Le guide RGPD pour sites internet

Ai-je besoin du RGPD pour mon site Web ?

Le RGPD s’applique à tous les organismes et personnes privés traitant des données personnelles en Europe ou bien concernant des citoyens européens. Votre site internet, pour fonctionner correctement, traite forcément des données personnelles, au minimum l’adresse IP.

Comment rendre son site RGPD ?

Faire le point sur l’ensemble des données personnelles collectées par votre site web

Lister les traitement de données personnelles de votre site web

Selon la CNIL, un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).

Avant toute chose, il faut donc lister l’ensemble des points ou des situations de collecte de données personnelles, cela inclut les formulaires présent sur votre site, les cookies déposés et les données collectées techniquement lors de la navigation (comme l’adresse IP).

Pour information, une donnée personnelle est toute information se rapportant à une personne physique permettant de l’identifier directement (nom et prénom) ou indirectement (plaque d’immatriculation, numéro de téléphone, numéro de sécurité sociale, photo).

Lister les finalités et les bases légales de traitements

Conformément au RGPD, pour chacun des traitements, il faut lister les finalités, les bases légales de traitement et la durée de conservation de ces données.

Si certaines données sont destinées à des sous traitant au sens du RGPD, il convient d’indiquer ces les cordonnées de ces sous traitants.

Vous pourrez ensuite mettre ces données dans la politique de confidentialité de votre site web.

Rédiger une politique de confidentialité complète

Une politique de confidentialité détaillée et facilement accessible est indispensable. Celle-ci doit couvrir l’identité du responsable de traitement, les finalités du traitement, les destinataires des données, la base légale, les durées de conservation, ainsi que les droits des personnes concernées. Il est également essentiel de mettre à jour régulièrement cette politique pour refléter toute modification dans les pratiques de traitement des données.

• Quelles informations recueillez-vous ?
  
  • Adresse e-mail : Pour les formulaires de contact ou l’inscription à une newsletter.
  • Nom et prénom : Pour personnaliser l’expérience utilisateur ou finaliser un achat.
  • Coordonnées postales : Utilisées pour la livraison de produits ou de services.
  • Informations de paiement : Lors de l’achat via une boutique en ligne (ex. : carte bancaire).
  • Données techniques : Adresse IP, localisation approximative, historique de navigation, via des cookies ou des outils analytiques.

  Ces données peuvent être fournies directement par les utilisateurs ou recueillies automatiquement lors de la visite du site.

• Comment les recueillez-vous ?
  • Formulaires de contact : Lorsqu’un utilisateur vous envoie une demande.
  • Achats en ligne : Via votre boutique e-commerce pour traiter les commandes.
  • Newsletter : Par l’inscription à des campagnes de communication.
  • Cookies et outils analytiques : Collecte automatique d’informations techniques pour améliorer l’expérience utilisateur.
• Pourquoi collectez-vous ces informations ?
  • Campagnes marketing : Collecte des e-mails pour envoyer des newsletters ou promotions.
  • Livraison et facturation : Nécessité des coordonnées postales pour la livraison des produits.
  • Amélioration du service : Analyse des données de navigation pour optimiser l’ergonomie du site.
• À qui communiquez-vous les données ?
  • Prestataires de paiement : Pour la gestion des transactions (ex. : Stripe, PayPal).
  • Transporteurs : Pour l’envoi des produits achetés.
  • Outils d’emailing : Comme Mailchimp ou Brevo pour vos campagnes de newsletters.
  • Prestataires web : pour les données techniques liées à l’hébergement de votre site

Assurez-vous que ces tiers respectent les exigences du RGPD.

• Où stockez-vous les données ?
  

  Expliquez où les données sont hébergées, notamment si elles sont stockées dans des centres de données situés à l’étranger. Précisez également si ces centres respectent les normes européennes en matière de protection des données.

• Combien de temps conservez-vous ces données ?
  • Comptes utilisateurs : Conservation jusqu’à la fermeture du compte.
  • Informations de facturation : Conservation pendant 6 ans conformément à la législation fiscale.
  • Données marketing : Jusqu’au retrait du consentement par l’utilisateur.

  Utilisez des formules comme « aussi longtemps que nécessaire » si aucune durée précise n’est définie.

• Comment protégez-vous les données des utilisateurs ?
  • Certificat SSL (HTTPS) pour sécuriser les échanges de données.
  • Chiffrement des informations sensibles comme les données de paiement.
  • Accès restreint aux données par les employés ou sous-traitants autorisés uniquement.
  • Sauvegardes régulières pour prévenir la perte de données.
• Comment gérez-vous les données des mineurs ?
  • En France, le consentement des parents est requis pour les enfants de moins de 15 ans.
  • Vous pouvez restreindre l’accès au site aux utilisateurs ayant atteint l’âge légal ou intégrer un mécanisme de vérification d’âge.
• Comment communiquez-vous avec les utilisateurs ?
  

  Informez les utilisateurs que votre politique de confidentialité peut évoluer. Mettez à jour les informations dès qu’un changement intervient.Prévoyez un moyen de contact direct (email, numéro de téléphone, formulaire de contact) pour que les utilisateurs puissent poser des questions ou exercer leurs droits.

Faire le point sur tous les cookies et autres traceurs déposés par votre site web

La gestion des cookies est un élément central de la conformité au RGPD. Les sites doivent non seulement informer les visiteurs de l’utilisation des cookies de manière claire et accessible mais aussi obtenir leur consentement explicite avant de les déposer, à l’exception de ceux strictement nécessaires.

Il faut donc lister tous les cookies et autres traceurs présents sur votre site internet, cependant le consentement n’est requis que pour les cookies stockant des données personnelles comme un identifiant unique permettant de retracer un visiteur.

Quels traceurs sont couramment utilisés sur les sites web ?

Selon la CNIL, les traceurs ne sont pas uniquement les cookies mais aussi les empruntes numériques (ou fingerprinting) et les pixels de tracking. Ces outils sont utilisés par beaucoup d’outils tiers, notamment ceux de Facebook ou de Google. C’est à dire que si vous intégrez des éléments appartenant à Google (vidéos Youtubes, Google ReCaptcha, Google map et bien d’autres), alors il faut obtenir le consentement de l’utilisateur avant de charger le script de ces outils tiers sur votre site internet.

Utiliser un gestionnaire des cookies et du consentement

L’utilisation d’une plateforme de gestion des cookies (CMP) est fortement recommandée pour faciliter ce processus. Ces plateformes permettent d’une part de conserver un justificatif du consentement (c’est une obligation du RGPD), mais aussi d’implémenter techniquement la solution de blocage des scripts tiers (Youtube, Facebook, etc).

Ces outils permettent aussi à l’utilisateur de révoquer son consentement simplement conformément au RGPD.

Lister les cookies utilisés

Selon la directive e-Privacy, il faut ensuite lister ces cookies et expliquer clairement leur but et leur finalité, leur durée de conservation, même pour les cookies ne traitant pas de données personnelles.

Encadrement des Formulaires de Collecte

Les formulaires de collecte de données sur les sites doivent être conçus de manière à recueillir uniquement les données strictement nécessaires au traitement et à obtenir le consentement explicite des utilisateurs pour leur traitement en cas d’utilisation à des fins publicitaires.

Il est important d’accompagner chaque formulaire d’une mention d’information spécifique, comme l’identité du responsable de traitement, la finalité, la base légale, la durée de conservation, le destinataire des données et les éventuels sous traitants ainsi qu’une mention précisant le droit d’introduire une réclamation auprès de la CNIL.

Assurer la sécurité des Données

Assurer la sécurité des données collectées est une obligation sous le RGPD. Cela implique l’adoption de mesures techniques et organisationnelles adéquates, telles que le chiffrement, pour protéger les données contre l’accès non autorisé ou la fuite d’informations. Il est également crucial d’effectuer régulièrement des audits de sécurité pour identifier et corriger les vulnérabilités potentielles.

Comment vérifier si un site Web est conforme au RGPD ?

1. Analyse des mentions légales et de la politique de confidentialité

• Présence des mentions obligatoires :
  • Identité du responsable de traitement (nom, société, contact).
  • Finalité de la collecte des données.
  • Durée de conservation des données.
  • Droits des utilisateurs (accès, rectification, effacement, opposition, portabilité).
  • Informations sur l’utilisation des cookies.
• Accessibilité de la politique : Elle doit être facilement accessible et compréhensible (via un lien en bas de page, par exemple).

2. Gestion des cookies et bannières de consentement

• Bannière de consentement :
  • Les cookies non essentiels (Google Analytics, réseaux sociaux, publicités) doivent être bloqués avant le consentement.
  • La bannière doit proposer trois options : Accepter, Refuser, Personnaliser.
• Enregistrement du consentement : Le consentement doit être documenté (avec un outil de gestion des consentements).
• Expiration des cookies : Vérifier si les cookies expirent dans un délai raisonnable (6 à 13 mois maximum).

3. Formulaires et collecte de données personnelles

• Consentement explicite : Ajouter une case à cocher (non pré-cochée) pour chaque finalité de traitement.
• Mention des droits : Informer l’utilisateur qu’il peut demander l’accès, la modification ou la suppression de ses données.
• Conformité des champs : Ne demander que les informations nécessaires (minimisation des données).

4. Sécurisation des données et hébergement

• Certificat SSL (HTTPS) : Les échanges de données doivent être sécurisés.
• Serveurs en Europe ou pays reconnus adéquats : Vérifier si l’hébergement respecte la législation sur les transferts internationaux de données.
• Mesures de sécurité : S’assurer de l’utilisation de bonnes pratiques en matière de protection des données (chiffrement, accès restreint…).

5. Accord avec les sous-traitants

• Contrats de traitement de données : Vérifier l’existence de contrats avec les sous-traitants (par exemple, prestataires d’hébergement ou d’emailing).
• Vérification de la conformité des partenaires : S’assurer que les outils tiers (comme Google Analytics) respectent le RGPD.

6. Gestion des droits des utilisateurs

• Droit d’accès et de suppression : Les utilisateurs doivent pouvoir facilement exercer leurs droits (via un email ou un formulaire en ligne).
• Droit à la portabilité : Si pertinent, fournir un fichier exportable contenant leurs données.

---