Comment rendre son site conforme au RGPD ?

Tout propriétaire de site internet se doit de connaître cette nouvelle réglementation européenne qui a pour but d'assurer à chaque individu le contrôle et la protection des données à caractère personnel qu’il partage lors de ses navigations sur la toile. Cotinga vous donne les clés pour faire les ajustements nécessaires afin de s'y conformer !

Concrètement, que comprend cette législation ?

Votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.

Voici les trois principes de bases importants à prendre en compte autour desquels tourne le RGPD :

1. L’amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel. Que ce soit via des formulaires, ou bien vis-à-vis des cookies, le visiteur doit être informé qu’il partage ses données, et savoir explicitement à quelles fins.
2. La traçabilité et la haute sécurité des données des utilisateurs. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
3. Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.

Notez que le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle. En clair, la législation se place du point de vue de l’internaute et non de votre siège social : si vous traitez des données d’un individu résidant dans l’un des 28 membres de l’UE, vous êtes concerné.

Sachez également que le RGPD s’applique aux données internes aux entreprises comme celles que vous pouvez récolter sur vos employés, dans des fichiers du personnel, par exemple.

Que devez-vous changer sur votre site pour être en règle ?

Allez, c’est parti on vous dit quoi revoir sur votre site afin de ne pas se mettre la CNIL à dos...

1. Mettre à jour ses conditions d’utilisation et sa politique de confidentialité

Même si cela devait déjà être le cas avant l’arrivée du RGPD, il faut désormais se pencher sérieusement sur deux éléments clés : la politique de confidentialité de votre site, et pour ceux ayant un site e-commerce, les conditions générales d’utilisation et de vente.

2. Instaurer un processus de sécurité des données bien ficelé

Il est indispensable de protéger les données détenues contre toute faille de sécurité, mais aussi en permettant aux individus d’avoir un droit de regard dessus en créant un process d’effacement ou de modification des données notamment.

Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Interdit à présent de garder indéfiniment une donnée client ou utilisateur sans l’utiliser, juste “au cas où”.

Cette nouvelle réglementation prévoit aussi que vous devez informer tout utilisateur, avant qu’il ne vous partage ses données, qu’il est en droit de retirer à tout moment son consentement et ce facilement. Vous pouvez alors créer une page spécifique sur votre site détaillant la procédure simple pour permettre à vos utilisateurs de retirer leur consentement, accéder à leurs données, les modifier, demander à les effacer ou encore à les transférer vers un tiers (appelé le "droit à la portabilité").

Enfin, vous devez vous préparer à une éventuelle faille de sécurité. Pour cela, il convient de prendre en compte la mise en place de mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la data, pseudonymisation, cryptage… Ainsi qu'informer la CNIL dans les 72 heures en cas de faille de sécurité.

3. Mettre en place un registre interne de traitement des données

Avant le RGPD, chaque entreprise devait signaler par le biais d’un système de déclaration ou d’autorisation, le fait de traiter des données utilisateurs à caractère personnel. D'ici vendredi, ce ne sera plus nécessaire car il faudra à présent tenir un registre de traitement des données.

En fait il s'agit de mettre en place, en interne, une documentation complète qui atteste que vous êtes en conformité avec le RGPD, sous forme de cartographie des données. Pour créer ce document qui doit être perpétuellement tenu à jour, inspirez-vous du modèle de registre que la CNIL a diffusé sur son site web, si vous agissez en qualité de responsable de traitement.

4. Spécificités des sites e-commerce

Parce qu’un site-vitrine ou un blog et un site e-commerce ne brassent pas le même types de données, voici un point spécial pour les propriétaires de sites marchands quant aux pratiques à ne pas négliger.

Premièrement, mettre en place les points mentionnés précédemment.

Deuxièmement, adapter vos CGV et les apposer sur une page dédiée, dans le pied de page de votre site.

Troisièmement, votre Politique de Confidentialité devra apparaître clairement dans les formulaires de commande. N'oubliez pas de rajouter la fameuse case à cocher “J’ai lu et j’accepte la politique de confidentialité de ce site”.

Dernier point : vos avis clients. Eux aussi se doivent d'être en conformité avec la législation. Désormais avec le RGPD, ces éléments devront récolter au préalable le consentement de l’utilisateur pour les publier.

Pour vous assurer que vous êtes en règle de ce point de vue, c’est simple : il vous suffit de n’autoriser leur publication que lorsque le visiteur a acheté le produit (et a donc préalablement accepté votre politique de confidentialité, et donné son consentement).

Enfin, pensez également à votre abandon de panier qui n'échappe pas à la règle et doit totalement être conforme au RGPD… Pour cela, rajoutez un texte invitant l’utilisateur à consulter votre Politique de Confidentialité, juste en dessous du champ où il doit laisser son adresse e-mail.

Quelles sont les sanctions en cas de manquement au RGPD ?

Pour tout manquement à un ordre émis par l’autorité de surveillance, les amendes administratives pouvant être appliquées iront jusqu’à 20 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial total annuel.

Nous vous conseillons fortement de mettre en application ces conseils et de vous rapprocher de vos prestataires pour toutes les solutions marketing externalisées (CRM, e-mailing, feedbacks clients etc.). Vous êtes tout autant responsable que ceux qui se chargent de collecter, stocker et utiliser les données.