Un projet? 04 79 25 19 19

Loi RGPD

Mise en conformité de votre site web

Qu'est-ce que le RGDP ?


A partir du 25 mai 2018, le RGPD (Réglement Général sur la Protection des Données) entre en application.
Ce réglement a pour objectif de renforcer les droits des individus concernant leurs données personnelles et d'uniformiser les lois sur la protection des données au sein de l'Union Européenne.

Si votre établissement exerce une activité en UE et que vous collectez et traitez des données à caractère personnel (nom, prénom, email, adresse IP...) dans un cadre d'activités professionnelles, vous êtes concerné.
Et si vous ne voulez pas risquer une amende, vous devez mettre en conformité votre site web.

Comment se mettre en conformité ?

1. Désigner un DPO

Si votre entreprise traite régulièrement des données personnelles à grande échelle ou des données personnelles dites “sensibles” (opinions politiques, condamnations pénales, …) à grande échelle, vous devez désigner un DPO. Ce DPO (Délégué à la Protection des Données) peut être soit interne, soit externe à l’entreprise. Si vous choisissez d’en désigner un en interne, il doit avoir certaines compétences en informatique, une bonne connaissance de l’entreprise et ne doit pas avoir de conflit d'intérêt avec son métier. Vous pouvez aussi faire appel à un tiers (bureau d’avocat …) pour désigner un DPO externe.

Il va devoir exécuter plusieurs missions notamment de conseil et d’information du responsable de traitement, des sous-traitants et des employés dans l’objectif de veiller au bon respect du règlement pour la protection des données. Le DPO doit vérifier l’exécution des études d’impacts (PIA) sur la protection des données pour les données sensibles. Il doit aussi se tenir informé des nouvelles obligations et coopérer avec la CNIL pour une bonne entente dans le respect du règlement.
Les informations des sous-traitants, nécessaires pour prouver la conformité en cas de contrôle de la CNIL, doivent rester accessibles au DPO.

Enfin, il doit veiller au respect des décisions prisent (mesures de sécurités, fin de vie des données, … ) auprès des sous-traitants ainsi que mener des actions de sensibilisation (confidentialité, … ) pour les employés et les sous-traitants. Il y a co-responsabilité, si le sous-traitant n’est pas conforme, vous êtes aussi fautif !

2. Tenir un registre des traitements

Avec l’aide des responsables des traitements qui fournissent les informations nécessaires, il faut mettre en place un registre de traitement qui sera toujours bien actualisé. Vous devez déclarer vos traitements sur le site de la CNIL. Ce registre regroupe toutes les données personnelles collectées avec leur finalité, leurs durées de conservation, les personnes ayant accès à ces données, la présence ou non de données sensibles, les flux éventuels hors UE, les procédures misent en place en cas de violation des données … Vous devez veiller à ne garder que les données nécessaires pour leur(s) finalité(s).

3. Définir des procédures de sécurité

En cas de traitement de données personnelles, il faut toujours veiller à ce que les données soient protégées et cela, dès la conception même d’un traitement ou d’une application. Vous devez mettre en place une sensibilisation et une organisation de la remontée d'informations (construction d’un plan de formation et de communication). Le responsable du traitement doit s’occuper de la gestion des demandes et des réclamations sur les droits des personnes (droit d’accès, droit de portabilité, retrait de consentement, droit d’oubli … ) dans un délai de 2 mois.

Pour assurer une prise en compte optimale de la protection des données personnelles, le responsable du traitement doit mener, avec l’aide du DPO, une étude d’impact sur la vie privé (PIA) pour déterminer les données personnelles traitées pouvant affecter les droits et les libertés des personnes concernées.

Enfin, les possibles violations de données doivent être anticipées, en cas de vol, vous avez 72h pour en informer la CNIL et vous devez dès que possible en informer les personnes concernées.

4. Elaborer un dossier de conformité

En cas de contrôle par la CNIL, un dossier de conformité vous sera demandé pour prouver le bon respect des obligations du règlement. Ce dossier doit être constitué de plusieurs documents comme la documentation des traitements de données personnelles, le recueil du consentement des personnes, les contrats définissants les responsabilités et les rôles des différents acteurs … Vous devez être capable de justifier toutes vos décisions avec ce dossier. Si vous n’êtes pas conforme, dans tous les cas, l’employeur est responsable.

5. Adapter votre site web

Outre vos outils de gestion de clientèle, de facturation... votre site web recueille des données personnelles ! Ces données peuvent être collectées avec l’utilisation de plusieurs modules notamment via des formulaires de contact, d'inscription à une newsletter, des tracker de mesure d’audience, de publicité, des boutons de partage, des vidéos, de l’e-commerce, des comptes utilisateurs…

Avec le RGPD, la notion de consentement de l’utilisateur est mis au premier rang (et ça, ça va changer beaucoup de choses !). En effet, le consentement doit toujours être demandé et l’utilisateur doit être informé de l’utilisation que vous allez faire de ses données ainsi que la durée que vous allez les conservées. Néanmoins, certains cookies techniques ou neutre sont exemptés de consentement (authentification Drupal de sessin, audience Matomo/Piwik, AT Internet) sous réserve de respecter quelques paramétrages complémentaires. Vous devez aussi demander le consentement de l’utilisateur pour l’envoi de newsletter.

