RGPD, GPRD, on trouve beaucoup d’articles sur le web ! actualité oblige ! et en pratique … toutes les entreprises sont concernées par la gestion de la donnée personnelle.
Vous y compris ! que votre site soit vitrine ou e-commerce quelques aménagements seront nécessaires.
En effet, le règlement général relatif à la protection des données considère, par exemple, une adresse électronique, des coordonnées bancaires, des messages sur des sites internet, réseaux sociaux, des informations médicales ou une adresse IP d’ordinateur comme des données à caractère personnel.
Et le site internet fait l’objet d’une approche particulière de la CNIL. En effet, cette dernière dispose, depuis 2014, d’une habilitation de contrôler à distance tout site confondu.
5 points principaux sont à traiter :
Le formulaire bien-sûr est un outil de collecte !
Il s’agira d’ajouter un opt-in sur chaque formulaire pour obtenir le consentement de la collecte de donnée
Les cookies ont un impact significatif sur la conformité. En effet, lorsque les cookies peuvent identifier un individu, ils sont considérés comme des données personnelles.
Ce sont de petits fichiers qui sont automatiquement déposés sur votre ordinateur lorsque vous naviguez sur le web. Ce sont des morceaux de texte stockés localement et qui peuvent être facilement consultés et supprimés. Les cookies donnent un bon aperçu de votre activité et de vos préférences. Ils peuvent être utilisés pour vous identifier sans votre consentement explicite. C’est donc une violation majeure d’un point de vue juridique.
Les cookies dédiés aux analytics, à la publicité et aux services fonctionnels, tels que les outils d’enquête et de chat, sont tous des exemples de cookies qui peuvent identifier les utilisateurs.
Le consentement implicite et le consentement donné simplement en visitant un site ne sont plus suffisants dans le cadre du RGPD.
Consentement préalable
Avec le RGDP, le consentement de l’utilisateur doit être donné avant la configuration des cookies, de sorte que seuls les cookies strictement nécessaires sont initialement définis.
Idem pour les pop-ups et les bannières déclarant : « En utilisant ce site, vous acceptez les cookies ». Un simple bouton ok pour accepter les cookies ne suffit plus !
Consentement demandé au moyen d’une action positive
Le consentement doit être donné sous la forme d’une action positive et affirmative, et le rejet des cookies doit être une option réelle.
L’ajustement de votre politique liée aux cookies et au consentement est une partie importante de ce processus de la mise à jour de votre site web.
Un internaute pourra donc demander :
Votre page exercer vos droits devra répondre aux exigences suivantes :
informatif : pourquoi, comment et où les données personnelles sont-elles utilisées ? L’utilisateur doit pouvoir clairement savoir et comprendre à quoi il consent, et il doit être possible d’accepter ou de refuser les différents types de cookies ;
basé sur un vrai choix : cela signifie, par exemple, que l’utilisateur doit avoir accès au site et à ses fonctions même si tous les cookies, à l’exception des cookies strictement nécessaires, ont été refusés ;
donné au moyen d’une action positive et affirmative qui ne peut être mal interprétée ;
donné préalablement au traitement initial des données personnelles ;
modifiable : il doit être facile pour l’utilisateur de changer d’avis et de retirer son consentement.
l’utilisateur a le droit d’être oublié : à la demande de l’utilisateur, toutes les données personnelles le concernant doivent être effacées.
Tous les consentements donnés doivent être consignés dans des archives, afin qu’ils puissent être utilisés comme éléments de preuves en cas de contrôle.
Tous les 12 mois, le consentement doit être renouvelé lors de la première visite de l’utilisateur sur le site.
Nous en avons déjà parlé dans un précédent article, cliquez-ici
Pas de panique ! Pixel Développement vous accompagne dans cette opération et peut adapter votre site en tenant compte des obligations imposées par le RGPD.
La partie technique va essentiellement consister à mettre en place le consentement de l’internaute. Les mentions légales de votre site internet devront être adaptées et la politique de confidentialité créée.
La complexité va varier en fonction des données que vous collectez sur votre dispositif ainsi que la technologie qui est utilisée.
Par exemple, pour un site réalisé avec un CMS, il faudra également analyser les Plugins ou modules utilisés pour s’assurer qu’ils soient conformes au RGPD.
Dans tous les cas, pour une mise en conformité RGPD correcte, votre site va devoir adopter une approche « Privacy By Design ». Dès la conception du site internet, toutes les mesures de sécurité doivent être prises.
Et peu importe la technologie utilisée, votre devoir reste de prévoir un haut niveau de sécurité grâce à des techniques organisationnelles adaptées aux risques :
– Élaborer un référentiel sécurité
– Mener des tests d’intrusion
– Sensibiliser et former son personnel
– Sécuriser les contrats avec les sous-traitants : leur faire signer des accords de confidentialité, présenter des garanties quant à l’utilisation des données personnelles…
– Sécuriser les locaux et les postes de travail : attention à ne pas installer n’importe quel logiciel, à brancher des périphériques personnels…
– Sécuriser le réseau local
– Faire des sauvegardes régulières du site vitrine ou e-commerce
– Nommer un RSSI (Responsable de la Sécurité des Systèmes d’Information)
Toute faille de sécurité qui conduit à la violation de données à caractère personnel doit être notifiée à la CNIL et communiquée aux personnes concernées.
Vous pouvez prendre rendez-vous avec nos experts.
Pour envoyer votre demande