7 actions pour la conformité RGPD de votre site web

Votre site web est une vitrine de votre activité, de votre offre. Mais sachez qu’il est également une vitrine de certains de vos processus internes, y compris vos processus de conformité au RGPD et de protection des données personnelles et de la vie privée.

Désormais, les internautes sont de plus en plus sensibilisés aux enjeux de conformité au RGPD : ils comprennent de mieux en mieux les risques liés aux traitements de leurs données personnelles, sont informés de leurs droits, et ils n’hésitent désormais plus à les exercer.

Le nombre croissant de plaintes réalisées auprès de la CNIL en est une preuve : les internautes sont soucieux de l’utilisation qui est faite de leurs données personnelles, et n’hésitent plus à dénoncer les entreprises qu’ils estiment ne pas respecter les règles.

Alors quelles sont les actions de conformité de site web indispensables ? Sur quels éléments devez-vous rester vigilant de façon à garantir la conformité RGPD de votre site web ?

1- Minimisez les activités de collectes de données personnelles

Le premier élément indispensable à la conformité de votre site web consiste à minimiser autant que possible les collectes de données personnelles que vous réalisez avec votre site.

En effet, vos formulaires de contact, d’abonnement à une newsletter ou d’inscription à un évènement recueillent bien souvent des données personnelles (un nom, un prénom, une adresse email et/ou un numéro de téléphone).

Le RGPD exige que vous minimisiez ce type de recueil de données personnelles : ainsi, vous êtes autorisés à obtenir seulement les informations personnelles dont vous avez strictement besoin. Prenons l’exemple d’un formulaire d’inscription à la newsletter : demander une adresse email semble logique, demander un prénom peut également se justifier (je souhaite personnaliser mes envois d’email). Cependant, vous ne seriez pas autorisé à demander une adresse postale ou un numéro de téléphone : pour quelles raisons auriez-vous besoin de ces informations pour envoyer vos emailings ?

Vous l’aurez compris, le principe de minimisation des données exige que les entreprises recueillent et traitent uniquement les données nécessaires et utiles. Il est interdit de récolter des données « au cas où ».

Désormais, les internautes ne souhaitent plus partager autant d’informations personnelles en ligne, ainsi ils se méfient de ces formulaires trop inquisiteurs, qu’ils n’hésitent plus à dénoncer.

Pour plus de détails sur les principes relatifs aux traitements des données à caractère personnelle, nous avons rédigé un article de blog à ce sujet.

2- Veillez à informer correctement les personnes concernées

C’est ce qu’on appelle le principe de transparence : les internautes doivent être informés de manière claire et compréhensible de toutes les étapes du traitement de leurs données à caractère personnel.

Cela signifie que l’internaute doit comprendre pourquoi ses données personnelles sont obtenues, les finalités de traitements (pourquoi ce traitement de données est réalisé), la base légale applicable, les destinataires potentiels de ces données ainsi que ses droits ‘Informatique et Libertés’.

Et cela pour chaque traitement de données !

Admettons par exemple que vos proposiez, sur votre site web, une inscription à votre newsletter ainsi qu’un outil de demande de devis en ligne. Ces deux formulaires devraient ainsi comporter des éléments d’informations bien spécifiques qui leur sont propres, expliquant clairement quelles données sont recueillies et traitées, comment et pourquoi, ainsi que les droits dont disposent les internautes.

Ces mentions d’informations sont strictement obligatoires. Le RGPD étant une règlementation qui vise à favoriser des traitements de données personnelles éthiques et respectueux de la vie privée des personnes concernées, cette démarche de transparence est indispensable.

3- Veillez à obtenir le consentement des personnes concernées

Lorsque vous traitez des données personnelles, les personnes concernées doivent être informées de ces traitements de données (c’est la partie précédente) mais aussi, parfois, elles doivent avoir consenti à ces traitements de données !

Le consentement n’est que l’une des six bases légales permettant à une entreprise de justifier et de légitimer des traitements de données personnelles (pour plus de détails sur ces 6 bases légales, nous avons rédigé un article de blog sur le sujet).

Ainsi, le consentement n’est pas toujours nécessaire ou n’est pas toujours la base légale la plus adaptée.

Cependant, et dans le cadre d’une récolte de données personnelles depuis un site web (grâce aux cookies déposés par le site ou grâce aux formulaires de contact, d’abonnement, d’inscription, etc.) le consentement est LA base légale adaptée !

