Comment rendre conforme son site internet au RGPD ?

RGPD : comment rendre son site web conforme ?

| Site internet

Protéger la vie privée des utilisateurs est devenu un enjeu majeur dans l’univers numérique. Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD), les propriétaires de sites internet doivent s’assurer de respecter les normes strictes de confidentialité et de sécurité des données personnelles. En 2022, 21 sanctions ont été prises par la CNIL pour un montant de 101 277 900 € (source: CNIL). De la mise en place d’une politique de confidentialité claire à l’utilisation de cookies, découvrez les étapes essentielles pour rendre votre site internet conforme au RGPD.

Définition du RGPD

Le RGPD (Règlement général sur la protection des données) est une législation de l’Union européenne qui régit la protection des données personnelles des individus. Adopté par le parlement européen le 27 avril 2016, il établit des règles et des obligations pour les organisations qui traitent des données personnelles, en garantissant le droit à la vie privée et à la protection des données des citoyens européens. Il est applicable aux Etats membres de l’Union européenne depuis le 25 mai 2018.

Le RGPD définit les principes clés de la collecte, du traitement, du stockage et de la sécurisation des données personnelles, ainsi que les droits des personnes concernées et les sanctions en cas de non-respect de ces règles.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une information qui identifie ou permet d’identifier une personne physique spécifique. Cela peut inclure des informations telles que le nom, l’adresse, le numéro de téléphone, l’adresse e-mail, le numéro de sécurité sociale, l’empreinte digitale, l’adresse IP, l’historique de navigation sur Internet, ou tout autre élément qui permet d’identifier directement ou indirectement une personne.

Qui est concerné par le RGPD ?

Le Règlement général sur la protection des données de l’Union européenne concerne toutes les organisations, tant privées que publiques, situées au sein ou en dehors de l’UE, qui traitent des données personnelles de résidents de l’Union européenne. Cela inclut les entreprises, les institutions gouvernementales, les associations à but non lucratif, ainsi que les sites web et les applications qui collectent des données personnelles des utilisateurs de l’UE.

Qui contrôle le respect du RGPD ?

La bonne application du RGPD est contrôlée par les autorités de protection des données (APD) de chaque pays membre de l’Union européenne. Chaque Etat a son propre APD chargée de surveiller et d’assurer la conformité au RGPD au niveau national. En France, ce contrôle est effectué par la CNIL (Commission Nationale de l’Informatique et des Libertés).

Au niveau européen, le Comité européen de protection des données (CEPD) coordonne la coopération entre les APD et assure une approche harmonisée de la protection des données au sein de l’UE.

A lire également : Intelligence artificielle, définition et applications en marketing digital

RGPD – 2 minutes pour comprendre (source : Topo Video)

Que faire pour rendre son site conforme au RGPD ?

Au préalable, interrogez-vous sur l’utilité des informations que vous demandez à l’utilisateur. Sont-elles nécessaires à l’accomplissement des services que vous lui proposez ? Par exemple, il n’est pas essentiel pour une marque d’électroménager de demander la nationalité de son client quand il achète une machine à café. Par contre, son lieu de résidence ou de livraison sera bien plus utile.

Pour rendre votre site conforme au RGPD, il convient ensuite de respecter des règles et afficher certaines informations sur votre site internet. 

Mentions légales obligatoires

Tout site internet doit disposer de mentions légales permettant à l’internaute d’identifier la société éditrice du site. Voici la liste des informations requises :

  • Identité du propriétaire du site : nom ou dénomination sociale, adresse, numéro de téléphone, adresse électronique ;
  • Statut juridique et numéro d’immatriculation au registre du commerce (RCS) ;
  • Numéro de TVA (si assujetti) ;
  • Identité de l’hébergeur du site : nom et coordonnées ;
  • Directeur de la publication : nom et coordonnées de la personne responsable du contenu du site ;
  • Conditions Générales de Vente (CGV), s’il s’agit d’un site commercial.

Plus d’informations sur le site Entreprendre Service Public.

Politique de confidentialité et de protection des données

Rédigez et affichez une politique de confidentialité claire et facilement accessible sur votre site (généralement dans le footer) décrivant comment vous collectez, utilisez, stockez et protégez les données personnelles. Elle doit contenir les éléments suivants :

  • Informations et coordonnées de l’entreprise responsable de la collecte et du traitement des données ;
  • Nature et finalité de données collectées ;
  • Durée de conservation des données (25 mois maximum) ;
  • Méthodes de collecte utilisées : formulaires en ligne, cookies, enregistrements d’activité, etc ;
  • Qui a accès aux données collectées (outils tiers, partenaires, employés…) ?
  • Les mesures de sécurité mises en place pour protéger les données personnelles contre tout accès non autorisé, leur divulgation ou leur altération ;
  • Droit des utilisateurs d’accès, de rectification, de suppression ou de retrait du consentement ;
  • Transferts internationaux : si des transferts de données vers d’autres pays ont lieu, mentionner les garanties mises en place pour assurer un niveau de protection adéquat ;
  • Politique de gestion des cookies ;
  • Communication des mises à jour de la politique de confidentialité.