Si vous mettez en place des cookies servant au recueillle de données personnelles (Analytics, Facebook, Youtube...), vous devez laisser le choix à l’utilisateur d’accepter ou de refuser leur pose sur votre site. Fini l’époque ou l’on pouvait récolter des informations sur les utilisateurs sans qu’ils soit plus ou moins au courant ! Il faut également permettre à l’utilisateur de changer d’avis à tout moment et de pouvoir décider finalement d’enlever la pose de cookies sur le site.
La possibilité pour les utilisateurs d’exercer leurs droits est aussi mise en avant avec le RGPD. Vous devez faire apparaître dans les mentions légales par exemple que l’utilisateur peut exercer son droit à l’information (savoir quelles informations sont détenues), son droit à l’opposition,  son droit d’accès et de rectification. Le RGPD insiste sur le droit d’oubli (demander l’effacement total des données le concernant) et le droit de portabilité. L’utilisateur, avec ce dernier, peut accéder aux informations le concernant et demander de les récupérer de manières compréhensible pour pouvoir les transmettre à un autre organisme.

Quels sont les éléments à respecter selon les outils de collecte de données ?

 
Formulaire
Formulaire
Bien souvent, toutes les informations (email, nom, numéro de téléphone …) sont stockées et conservées pour une durée illimitée sans l'accord de l’utilisateur.
  • Les utilisateurs savent-ils dans quel but vous récoltés ces données ?
  • Informez-vous les utilisateurs de cette conservation ?
  • Avez-vous pensé à limiter la durée de stockage ?
  • Respectez-vous les droits des utilisateurs (portabilité, oubli …) ?
Détaillez-vous les processus dans les mentions légales ?
 
Newsletter
Newsletter
Les newsletters sont souvent envoyées en masse à des emails récupérés...
  • Avez-vous demandé leur consentement ?
  • Avez-vous gardé ces preuves de consentement ?
  • L'individu est-il conscient de son acte quand il accepte la réception ?
  • Vos destinataires savent-ils l’objet de ces newsletters ?
  • Peuvent-ils facilement se désinscrire de l’envoi de vos newsletters ?
Partage
Partage
On rencontre souvent des boutons pour partager et liker des pages de réseaux sociaux, mais ces modules déposés pistent les utilisateurs... 
  • L’utilisateur a-t-il la possibilité d’accepter ou de refuser la pose des cookies de réseaux sociaux ?
  • Conservez-vous ces preuves de consentement ?
  • Renouvelez-vous la demande de consentement pour le traitement des cookies tous les 13 mois ?
  • Informez-vous dans quels objectifs sont traités ces données ?
Est-ce que des icones fixes (sans widget et sans cookies) de partage vous ne suffirez pas ?
 
Vidéo
Vidéo
Effectivement, les services embedded / iframe collectent des informations sur l'audience, le comportement, etc. sans consentement ! 
  • Abordez-vous la conformité avec ces prestataires de services externes ?
  • Connaissez-vous youtube-nocookie.com pour inclure vos vidéos ?
Avez-vous testé des solutions payantes pour héberger vos vidéos ?
 
E-commerce
E-commerce
Les coordonnées des clients restent stockées de nombreuses années sur les sites e-commerce alors qu’il n’y en a pas la nécessité absolue.
  • Les données recueillis sont-elles bien sécurisées ? HTTPS ?
  • Recueillez-vous et stockez-vous le consentement de l’utilisateur pour les différentes utilisations que vous pouvez faire de ses données ?
  • Anonymisez-vous les commandes au bout d’une certaine durée de conservation ?
  • Respectez-vous les demandes des utilisateurs sur leurs droits (portabilité, oubli …) ?
Détaillez-vous les processus dans les mentions légales ?
 
Publicité
Publicité
Avant, les cookies publicitaires étaient abusivement utilisés pour pouvoir faire notamment de la publicité ciblé l’utilisateur sur les différents sites qu’il visite mais ça, c’était avant le RGPD.
  • L’utilisateur a-t-il la possibilité d’accepter ou de refuser la pose des cookies publicitaires ?
  • Conservez-vous ces preuves de consentement ?
  • L’utilisateur peut-il naviguer sur le site même s’il a refusé d’être tracké ?
  • Renouvelez-vous la demande de consentement pour le traitement des cookies tous les 13 mois ?
Informez-vous dans quels objectifs sont traités ces données ?
 
Statistiques
Statistiques
Jusqu’à maintenant, l’utilisateur pouvait très rarement s’opposer à la pose de cookie unitairement.
  • L’utilisateur a-t-il la possibilité d’accepter ou de refuser la pose des cookies de trackage ?
  • Conservez-vous ces preuves de consentement ?
  • L’utilisateur peut-il naviguer sur le site même s’il a refusé d’être tracké ?
  • Renouvelez-vous la demande de consentement pour le traitement des cookies tous les 13 mois ?
Informez-vous dans quels objectifs sont traités ces données ?
 
Compte Utilisateur
Compte Utilisateur
Lorsqu’un utilisateur se crée un compte utilisateur, une multitudes d’informations à renseigner sont parfois demandées mais sans être forcément nécessaire.
  • Recueillez-vous et stockez-vous le consentement de l’utilisateur pour les différentes utilisations que vous pouvez faire de ses données ?
  • Les données recueillis sont-elles bien sécurisées ?
  • Conservez-vous que les données uniquement nécessaires ?
  • Respectez-vous les demandes des utilisateurs sur leurs droits (portabilité, oubli, suppression …) ?
Détaillez-vous les processus dans les mentions légales ?
 

Haut de page