Véritable vitrine en ligne d’une entreprise, il est désormais impensable de se passer d’un site internet tant les enjeux business de ces derniers sont importants.

Mais si ces espaces offrent une visibilité sans pareil aux entreprises et sont si pratiques, il ne faut pas oublier qu’ils sont avant tout destinés aux utilisateurs et qu’afin de réaliser la plupart de leurs objectifs, notamment marketing, les entreprises ont besoin d’exploiter le plus d’informations possible sur le trafic et l’utilisation du site et par conséquent de traiter des données personnelles.

Ainsi, entre tracking, publicité, dépôt de cookies, traceurs et pixel, et multiplicité des acteurs pouvant capter des données, les sites internet sont l’une des premières sources de risques en matière d’atteinte à la vie privée.

L’enjeu est d’autant plus important que les sites internet peuvent servir d’étalon par leurs futurs clients et utilisateurs pour estimer la conformité de l’organisation qui en est l’éditeur, voire être directement contrôlés par les autorités de protection des données pour en vérifier la conformité (notamment sur le sujet de la gestion des cookies).

Justement, pour s’assurer qu’un site internet est en conformité avec les règles en matière de protection des données et avec le Règlement Général sur la Protection de Données (ou RGPD), l’éditeur doit notamment s’assurer :

  • qu’il encadre le dépôt de cookies et traceurs par le biais du recueil du consentement des utilisateurs et d’une information spécifique sur le sujet ;
  • qu’il fournisse une information complète sur les modalités de traitement de données personnelles collectées sur le site par le biais d’une politique de confidentialité et de mentions d’information spécifiques ;
  • qu’il encadre les formulaires de collecte de données ;

Dans cet article, nos experts en droit de la data évoquent les actions indispensables afin de mettre votre site internet en conformité avec le RGPD.

En bonus, recevez un modèle de politique de confidentialité, spécialement rédigé par nos experts pour l’occasion !

Téléchargez un modèle de politique de confidentialité rédigé par nos partenaires experts en droit de l'IT et de la Data

1) La gestion des cookies et traceurs

Les cookies (ou traceurs, pixels, etc.) sont le nerf de la guerre en ce qui concerne la protection de la vie privée en ligne. En témoignent les travaux de la CNIL (délibérations, lignes directrices, contrôles, etc.) sur le sujet.

Les cookies sont des petits fichiers déposés sur les terminaux (ordinateurs, smartphones, tablettes, etc.) d’un visiteur lors de la consultation d’un site internet ou d’une application mobile. Ces cookies peuvent permettre notamment de mesurer l’audience du site, d’enregistrer des informations tel que la langue d’affichage, le panier d’achats, ou les identifiants de connexion de l’utilisateur, mais également de suivre son parcours de navigation, lui fournir de la publicité ciblée, ou encore le géolocaliser.

Il est indispensable d’y porter une attention particulière et de vous assurer que vous maîtrisez techniquement et juridiquement leur utilisation.

Tout utilisateur d’’un site internet doit être informé du dépôt de cookies sur ses terminaux, et consentir préalablement à leur dépôt dans certains cas.

Informer l’utilisateur du dépôt de cookies

L’information doit être fournie à deux niveaux :

D’abord via une information succincte souvent sous forme de « bandeau » ou de pop-up et précisant a minima les finalités de dépôt de cookies, la possibilité d’accepter ou non leur dépôt, et un lien vers la politique cookies ;

Ensuite via une politique cookies qui indique pour chaque cookie :

  • Son propriétaire (l’éditeur du cookie),
  • Son nom,
  • Son objet (ce qu’il permet et l’information qu’il fournit),
  • Sa durée de conservation, et
  • Sa qualification afin de déterminer si le consentement du visiteur est nécessaire pour son dépôt, ou non.

Obtenir le consentement préalable au dépôt de cookies

Le « bandeau » cookies évoqué ci-dessus doit servir deux fonctions : la première étant de fournir une première information à l’utilisateur du site internet, la deuxième de lui permettre de choisir s’il accepte ou non le dépôt de cookies sur son terminal, voire de sélectionner les catégories de cookies qu’il accepte et ceux qu’il refuse.