Pour davantage d’informations ou d’assistance, faites appel à un spécialiste du droit ou consultez la fiche pratique de Legalstart.

Cookies et Traceurs : recueil du consentement

Le simple fait de poursuivre sa navigation sur un site web ne constitue pas un consentement au dépôt de cookie sur son navigateur internet. Depuis 2018, il est obligatoire de recueillir expressément le consentement de l’utilisateur avant de suivre sa navigation.

Bandeau cookie : obtenir un consentement éclairé

Afin de recueillir le consentement des utilisateurs au dépôt de cookie, il est nécessaire d’afficher sur votre site web un bandeau donnant une information claire sur la finalité de chaque traceur que vous utilisez. Ainsi, l’internaute pourra effectuer un choix éclairé sur le suivi de sa navigation en cochant une case pour chaque traceur. Ces cases ne doivent pas être pré-cochées car le consentement doit être donné de manière délibérée.

Il est également possible pour l’internaute d’accepter l’ensemble des cookies mais le refus des cookies doit être aussi facile que l’acceptation, c’est-à-dire que le bouton doit être de la même taille, de même couleur et au même niveau. Enfin, il doit être donné la possibilité à l’utilisateur de retirer son consentement à tout moment.

La durée de vie d’un cookie ne doit pas excéder 13 mois.

exemple de bandeau cookie pour la conformité RGPD (source: cnil)
Exemple de bandeau cookie (source : CNIL)

Cookie wall

Un cookie wall (ou mur de cookies) fait référence à une pratique utilisée sur les sites web pour obliger les utilisateurs à accepter les cookies avant d’accéder au contenu du site. Elle est utilisée notamment par les sites médias dont les ressources financières proviennent essentiellement de la publicité. Sans collecte de données sur les utilisateurs (comportement, préférences), ils n’ont donc plus aucune possibilité de vendre leurs inventaires publicitaires. Si l’internaute refuse le dépôt de cookies sur son navigateur, les éditeurs de sites médias lui proposent souvent une autre alternative, la souscription d’un abonnement pour compenser le manque à gagner. C’est ce que l’on appelle le “paywall”.

Cette pratique a suscité des préoccupations en matière de vie privée et de consentement, car elle peut être perçue comme une forme de coercition pour obtenir le consentement des utilisateurs. Le Conseil d’Etat a tranché et indique dans sa décision du 19 juin 2020 que la CNIL ne peut pas interdire l’utilisation de cookie walls et que la liberté de consentement doit être évaluée au cas par cas.

Exemple de cookie wall sur le site allocine.fr
Exemple de cookie wall sur le site Allociné.fr

Gardez une preuve du recueil de consentement

Le délégué à la protection des données (DPO), responsable du traitement des données au sein de l’entreprise doit conserver des preuves de consentement, y compris la date, la méthode utilisée pour obtenir le consentement, les informations fournies aux personnes concernées et tout autre détail pertinent. Ces enregistrements peuvent servir de preuve de conformité en cas de contrôle des autorités.

Les outils de gestion de consentement

Il existe plusieurs outils de gestion de consentement, la plupart freemium, qui sont utilisés pour respecter les réglementations en matière de protection des données. Selon les cas, ils permettent d’afficher le bandeau cookie, de consigner les consentements, et de suivre ces derniers via un tableau de bord. Voici quelques exemples d’outils de gestion de consentement que vous pouvez utiliser : OneTrust, Axeptio, Cookiebot, Iubenda, Cookie Consent.

Formulaires de collecte de données

Sur un site internet, on peut utiliser des formulaires à des fins multiples : pour demander un devis, pour un simple contact, pour télécharger un guide, s’inscrire à un événement ou à une newsletter. Quel que soit l’objectif du formulaire, vous devez afficher en dessous de ce dernier une mention d’information sur la finalité de traitement et la destination des données collectées, ainsi qu’un lien vers votre politique de protection des données.

