Accueil //Blog //RGPD //DPO //Comment mettre son site web en conformité RGPD ? Les 4 étapes

Véritable vitrine en ligne d’une entreprise, il est désormais impensable de se passer d’un site internet tant les enjeux business de ces derniers sont importants. Mais si ces espaces offrent une visibilité sans pareil aux entreprises et sont si pratiques, il ne faut pas oublier qu’ils sont avant tout destinés aux utilisateurs et que pour réaliser la plupart des objectifs, notamment marketing, les entreprises ont besoin d’exploiter le plus d’informations possible sur le trafic et l’utilisation du site et par conséquent de traiter des données personnelles.

Ainsi, entre tracking, publicité, dépôt de cookies, traceurs et pixel, et multiplicité des acteurs pouvant capter des données, les sites internet sont l’une des premières sources de risques en matière d’atteinte à la vie privée. L’enjeu est d’autant plus important que les sites internet peuvent servir d’étalon par leurs futurs clients et utilisateurs pour estimer la conformité de l’organisation qui en est l’éditeur, voire être directement contrôlés par les autorités de protection des données pour en vérifier la conformité (notamment sur le sujet de la gestion des cookies).

Justement, pour s’assurer qu’un site internet est en conformité avec les règles en matière de protection des données et avec le Règlement Général sur la Protection de Données (ou RGPD), l’éditeur doit notamment s’assurer que :

  • Il encadre le dépôt de cookies et traceurs par le biais du recueil du consentement des utilisateurs et d’une information spécifique sur le sujet
  • Il fournisse une information complète sur les modalités de traitement de données personnelles collectées sur le site par le biais d’une politique de confidentialité et de mentions d’information spécifiques
  • Il encadre les formulaires de collecte de données et collecte le consentement des utilisateurs pour les traitements reposant sur ce fondement
  • Il met en place des mesures de sécurité adaptées pour assurer un niveau de sécurité suffisant des données personnelles

Dans cet article, nos experts en droit des données personnelles évoquent les actions indispensables afin de mettre votre site internet en conformité avec le RGPD. Et en bonus, recevez un modèle de politique de confidentialité, spécialement rédigé par nos experts pour l’occasion !

Téléchargez un modèle de politique de confidentialité rédigé par nos partenaires experts des données personnelles

Télécharger

1) La gestion des cookies et traceurs

Les cookies (ou traceurs, pixels, etc…) sont le nerf de la guerre en ce qui concerne la protection de la vie privée en ligne. En témoignent les travaux de la CNIL (délibérations, lignes directrices, contrôles, etc…) sur le sujet.

Les cookies sont des petits fichiers déposés sur les terminaux (ordinateurs, smartphones, tablettes, etc.) d’un visiteur lors de la consultation d’un site internet ou d’une application mobile. Ces cookies peuvent permettre notamment de mesurer l’audience du site, d’enregistrer des informations, telles que la langue d’affichage, le panier d’achats, ou les identifiants de connexion de l’utilisateur, mais également de suivre son parcours de navigation, lui fournir de la publicité ciblée, ou encore le géolocaliser.

Il est indispensable d’y porter une attention particulière et de vous assurer que vous maîtrisez techniquement et juridiquement leur utilisation. Tout utilisateur d’’un site internet doit être informé du dépôt de cookies sur ses terminaux, et consentir préalablement à leur dépôt lorsque cette exigence s’applique.

Informer l’utilisateur du dépôt de cookies

L’ensemble des mentions légales doivent être fournies en respectant les obligations relatives à la forme de présentation de l’information, à savoir de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

Pour garantir le respect de ces exigences, la CNIL recommande d’adopter une information à deux niveaux :

  • D’abord via une information succincte, souvent sous forme de « bandeau » ou de pop-up par exemple et précisant a minima l’identité du responsable de traitement, les finalités de dépôt de cookies, la possibilité d’accepter ou non leur dépôt, et un lien vers la politique cookies.
  • Ensuite via une politique cookies qui indique pour chaque cookie :
    • Son propriétaire (éditeur du cookie/tiers)
    • Son nom
    • Son objet (ce qu’il permet et l’information qu’il fournit)
    • Sa durée de conservation>
    • Sa qualification afin de déterminer si le consentement du visiteur est nécessaire pour son dépôt, ou non

Obtenir le consentement préalable au dépôt de cookies

Le « bandeau » cookies évoqué ci-dessus doit servir deux fonctions : la première étant de fournir une première information à l’utilisateur du site internet, la deuxième de lui permettre de choisir s’il accepte ou non le dépôt de cookies sur son terminal, voire de sélectionner les catégories de cookies qu’il accepte et ceux qu’il refuse.

