Image
Top
Navigation
9 avril 2018

RGPD 2018 : propriétaires de site web, vous êtes sans doute concernés !

De lourdes amendes sont au programme si vous n'êtes pas en conformité...

RGPD 2018 : propriétaires de site web, vous êtes sans doute concernés !

Le 25 mai 2018 entre en vigueur le Règlement Général de Protection de Données (RGPD). Il est indispensable pour vous, propriétaires de site Internet, de vous informer sur cette nouvelle règlementation européenne : si vous n’êtes pas en conformité, vous encourez une amende qui selon la catégorie de l’infraction, peut atteindre 4% de votre chiffre d’affaires annuel mondial !
Désormais, quelles sont les bonnes pratiques pour recueillir et traiter des données personnelles sur son site web ?

Le Règlement Général de Protection de Données appliqué aux sites Internet

Attention, dans cet article, nous ne développerons que ce qui touche aux sites Internet.

Mais vous devez savoir que ce règlement concerne votre entreprise dans sa globalité, dans la mesure où vous conservez et traitez des données personnelles (clients, prospects, employés…) ! Vous aurez notamment peut-être besoin de nommer un délégué à la protection des données (DPO) au sein de votre société si vous remplissez certains critères.

Nous vous invitons donc à consulter le site de la CNIL pour en connaître la teneur (voire à appeler leur permanence téléphonique), ou à vous rapprocher d’un juriste ou de votre assistance juridique.

Domaine du web : qui est concerné ?

Il y a de grandes chance que vous soyez concerné, en tant qu’entreprise qui exploite ces données (vérifiez ici si vous rentrez dans ce cadre). Mais désormais, votre prestataire web est aussi responsable !

Question données personnelles

Les bonnes questions à se poser avant une collecte de données à caractère personnel

Avant de collecter des informations sur vos utilisateurs, il est important de réfléchir à ce dont on a réellement besoin. Tout fichier se doit d’avoir un rôle clairement défini. Les notions de finalité, d’information et de protection de l’internaute sont au cœur du fameux règlement.

  • Quelle est la finalité de la collecte / du fichier ?
    Par exemple, si vous récupérez l’adresse e-mail d’un client, j’imagine que c’est dans le but de lui envoyer des e-mails.
  • Mais plus que ça : quels types de mails comptez-vous lui envoyer ?
    Il s’agira, par exemple, d’envoyer des messages promotionnels.
  • Votre client connaît-il vos intentions (celle de lui envoyer les e-mails promotionnels) ?
    Si c’est non, je suis désolée, mais vous n’avez aucune raison d’avoir son adresse…
  • Et surtout, est-il d’accord, non seulement avec le fait de recevoir des e-mails, mais aussi avec vos intentions ?
    Alors il est certain que s’il la saisit lui-même dans un formulaire sur votre site, c’est bien qu’il doit être d’accord avec l’idée que vous possédiez son e-mail (sachez cependant que beaucoup oublient !). Mais s’il ne connaît pas vos intentions… encore une fois, vous n’avez aucune raison d’avoir son adresse ! Et attention : si votre client a consenti à vous fournir cette donnée, c’est uniquement pour la raison que vous lui avez explicité.
  • Durant combien de temps comptez-vous conserver ces données ?
    Si la finalité est bien définie dès le départ, la durée de conservation en découlera d’elle-même.
  • Ces données sont-elles bien protégées ?
    Dans la mesure où vous détenez des informations à caractère personnel, vous vous devez de faire en sorte qu’elles ne tombent pas dans d’autres mains ! Désormais, s’il y a fuite dans vos données (un piratage, par exemple), vous devez immédiatement en informer la CNIL ainsi que chacun des clients impactés ! Autant vous dire que ça la fiche mal au niveau confiance s’il y a une fuite…

Comment gérer la collecte des données personnelles sur son site web ?

Comme on a pu le voir dans nos articles sur les données à caractère personnel et sur les cookies web, il existe différentes manières de collecter des données sur l’utilisateur. Voici quelques pistes pour gérer au mieux cette collecte en redonnant un certain contrôle à l’internaute :

Les formulaires

Formulaire de contact
Lorsque vous recevez des données via un formulaire de votre site, l’internaute, a priori, vous les confie en connaissance de cause, dans la mesure où c’est lui qui les saisit… Mais attention : la règlementation vous oblige, vous et votre prestataire web, à certaines précautions :

La protection des données collectées s’applique quand vos recueillez des informations personnelles via un formulaire

Si nous avons réalisé votre site web, rappelez-vous que nous vous avons fait effectuer une déclaration de fichier sur le site de la CNIL. Cette démarche visait à l’informer que vous stockiez des données personnelles.