D’un point de vue RGPD, les cookies sont divisés en deux catégories : ceux qui nécessitent de collecter l’accord préalable de l’utilisateur pour leur dépôt et ceux qui en sont exemptés (notamment les cookies strictement nécessaires au fonctionnement du site et équivalents).

Cookies et traceurs exemptés Cookies et traceurs soumis au consentement préalable
  • Conservent le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • Authentifient l’utilisateur auprès d’un service (dont ceux qui visent à assurer la sécurité du mécanisme d’authentification) ;
  • Gardent en mémoire le contenu d’un panier d’achat ;
  • Personnalisent l’interface utilisateur (ex. Choix de langue ou présentation d’un service) lorsque cette personnalisation constitue un élément intrinsèque et attendu du service ;
  • Permettent l’équilibrage de charge des équipements qui concourent au service de communication ;
  • Permettent aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs ;
  • Permettent la mesure d’audience (sous conditions)
  • Permettent la publicité personnalisée ou non personnalisée ;
  • Permettent des fonctionnalités de partage sur les réseaux sociaux ;

A sa première connexion au site internet, l’utilisateur devra par conséquent voir apparaître le bandeau, et être en mesure, en un clic, de choisir de tous les accepter, de tous les refuser, ou de choisir au cas par cas.

Toute collecte d’un consentement devant être démontrée sur demande de l’autorité, la CNIL recommande une conservation de cette preuve pendant 6 mois.

Il est vivement conseillé d’implanter un outil de gestion des cookies ou Cookies Management Platform, aussi appelée CMP. Il s’agit d’une interface permettant de gérer le bandeau cookies, ainsi qu’à vos visiteurs de configurer l’utilisation faite de leurs cookies sur votre site.

Cela implique, de votre part, la capacité à configurer l’outil que vous aurez choisi en fonction des cookies que vous utilisez, afin d’en bloquer l’utilisation en fonction des choix de vos visiteurs.

Enfin, il faudra bien entendu vérifier vos outils (tels que Google Analytics, Matomo, Datadome, ContentSquare, Hubspot, etc.) susceptibles de déposer des cookies sur votre site afin de vous assurer qu’ils vous permettront de respecter la règlementation applicable à leur utilisation.

2) La gestion de l’information par une politique de confidentialité

Parce que les données personnelles sont désormais une priorité et intrinsèquement liées à tout individu naviguant sur internet, la prise de conscience de la nécessité de les protéger a, parallèlement, rendu impératif pour les éditeurs de site de rédiger une politique de confidentialité conforme au RGPD et aux exigences de l’autorité de protection des données (CNIL).

Ainsi, pour que votre site internet soit respectueux des données personnelles et de la vie privée des internautes, il doit fournir, via un accès simple et permanent, une information la plus transparente possible sur l’utilisation des données qui est faite.

En effet, l’utilisation de votre site internet engendre dans la majorité des cas la collecte de données personnelles des visiteurs ou utilisateurs, par exemple par la collecte de leurs identifiants lors de la création d’un compte ou de leurs coordonnées en cas d’abonnement à une newsletter.

Il est donc recommandé de rédiger et mettre à disposition une politique de confidentialité (ou privacy policy).

Cette politique doit être accessible aisément – en un clic – depuis toutes les pages du site internet pour que le visiteur puisse y avoir accès à tout moment (souvent par le biais d’un lien en bas de page).