Selon la CNIL, les cookies sont divisés en deux catégories : ceux qui nécessitent de collecter l’accord préalable de l’utilisateur pour leur dépôt et ceux qui en sont exemptés (les cookies strictement nécessaires au fonctionnement du site ou à la fourniture du service).

Cookies et traceurs exemptés Cookies et traceurs soumis au consentement préalable
  • Conservent le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • Authentifient l’utilisateur auprès d’un service (dont ceux qui visent à assurer la sécurité du mécanisme d’authentification) ;
  • Gardent en mémoire le contenu d’un panier d’achat ;
  • Personnalisent l’interface utilisateur (ex. Choix de langue ou présentation d’un service) lorsque cette personnalisation constitue un élément intrinsèque et attendu du service ;
  • Permettent l’équilibrage de charge des équipements qui concourent au service de communication ;
  • Permettent aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs ;
  • Permettent la mesure d’audience (sous conditions)
  • Permettent la publicité personnalisée ou non personnalisée ;
  • Permettent des fonctionnalités de partage sur les réseaux sociaux ;

A sa première connexion au site internet, l’utilisateur devra par conséquent voir apparaître le bandeau, et être en mesure, en un clic, de choisir de tous les accepter, de tous les refuser, ou de choisir au cas par cas. Toute collecte d’un consentement devant être démontrée sur demande de l’autorité, la CNIL considère qu’une conservation de cette preuve pendant 6 mois constitue une bonne pratique.

Il est vivement conseillé d’implanter un outil de gestion des cookies ou Cookies Management Platform, aussi appelée CMP. Il s’agit d’une interface permettant de gérer le bandeau cookies et de configurer par les visiteurs leur choix. Cela implique, de votre part, la capacité à configurer l’outil que vous aurez choisi en fonction des cookies que vous utilisez, afin d’en bloquer l’utilisation en fonction des choix de vos visiteurs.

Enfin, il faudra bien entendu vérifier les outils que vous utilisez susceptibles de déposer des cookies sur votre site afin de vous assurer qu’ils vous permettront de respecter la règlementation applicable.

Crédits photo : Goran Ivos, Unsplash

2)La gestion de l’information par une politique de confidentialité

Parce que les données personnelles sont désormais une priorité et intrinsèquement liées à tout individu naviguant sur internet, la prise de conscience de la nécessité de les protéger a, parallèlement, rendu impératif pour les éditeurs de site de veiller à transmettre l’ensemble des informations obligatoires.

Ainsi, pour que votre site internet soit respectueux des données personnelles et de la vie privée des internautes, il doit fournir, via un accès simple et permanent, une information la plus transparente possible sur l’utilisation des données qui est faite.

En effet, l’utilisation de votre site internet engendre dans la majorité des cas la collecte de données personnelles des visiteurs ou utilisateurs, par exemple par la collecte de leurs identifiants lors de la création d’un compte ou de leurs coordonnées en cas d’abonnement à une newsletter.

Cette information doit être spécifique et distincte, c’est-à-dire ne pas être présentée via une page listant d’autres éléments, sur les conditions générales par exemple. Elle peut ainsi être transmise via une politique de confidentialité (autrement, privacy policy) affichée de manière visible sur le site. Cette politique doit être accessible aisément, en un clic, depuis toutes les pages du site internet pour que le visiteur puisse y avoir accès à tout moment. Elle doit être rédigée de manière concise, et en des termes simples et clairs. Le jargon juridique ne doit dès lors pas être employé et la présentation adoptée doit être adaptée au public visé.

Le RGPD impose d’informer les personnes concernées sur :

  • L’identité du responsable de traitement des données et les coordonnées de votre DPO s’il a été désigné
  • La base légale justifiant les traitements de données
  • Les finalités, les objectifs, de la collecte et de l’exploitation des données qui est réalisée
  • Les destinataires ou les catégories de destinataires des données (responsable de traitements, sous-traitant, prestataires techniques …)
  • Les transferts ou l’absence de transfert de données hors de l’Union européenne
  • Les durées de conservation des données
  • Les droits des personnes concernées (tel que l’accès, la rectification, la suppression, l’opposition, l’effacement) et les moyens effectifs de les exercer (par mail, par courrier postal, ou via des fonctionnalités intégrées)
  • Le droit d’introduire une réclamation auprès de l’autorité de contrôle (en France, la CNIL)
  • Le fait que la fourniture de données personnelles est obligatoire ou pas, et les conséquences éventuelles de la non-fourniture de ces données

D’autres informations doivent être fournies en cas de collecte indirecte. Elles portent sur :

  • Les catégories de données personnelles concernées
  • Et sur la source d’où proviennent les données

Ces mentions doivent être revues et actualisées à l’occasion de toute évolution dans le traitement des données personnelles. Une telle mise à jour peut nécessiter une nouvelle information des personnes ou encore un nouveau consentement dans le cas où cette base juridique s’applique.