Cette déclaration préalable à la CNIL disparaît ! Mais attention, si les démarches sont simplifiées, c’est au profit d’une attention accrue de la part des entreprises pour protéger les données collectées.

On peut recueillir le consentement de l’utilisateur à l’aide d’une case à cocher non cochée par défaut

Ainsi, on est sûr que si le formulaire a été soumis, c’est que l’internaute consent à ce que ses données soient exploitées dans la finalité explicitée.

Consentement dans un formulaire de contact

Afin d’éviter les fuites lors de l’envoi des données saisies dans le formulaire, La CNIL recommande de sécuriser votre site en installant un certificat SSL / TLS (HTTPS)

Cliquez ici pour savoir pourquoi et comment passer son site web en HTTPS. Pensez également à sécuriser (boîtes mail, ordinateurs…) et limiter l’accès aux données stockées.

Abonnements aux newsletters : pensez bien à faire figurer votre identité et un lien de désinscription dans vos mails !

L’utilisateur doit avoir préalablement donné son accord. Lui envoyer un mail avec un lien de confirmation (double opt-in) est une bonne pratique. Cela signifie que tant qu’il n’aura pas confirmé son inscription en cliquant sur le lien, il ne recevra pas de newsletter.
Si l’utilisateur a donné son consentement, vous pouvez lui rappeler dans la newsletter qu’il a souscrit à l’abonnement via votre site. Très fréquemment, les gens oublient leur inscription ou sur quel site ils se sont inscrits…

Mais attention : si l’internaute n’a pas souscrit à notre newsletter, c’est simple : on ne lui envoie pas de newsletter !

Si vous collectez aussi l’adresse IP lors d’un envoi, il est obligatoire de le mentionner

Faites figurer l’information avec votre formulaire, ainsi que dans votre page dédiée aux mentions légales. Mais attention, il faut aussi expliquer pourquoi ! Par exemple, lors de la soumission du formulaire de contact de notre site, nous recueillons votre adresse IP à des fins de protection du site (et pour rien d’autre). Nous le spécifions sous le formulaire et dans notre charte de confidentialité.

Les données obligatoires à renseigner dans votre formulaire doivent être mentionnées (toujours en indiquant pourquoi)

Et en gros, c’est simple, si une donnée n’est pas pertinente, ne la collectez pas. Tout à peu près est possible, du moment qu’une bonne raison vous y pousse et que vous l’expliquez de manière intelligible à l’utilisateur. Mais par exemple, un champ demandant un numéro de téléphone dans un formulaire d’inscription à votre newsletter n’a pas lieu d’être…

Tenez-vous à vos intentions

Enfin, je me répète mais c’est important, pour votre traitement, tenez-vous aux finalités que vous explicitez ! Un formulaire de contact, dédié uniquement à une meilleure connaissance de vos produits ou au recrutement, n’est pas un abonnement à une newsletter.

Les données ont toutes une durée de validité.

Si la finalité de votre traitement est claire, elle en découlera d’elle-même. Au-delà d’un temps défini, certaines données n’ont plus lieu d’être stockées. Comme le mentionne la CNIL, « une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a plus lieu de les conserver et elles doivent être supprimées ». A contrario, d’autres se doivent d’être archivées (comme les factures clients).

Vous avez également l’obligation d’informer l’utilisateur à ce sujet.

Cookies

Les cookies web

Je vous invite à découvrir ce qu’est un cookie dans cet article.

Les cookies permettent de collecter certaines données précieuses pour une entreprise, mais peuvent parfois se révéler intrusifs pour l’internaute ! Il faut donc qu’il puisse avoir un contrôle sur ces informations qu’il donne sans en avoir conscience…

Mais concrètement, comme on fait ?

En tant qu’éditeur de site, vous avez a minima un devoir d’information !

La finalité des cookies et leur configuration doivent apparaître dès le début de sa navigation (reportez-vous à la section 2 concernant les gestionnaires de tag). Leur finalité doit également apparaître dans vos mentions légales afin d’expliquer à quoi servent les cookies déposés.
Analytics

Cas épineux : les fameux cookies tiers, ces cookies laissés par d’autres services que le site visité. Il existe différentes sortes de cookies tiers, mais on ne va vous citer que les plus courants :

  • Certains services comme Google Analytics sont des émetteurs tiers.
    Ils ont, pour la CNIL, la qualité de sous-traitant, car ils déposent des cookies afin de traiter des données pour votre compte. En effet, en tant qu’éditeur de site, c’est vous ou votre prestataire web qui avez fait la démarche d’installer Google Analytics (ou autre). Vous êtes donc considéré comme le responsable du traitement. Il vous appartient donc de vous conformer à la réglementation concernant la conservation, le traitement et la protection des données ;
  • Les widgets de réseaux sociaux (Facebook, LinkedIn…) ou encore les vidéos (Youtube, Vimeo, Dailymotion…) – pour ne citer qu’eux – intégrés sur votre site, déposent des cookies pour LEUR compte.
    Vous-même, éditeur de site, n’avez jamais accès aux données qu’ils ont collectées (vous ne le saviez peut-être même pas). Vous n’êtes donc pas responsable du traitement, dans ce cadre, mais sous-traitant.

Mais dans tous les cas, en tant qu’éditeur du site, vous avez l’obligation d’informer les internautes sur les cookies (même si vous n’êtes pas responsable du traitement) !

Rapprochez-vous de votre prestataire web.

A tout moment, l’utilisateur doit pouvoir consentir ou refuser l’installation des cookies

Configurer cookies
cookies bar
Le consentement de l’internaute doit pouvoir être recueilli préalablement à l’utilisation des cookies. Le message ne doit pas disparaître tant que l’utilisateur n’a pas donné son accord. Mais il doit aussi pouvoir configurer ses préférences n’importe quand.

Des solutions existent : un gestionnaire de tag peut permettre à l’internaute de sélectionner tout ou partie des cookies qu’il accepte. Pour notre site, nous utilisons le script tarteaucitron.js, le même qui est utilisé sur le site de la CNIL. Nous vous proposerons un article très prochainement concernant l’intégration de certains widgets courants (vidéos, réseaux sociaux…), compatibles avec ce fameux script.

Rapprochez-vous de votre prestataire web.

Certains cookies sont dispensés de consentement

Selon la CNIL, « Il s’agit des cookies et des traceurs strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur. » En d’autres termes, ceux qui sont nécessaires au bon fonctionnement d’un site et au confort de navigation de l’internaute : panier d’achat, identification, personnalisation de l’interface, choix de la langue, cookies de session pour lecteur multimédia…

Bon à savoir : il existe d’autres outils de mesure d’audience que Google Analytics qui, eux, sont dispensés de consentement ! Pour en savoir plus sur les outils de mesure d’audience conformes, allez faire un tour sur cette page ou rapprochez-vous de votre prestataire web.

Mentionnez la durée de vie de chacun des cookies dans vos mentions légales ou votre page dédiée

Note importante : La CNIL plafonne la durée de vie maximale d’un cookie et la durée de validité du consentement de l’internaute à 13 mois.

Papier notes

En résumé

Vous devez connaître la finalité de chaque fichier (et vous y tenir)

On réfléchit aux informations dont on a réellement besoin avant de collecter des données sur son site. Les données collectée doivent être en corrélation avec la finalité du fichier explicitée à l’internaute.

Il est indispensable d’indiquer à l’internaute à quoi vont servir les informations qu’il vous envoie

Ces informations doivent figurer dès le début de la navigation (et constamment accessibles) pour les cookies, dans vos formulaires et dans une page dédiée (classiquement, vos mentions légales, page qui je le rappelle, est obligatoire sur tout site Internet).

L’utilisateur doit garder un contrôle sur ses données

Pour les cookies, des solutions techniques assez simples à intégrer existent comme les gestionnaires de tag (tarteaucitron.js entre autres).
Pour les formulaires, on peut ajouter un case à cocher selon laquelle il accepte que ses données soient utilisées dans le cadre explicité par vos soins.
En outre, l’utilisateur détient un droit d’accès, de modification et d’opposition aux données le concernant (articles 38 et suivants de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) ;

Il doit figurer également la durée pour laquelle ces données seront conservées

La durée de conservation des données doit aussi apparaître (maximum 13 mois pour les cookies) ;

Les données sont confidentielles

Bien évidemment, on ne divulgue pas les données que l’utilisateur nous a confiées !

Les données doivent être convenablement protégées

S’il y a fuite des données, vous avez une responsabilité.

Vous êtes impactés autant que votre prestataire web

Attention, le rôle de la CNIL n’est pas de sanctionner. Dans le cas d’un contrôle, s’il y a non conformité dans vos traitements, vous en serez d’abord alerté. Mais si vous n’écoutez pas leurs recommandations, les sanctions peuvent être très lourdes pour une petite société !

Note importante

Cet article représente le fruit de nos recherches dans le but de répondre au mieux à nos besoins ainsi qu’à ceux de nos clients. Il ne se veut pas exhaustif, chose impossible en un seul article. Pour aller plus loin ou pour des informations plus spécifiques à votre activité, nous vous recommandons de consulter le site de la CNIL ou de vous renseigner auprès de personnes compétentes dans le domaine.

En outre, nous faisons de notre mieux afin de transmettre de la manière la plus accessible ces aspects juridiques… Mais nous ne sommes pas juristes ! N’hésitez donc pas à nous contacter si vous releviez d’éventuelles erreurs.