Une case à cocher peut également être nécessaire afin que l’internaute puisse, en la cochant, donner son consentement à l’utilisation de ses données. La case ne doit pas être précochée. Les éditeurs doivent privilégier la méthode “opt-in”, c’est-à-dire que si l’internaute ne coche pas la case, il ne donne pas son consentement.

Exemple de formulaire avec mention RGPD
Exemple de formulaire avec mention RGPD

Hébergement des données en Europe

Il n’y a aucune obligation à héberger ses données en Europe mais c’est fortement recommandé. Si vous stockez des données personnelles d’individus résidant dans l’UE, le transfert de ces données vers des pays situés en dehors de l’UE peut être soumis à des restrictions. En hébergeant vos données en Europe, vous évitez ces complications.

Héberger vos données en Europe peut également inspirer confiance à vos utilisateurs et partenaires commerciaux européens, qui peuvent être plus à l’aise à collaborer avec des entreprises respectant les normes européennes en matière de protection des données.

Droits d’accès, de rectification et suppression des données

Le RGPD accorde aux individus certains droits concernant leurs données personnelles. En tant qu’éditeur de site web, vous devez indiquer clairement, au sein de votre politique de protection des données, comment ils peuvent exercer ces droits (contact par email ou formulaire) : 

  • Droit d’accès : il s’agit du droit de demander à une organisation quelles données personnelles elle détient à votre sujet et de recevoir une copie de ces données ;
  • Droit de rectification : si les données personnelles détenues par une organisation sont inexactes ou incomplètes, l’utilisateur a le droit de demander leur rectification ou leur mise à jour ;
  • Droit à l’effacement (ou droit à l’oubli) : dans certaines circonstances, il est possible de demander à une organisation d’effacer vos données personnelles. Cela peut être le cas si les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, si vous retirez votre consentement ou si le traitement des données est illicite.

Mesures de sécurité

Mettez en place des mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, les fuites ou les pertes. Cela peut inclure le chiffrement des données, l’utilisation de pare-feu et de systèmes de détection d’intrusion, ainsi que des contrôles d’accès stricts.

Utilisez le protocole TLS (anciennement SSL) pour sécuriser les échanges de données entre le navigateur de l’internaute et votre site web grâce à une connexion chiffrée. La plupart des sites internet en disposent aujourd’hui. Il est symbolisé par un petit cadenas dans la barre d’url, cette dernière commençant par “https”.

Pour les transactions bancaires, faites appel à des organismes disposant de services de paiement en ligne sécurisés. Ne gardez pas les coordonnées bancaires de vos clients.

A lire également : Transformation digitale et numérique, définition et enjeux

Quels sont les outils de suivi d’audience exemptés de consentement ?

Sans consentement de l’utilisateur, aucun dépôt de cookie n’est possible. Dans votre outil de suivi d’audience comme Google Analytics, vous ne disposez donc que d’une vision partielle du trafic de votre site, 70, 60 voire 50% (selon une étude menée par Didomi p8), ce qui constitue un réel souci en matière d’analyse des données tant au niveau du trafic organique (SEO) que payant (SEA).

Certains outils de suivi d’audience, également appelés “traceurs”, sont exemptés de consentement par la CNIL. Ce sont généralement des outils analytiques qui collectent des données de manière anonyme sans identifier personnellement les utilisateurs. Ainsi, vous n’avez pas besoin d’afficher un bandeau de cookie sur votre site web. Le recours à ces outils (payants) vous permet de disposer de l’exhaustivité des visites effectuées sur votre site.

Voici quelques exemples d’outils de suivi d’audience qui peuvent être utilisés sans consentement : AT Internet, Piwik PRO Analytics, Matomo Analytics.

Quelles sont les sanctions en cas de non-conformité ?

Les sanctions que la CNIL peut imposer en vertu du RGPD comprennent des avertissements, des limitations de traitement, des ordres de rectification ou de suppression de données, des amendes administratives et des interdictions temporaires ou définitives de traitement des données. Les amendes administratives peuvent atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel de l’entreprise, selon le montant le plus élevé.

Les sanctions sont évaluées au cas par cas en fonction de la gravité de l’infraction, de l’ampleur de la violation des droits des personnes concernées et de la coopération de l’organisme mis en cause avec la CNIL.

En conclusion, rendre son site internet conforme au RGPD est essentiel pour garantir la protection des données personnelles de vos utilisateurs. En adoptant une approche proactive, vous pouvez prévenir les risques de non-conformité et renforcer la confiance de vos visiteurs. N’oubliez pas de consulter les ressources officielles du RGPD pour vous tenir informé des mises à jour réglementaires.


Florian Geri

Auteur

Florian Geri

Partager: