L'importance de la conformité au Règlement Général sur la Protection des Données (RGPD) pour les sites internet ne cesse de croître, étant donné la sensibilisation accrue du public à la protection des données personnelles et les conséquences légales d'une non-conformité.
Ce cadre législatif, instauré par l'Union Européenne en mai 2018, vise à renforcer et unifier la protection des données pour toutes les personnes au sein de l'UE.
Les sites web sont souvent le premier point de contact entre les entreprises et leurs clients, rendant essentielle la mise en place de pratiques respectueuses de la vie privée dès le départ.
Etape 1 : Faire le point sur l’ensemble des données personnelles collectées par votre site web
Lister les traitement de données personnelles de votre site web
Selon la CNIL, un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).
Avant toute chose, il faut donc lister l’ensemble des points ou des situations de collecte de données personnelles, cela inclut les formulaires présent sur votre site, les cookies déposés et les données collectées techniquement lors de la navigation (comme l’adresse IP).
Pour information, une donnée personnelle est toute information se rapportant à une personne physique permettant de l’identifier directement (nom et prénom) ou indirectement (plaque d’immatriculation, numéro de téléphone, numéro de sécurité sociale, photo).
Lister les finalités et les bases légales de traitements
Conformément au RGPD, pour chacun des traitements, il faut lister les finalités, les bases légales de traitement et la durée de conservation de ces données.
Si certaines données sont destinées à des sous traitant au sens du RGPD, il convient d’indiquer ces les cordonnées de ces sous traitants.
Vous pourrez ensuite mettre ces données dans la politique de confidentialité de votre site web.
Etape 2 : Rédiger une politique de confidentialité complète
Une politique de confidentialité détaillée et facilement accessible est indispensable. Celle-ci doit couvrir l’identité du responsable de traitement, les finalités du traitement, les destinataires des données, la base légale, les durées de conservation, ainsi que les droits des personnes concernées. Il est également essentiel de mettre à jour régulièrement cette politique pour refléter toute modification dans les pratiques de traitement des données.
Etape 3 : Faire le point sur tous les cookies et autres traceurs déposés par votre site web
La gestion des cookies est un élément central de la conformité au RGPD. Les sites doivent non seulement informer les visiteurs de l’utilisation des cookies de manière claire et accessible mais aussi obtenir leur consentement explicite avant de les déposer, à l’exception de ceux strictement nécessaires.
Il faut donc lister tous les cookies et autres traceurs présents sur votre site internet, cependant le consentement n’est requis que pour les cookies stockant des données personnelles comme un identifiant unique permettant de retracer un visiteur.
Quels traceurs sont couramment utilisés sur les sites web ?
Selon la CNIL, les traceurs ne sont pas uniquement les cookies mais aussi les empruntes numériques (ou fingerprinting) et les pixels de tracking. Ces outils sont utilisés par beaucoup d’outils tiers, notamment ceux de Facebook ou de Google. C’est à dire que si vous intégrez des éléments appartenant à Google (vidéos Youtubes, Google ReCaptcha, Google map et bien d’autres), alors il faut obtenir le consentement de l’utilisateur avant de charger le script de ces outils tiers sur votre site internet.
Utiliser un gestionnaire des cookies et du consentement
L’utilisation d’une plateforme de gestion des cookies (CMP) est fortement recommandée pour faciliter ce processus. Ces plateformes permettent d’une part de conserver un justificatif du consentement (c’est une obligation du RGPD), mais aussi d’implémenter techniquement la solution de blocage des scripts tiers (Youtube, Facebook, etc).
Ces outils permettent aussi à l’utilisateur de révoquer son consentement simplement conformément au RGPD.
Lister les cookies utilisés
Il faut ensuite lister ces cookies et expliquer clairement leur but et leur finalité, leur durée de conservation.
Etape 4 : Encadrement des Formulaires de Collecte
Les formulaires de collecte de données sur les sites doivent être conçus de manière à recueillir uniquement les données strictement nécessaires au traitement et à obtenir le consentement explicite des utilisateurs pour leur traitement en cas d’utilisation à des fins publicitaires.
Il est important d’accompagner chaque formulaire d’une mention d’information spécifique, comme l’identité du responsable de traitement, la finalité, la base légale, la durée de conservation, le destinataire des données et les éventuels sous traitants ainsi qu’une mention précisant le droit d’introduire une réclamation auprès de la CNIL.
Etape 5 : Assurer la sécurité des Données
Assurer la sécurité des données collectées est une obligation sous le RGPD. Cela implique l’adoption de mesures techniques et organisationnelles adéquates, telles que le chiffrement, pour protéger les données contre l’accès non autorisé ou la fuite d’informations. Il est également crucial d’effectuer régulièrement des audits de sécurité pour identifier et corriger les vulnérabilités potentielles.
La conformité RGPD ne se limite pas à qu'une checklist règlementaire à compléter mais représente une opportunité de renforcer la confiance et la sécurité des utilisateurs, tout en assurant la protection de leurs données personnelles.