Vérifier la conformité au RGPD de votre site web

RGPD, GPRD, on trouve beaucoup d’articles sur le web ! actualité oblige ! et en pratique … toutes les entreprises sont concernées par la gestion de la donnée personnelle.

Vous y compris ! que votre site soit vitrine ou e-commerce quelques aménagements seront nécessaires.

En effet, le règlement général relatif à la protection des données considère, par exemple, une adresse électronique, des coordonnées bancaires, des messages sur des sites internet, réseaux sociaux, des informations médicales ou une adresse IP d’ordinateur comme des données à caractère personnel.

Et le site internet fait l’objet d’une approche particulière de la CNIL. En effet, cette dernière dispose, depuis 2014, d’une habilitation de contrôler à distance tout site confondu.

Comment mettre en conformité RGPD un site web ?

5 points principaux sont à traiter :

1/ Les formulaires

Le formulaire bien-sûr est un outil de collecte !

Il s’agira d’ajouter un opt-in sur chaque formulaire pour obtenir le consentement de la collecte de donnée

• Détailler l’usage des données
• Insérer un lien vers les CGV dans chaque formulaire et valider un mail de confirmation. La CNIL a mis en place un générateur de mentions légales qui vous permettra d’expliquer au public pourquoi vous collectez des informations, dans quel but et qui est la personne en charge du traitement des données.
• Il faudra donc faire évoluer les CGV et les mentions légales et devront être adaptées à chaque métier.

2/ Les Cookies

Les cookies ont un impact significatif sur la conformité. En effet, lorsque les cookies peuvent identifier un individu, ils sont considérés comme des données personnelles.

C’est quoi les cookies ?

Ce sont de petits fichiers qui sont automatiquement déposés sur votre ordinateur lorsque vous naviguez sur le web. Ce sont des morceaux de texte stockés localement et qui peuvent être facilement consultés et supprimés. Les cookies donnent un bon aperçu de votre activité et de vos préférences. Ils peuvent être utilisés pour vous identifier sans votre consentement explicite. C’est donc une violation majeure d’un point de vue juridique.

Les cookies dédiés aux analytics, à la publicité et aux services fonctionnels, tels que les outils d’enquête et de chat, sont tous des exemples de cookies qui peuvent identifier les utilisateurs.

3/ Le consentement

Le consentement implicite et le consentement donné simplement en visitant un site ne sont plus suffisants dans le cadre du RGPD.

Consentement préalable
Avec le RGDP, le consentement de l’utilisateur doit être donné avant la configuration des cookies, de sorte que seuls les cookies strictement nécessaires sont initialement définis.

Idem pour les pop-ups et les bannières déclarant : « En utilisant ce site, vous acceptez les cookies ». Un simple bouton ok pour accepter les cookies ne suffit plus !

Consentement demandé au moyen d’une action positive
Le consentement doit être donné sous la forme d’une action positive et affirmative, et le rejet des cookies doit être une option réelle.

L’ajustement de votre politique liée aux cookies et au consentement est une partie importante de ce processus de la mise à jour de votre site web.

4/ Une page « exercer vos droits » doit être ajoutée ou insérée dans les mentions légales

Un internaute pourra donc demander :

• des modifications sur ses informations personnelles
• la portabilité (capacité à obtenir ses données)
• identifier les données collectées par le site
• extraire et transférer les données vers le propriétaire
• suppression (droit à l’oubli)    

Votre page exercer vos droits devra répondre aux exigences suivantes :

informatif : pourquoi, comment et où les données personnelles sont-elles utilisées ? L’utilisateur doit pouvoir clairement savoir et comprendre à quoi il consent, et il doit être possible d’accepter ou de refuser les différents types de cookies ;
basé sur un vrai choix : cela signifie, par exemple, que l’utilisateur doit avoir accès au site et à ses fonctions même si tous les cookies, à l’exception des cookies strictement nécessaires, ont été refusés ;
donné au moyen d’une action positive et affirmative qui ne peut être mal interprétée ;
donné préalablement au traitement initial des données personnelles ;
modifiable : il doit être facile pour l’utilisateur de changer d’avis et de retirer son consentement.
l’utilisateur a le droit d’être oublié : à la demande de l’utilisateur, toutes les données personnelles le concernant doivent être effacées.
Tous les consentements donnés doivent être consignés dans des archives, afin qu’ils puissent être utilisés comme éléments de preuves en cas de contrôle.

Tous les 12 mois, le consentement doit être renouvelé lors de la première visite de l’utilisateur sur le site.

5/ Le certificat SSL

Nous en avons déjà parlé dans un précédent article, cliquez-ici

Concrètement comment mettre à jour un site web ?

Pas de panique ! Pixel Développement vous accompagne dans cette opération et peut adapter votre site en tenant compte des obligations imposées par le RGPD.

La partie technique va essentiellement consister à mettre en place le consentement de l’internaute. Les mentions légales de votre site internet devront être adaptées et la politique de confidentialité créée.

La complexité va varier en fonction des données que vous collectez sur votre dispositif ainsi que la technologie qui est utilisée.

Par exemple, pour un site réalisé avec un CMS, il faudra également analyser les Plugins ou modules utilisés pour s’assurer qu’ils soient conformes au RGPD.

Dans tous les cas, pour une mise en conformité RGPD correcte, votre site va devoir adopter une approche « Privacy By Design ». Dès la conception du site internet, toutes les mesures de sécurité doivent être prises.

Et peu importe la technologie utilisée, votre devoir reste de prévoir un haut niveau de sécurité grâce à des techniques organisationnelles adaptées aux risques :

– Élaborer un référentiel sécurité
– Mener des tests d’intrusion
– Sensibiliser et former son personnel
– Sécuriser les contrats avec les sous-traitants : leur faire signer des accords de confidentialité, présenter des garanties quant à l’utilisation des données personnelles…
– Sécuriser les locaux et les postes de travail : attention à ne pas installer n’importe quel logiciel, à brancher des périphériques personnels…
– Sécuriser le réseau local
– Faire des sauvegardes régulières du site vitrine ou e-commerce
– Nommer un RSSI (Responsable de la Sécurité des Systèmes d’Information)

Toute faille de sécurité qui conduit à la violation de données à caractère personnel doit être notifiée à la CNIL et communiquée aux personnes concernées.