposer des cookies sur votre site afin de fonctionner correctement.

Une fois cette première étape effectuée, il est l’heure pour vous de choisir une Cookies Management Platform, aussi appelée CMP. Il s’agit d’une interface permettant à vos visiteurs de configurer l’utilisation faite de leurs cookies sur votre site.

Cela implique de votre part la capacité à configurer l’outil que vous aurez choisi en fonction des cookies que vous utilisez, afin d’en bloquer l’utilisation en fonction des choix de vos visiteurs.

Enfin, une fois vos cookies identifiés et configurés sur votre CMP, il reste à en informer vos visiteurs.

L’ensemble des cookies que vous utilisez doivent être compréhensibles quant à leur notion, leur objet et les conséquences de leur acceptation ou refus de leur dépôt par l’internaute : c’est pourquoi vous devez le définir afin de remplir la condition de clarté des informations transmises.

Aussi, les raisons pour lesquelles votre site y recourt doivent être mentionnées, tout comme le délai de conservation des cookies ; (par défaut, la CNIL préconise une durée de conservation de 13 mois. À l’issue de ce délai, le consentement du visiteur doit de nouveau être recueilli).

Toutes ces informations doivent être compilées sur une page dédiée sur votre site, facilement accessible depuis votre CMP et en pied de page par exemple.

Sachez également que la CNIL renforce sa politique en matière de cookies. De grands changements sont en cours et les mesures prises notamment en ce qui concerne la gestion « technique » des cookies s’avèrent bien plus exigeantes.

À partir de là, un délai de 6 mois vous sera accordé pour vous mettre en conformité, sous le regard attentif de votre Délégué à la Protection des données à caractère personnel.

Vous souhaitez recevoir les informations & actualités rédigées par nos experts en droit de la data ?

S'inscrire à la newsletter

3) Concevoir ses Mentions Légales

Imposée initialement par la loi Informatique et Libertés, les mentions légales sont une des obligations légales majeures, que chaque site doit contenir.

Comme leur nom l’indique, les mentions légales sont obligatoires. En conséquence, votre site doit informer les visiteurs de différentes informations aisément et librement accessibles, tenant aux éléments suivants :

  • L’identification précise des personnes physiques agissant à titre professionnel
  •  Le nom du directeur de la publication et du responsable de la rédaction de votre site
  • L’identification de l’hébergeur de votre site
  • En cas d’activité commerciale, l’identification de l’activité ; passant par le numéro d’inscription au registre du commerce et des sociétés, le numéro individuel d’identification fiscale
  • Les Conditions générales de vente précises

Si votre site est non-professionnel, vous n’êtes pas tenu de mentionner votre identité, mais vous devez impérativement communiquer à l’hébergeur de votre site les éléments permettant de vous identifier. Ces informations sont protégées par le secret professionnel.

Les seules mentions obligatoires sont l’identification et les mentions légales de l’hébergeur de votre site internet.

Ces mentions pourront, à l’image de la politique de confidentialité et la politique de cookies, faire l’objet d’une page spécifique sur votre site, facilement accessible en pied de page par exemple.

Les 3 étapes que nous avons abordées dans cet article sont indispensables à l’élaboration de tout site web et doivent être prises en compte dès la conception de votre site.

En ce qui concerne les sites existants, c’est à vous de prioriser les différentes tâches en fonction des objectifs poursuivis par votre site.

Par exemple, si votre site implique une très grande utilisation des cookies à des fins marketing, de publicité, de personnalisation de la navigation utilisateur, il sera peut-être plus judicieux de commencer par réaliser votre politique de cookies globale en premier lieu.

Il n’y a pas de méthodologie ou d’ordre précis à respecter, c’est à vous de mettre vos enjeux en balance pour qu’au final, votre site soit le plus rapidement et le plus pertinemment possible en conformité avec les principes du RGPD.

Sources pour pousser le sujet :

Politique de confidentialité

https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228

 

Cookies 

https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228

Lignes Directrices du 19 juillet 2019 (https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337&categorieLien=id)

Projet de Recommandation de la CNIL Février 2020 (https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-son-projet-de-recommandation-cookies-et-autres-traceurs)

 

Mentions Légales

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164

https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228

 

À lire aussi