Elle doit être rédigée de manière concise, et avec des termes simples, ni trop juridiques ni trop techniques, et adaptés au public visé ;

Le RGPD impose un certain formalisme dès lors qu’une personne concernée reçoit de l’information concernant le traitement de ses données personnelles. La politique de confidentialité doit donc comporter a minima les éléments suivants :

  • L’identité du responsable de traitement des données et les coordonnées de votre DPO s’il a été désigné ;
  • La base légale justifiant les traitements de données (par exemple, le consentement pour l’envoi d’une newsletter);
  • Les catégories de données que vous collectez et traitez ;
  • Les finalités – les objectifs – de la collecte et de l’exploitation des données qui est réalisée ;
  • Les destinataires ou les catégories de destinataires des données (responsable de traitements, sous-traitant, prestataires techniques …)
  • Les transferts ou l’absence de transfert de données hors de l’Union européenne
  • Les durées de conservation des données ;
  • Les droits des personnes concernées (tel que accès, rectification, suppression, opposition, effacement)et les moyens effectifs de les exercer (par mail, par courrier postal, ou via des fonctionnalités intégrées)
  • Le droit d’introduire une réclamation auprès de l’autorité de contrôle (en France, la CNIL)

La politique de confidentialité doit également indiquer la date de sa dernière actualisation, et les visiteurs du site internet devront être informés (par tous moyens) lors de toute mise à jour substantielle.

Remarque : il n’est pas nécessaire d’ajouter des éléments concernant la protection des données dans une page “mentions légales” étant donné que les informations concernant les traitements de données sont déjà intégralement décrites dans une politique de confidentialité.

Vous souhaitez recevoir les informations & actualités rédigées par nos experts en droit de la data ?

3) L’encadrement des formulaires de collecte de données

En plus de la collecte de données par le dépôt de cookies, votre site internet peut collecter des données directement auprès de l’utilisateur de différentes manières en fonction des usages et notamment via un formulaire de contact, un formulaire de création de compte, un formulaire d’inscription à une newsletter, etc.

Dans chacun de ces cas, certaines règles doivent être respectées afin de s’assurer de la conformité avec le RGPD.

  • Seules les informations strictement nécessaires pour atteindre l’objectif de la collecte doivent être demandées : par exemple, pour l’inscription à une newsletter, la seule information nécessaire est l’adresse e-mail de l’utilisateur.
  • Dans le cas où vous souhaitez obtenir plus d’informations, vous devez préciser quelles informations sont obligatoires et lesquelles sont facultatives par le biais d’un astérisque par exemple ;
  • Dans le cas où certaines informations sont collectées via une case champ libre, vous devez avertir l’utilisateur qu’il ne doit pas renseigner d’informations sensibles afin de vous épargner certaines obligations supplémentaires, et de limiter votre besoin de modérer les informations contenues dans vos bases de données.

Par ailleurs, afin de respecter le formalisme exigé par le RGPD1, chaque collecte de données doit être accompagnée d’une information spécifique précisant les modalités de traitement.

Autrement dit, en plus de disposer d’’une politique de confidentialité qui décrira l’intégralité des traitements réalisés, chaque point de collecte de données personnelles doit afficher une mention d’information.

N’ayez crainte, pour faciliter votre tâche et éviter les confusions, ces mentions d’informations peuvent afficher un contenu réduit, et renvoyer vers la politique de confidentialité qui sera plus globale.

On parle alors d’une information à deux niveaux :

  • Niveau 1 : une mention d’information courte qui indique uniquement la finalité de la collecte de données et l’identité du responsable du traitement, accompagné d’un renvoi “pour en savoir plus” vers la politique de confidentialité ;
  • Niveau 2 : la politique de confidentialité.

En respectant ces obligations d’information, vous respectez les exigences du RGPD et les principes directeurs de la CNIL en matière de transparence et vous instaurez la confiance auprès des visiteurs et utilisateurs de votre site, ce qui ne pourra être que bénéfique pour votre activité.

Commencez votre mise en conformité RGPD

Sources pour pousser le sujet :

Politique de confidentialité

https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence

https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228

https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence

Cookies

https://www.cnil.fr/fr/cookies-et-autres-traceurs

https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228

Délibération du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques en cas de recours aux cookies et autres traceurs. Cliquez ici.

Délibération du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de la loi Informatique & Libertés aux cookies et traceurs. Cliquez ici.