Vous souhaitez recevoir les informations et actualités rédigées par nos experts en droit des données personnelles ?

S'inscrire à la newsletter

3) L’encadrement des formulaires de collecte de données et la collecte du consentement des utilisateurs pour les traitements reposant sur ce fondement

En plus de la collecte de données par le dépôt de cookies, votre site internet peut collecter des données directement auprès de l’utilisateur de différentes manières en fonction des usages et notamment via un formulaire de contact, un formulaire de création de compte, un formulaire d’inscription à une newsletter, etc…

Dans chacun de ces cas, certaines règles doivent être respectées afin de s’assurer de la conformité avec le RGPD.

  • Seules les informations strictement nécessaires pour atteindre l’objectif de la collecte doivent être demandées : par exemple, pour l’inscription à une newsletter, la seule information nécessaire est l’adresse e-mail de l’utilisateur.
  • Dans le cas où vous souhaitez obtenir plus d’informations, vous devez préciser quelles informations sont obligatoires et lesquelles sont facultatives par le biais d’un astérisque par exemple.
  • Dans le cas où certaines informations sont collectées via une case champ libre, vous devez avertir l’utilisateur qu’il ne doit pas renseigner d’informations sensibles afin de vous épargner certaines obligations supplémentaires, et de limiter votre besoin de modérer les informations contenues dans vos bases de données.

Par ailleurs, afin de respecter le formalisme exigé par le RGPD, chaque collecte de données doit être accompagnée d’une information spécifique précisant les modalités de traitement. Autrement dit, en plus de disposer d’une politique de confidentialité qui décrira l’intégralité des traitements réalisés, chaque point de collecte de données personnelles doit afficher une mention d’information.

Chaque collecte de données doit également proposer un moyen permettant de recueillir le consentement de l’utilisateur lorsque cette base légale s’applique. Ce consentement doit être obtenu de manière libre, spécifique, éclairée et univoque, et il ne doit y avoir aucun doute quant à la volonté réelle de la personne de consentir au traitement de ses données.

N’ayez crainte, pour faciliter votre tâche et éviter les confusions, ces mentions d’informations peuvent afficher un contenu réduit, et renvoyer vers la politique de confidentialité qui sera plus globale. On parle alors d’une information à deux niveaux :

  • Niveau 1 : une mention d’information courte qui indique uniquement la finalité de la collecte de données et l’identité du responsable du traitement, accompagné d’un renvoi « pour en savoir plus » vers la politique de confidentialité
  • Niveau 2 : la politique de confidentialité

Commencez votre mise en conformité RGPD

Faire le diagnostic

4) l’implémentation de mesures de sécurité adaptées

Tout éditeur de site doit veiller à assurer la sécurité des données collectées et transmises. Ceci passe par la mise en place de mesures de sécurité adaptées en tenant compte des risques.

La CNIL recommande des actions à effectuer dont notamment :

  • Mettre en place le protocole TLS
  • Utiliser le TLS pour toutes les pages d’authentification, de formulaires et toutes les pages permettant l’affichage et la transmission de données personnelles
  • Restreindre les ports de communication strictement nécessaires au bon fonctionnement des applications
  • Restreindre l’accès aux interfaces et outils aux seules personnes habilitées
  • Restreindre le nombre de composants utilisés et les mettre à jour régulièrement

En plus de ces recommandations, la CNIL attire l’attention sur la nécessité de ne pas faire transiter des données personnelles dans une URL, de recourir à des services sécurisés, de ne pas utiliser les serveurs comme des postes de travail, de ne pas utiliser des comptes génériques et surtout de ne pas placer les bases de données sur un serveur qui peut être directement accessible via internet.

En respectant ces obligations, vous respectez les exigences du RGPD et les directives de la CNIL en matière de transparence et de sécurité et vous instaurez la confiance auprès des visiteurs et utilisateurs de votre site, ce qui ne pourra être que bénéfique pour votre activité.

 

Sources pour pousser le sujet :

Politique de confidentialité

https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence

https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228

https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence

Cookies

https://www.cnil.fr/fr/cookies-et-autres-traceurs

https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228

Délibération du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques en cas de recours aux cookies et autres traceurs. Cliquez ici.

Délibération du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de la loi Informatique & Libertés aux cookies et traceurs. Cliquez ici.

À lire aussi