Ainsi, lorsque vous souhaitez recueillir des données personnelles avec votre site web, vous devez obligatoirement avoir obtenu le consentement des personnes concernées en amont (et bien sûr, vous devez être en mesure de prouver le consentement des personnes concernées, en conservant une preuve de ce consentement quelque part).

4- Proposez une politique de confidentialité

La politique de confidentialité est également un élément obligatoire sur un site internet. Une politique de confidentialité a pour objectif de fournir une information transparente et compréhensible aux internautes, concernant les traitements de données qui sont réalisées via le site internet.

Une politique de confidentialité permet donc de récapituler l’ensemble des traitements de données réalisées sur le site, d’expliquer et d’informer les personnes concernées sur les modalités de ces traitements de données, et enfin de leur faciliter l’exercice de leurs droits Informatique et Libertés.

Il n’est pas recommandé de copier la politique de confidentialité d’un autre site web, tout d’abord pour des raisons évidentes de plagiat (les contenus publiés sur les autres sites ne vous appartiennent pas, vous n’avez donc pas le droit de les ré-utiliser) mais également pour des raisons d’exactitude ! Cette politique de confidentialité doit informer les internautes sur les réelles conditions de traitements de leurs données personnelle sur VOTRE site (et non sur celui du voisin).

5- Affichez une bannière cookies conforme

L’absence de bannière cookies conforme est probablement l’élément le plus remarqué sur un site internet. Les internautes savent parfaitement que chaque site web doit proposer une bannière cookies, afin de leur permettre de refuser les cookies marketing ou d’analytics.

Et une fois encore, les internautes n’hésitent pas à dénoncer les entreprises qui pourraient faire preuve de mauvaise foi.

Pour être conforme, votre bannière cookies doit :

• Permettre de refuser les cookies aussi simplement que de les accepter (ainsi, un bouton « Tout refuser » doit être proposé et bien visible).

• Être correctement paramétrée. Cela peut paraitre évident, mais les internautes cliquent sur « refuser tout », il est indispensable que les cookies soient effectivement désactivés ! Il serait parfaitement illégal de laisser les internautes penser qu’ils ont désactivé le suivi des cookies si ce n’est pas le cas !

• Proposer un lien vers la page de politique de confidentialité (pour plus d’informations sur les traitements de données réalisés).

• Permettre à l’internaute de changer d’avis. C’est-à-dire que si l’internaute consent une fois à être suivi par des cookies d’analytics, il n’est pas permis de suivre cet internaute ad vitam aeternam, son consentement a une durée de vie et l’internaute doit pouvoir changer d’avis !

6- Respectez les droits des personnes concernées

Les internautes et plus particulièrement les personnes concernées par les traitements de données personnelles ont des droits : c’est ce qu’on appelle les droits ‘Informatique et Libertés’. Ils ont ainsi le droit d’accéder à leurs données, le droit de demander leur modification, leur suppression, leur portabilité, etc.

Ces droits sont indiscutables, et vous êtes dans l’obligation, en tant qu’entreprise responsable des traitements de données, de permettre aux personnes concernées d’exercer leurs droits facilement.

Pour cela, vous devez leur fournir un contact dédié, qui devra évidement faire preuve de réactivité et de professionnalisme, pour faire suite aux demandes des personnes concernées.

7- Veillez à la sécurité des données

Et enfin, en tant qu’éditeur de site web et responsable des traitements de données personnelles réalisées dans votre entreprise, vous êtes dans l’obligation d’assurer la sécurité des données personnelles qui vous sont confiées via votre site web !

Ainsi, vous devez assurer la confidentialité, l’intégrité et la disponibilité de ces données.

Pour plus de détails sur les principes fondamentaux de la sécurité de l’information, nous avons rédigé un article de blog sur le sujet.

Et vous devez évidement être en mesure de prouver que des actions de sécurisation des données ont été correctement mises en place.

Pour cela, vous pouvez mettre en place une politique de contrôle des accès, une politique de sauvegarde et de restauration des données, suivre et répertorier toutes les modifications apportées aux données, etc.

Pour conclure

Ainsi, la conformité au RGPD d’un site web dépend de plusieurs éléments tous très complémentaires.

Votre site web est une vitrine sur vos activités, sur votre entreprise et sur votre mission d’entreprise. Mais gardez à l’esprit qu’il est également une vitrine de vos processus internes, et tout particulièrement de vos processus de conformité réglementaire et de protection de la vie privée.

Proposer aux internautes un site internet conforme aux exigences du RGPD contribue ainsi à envoyer un message très positif à votre audience, qui peut alors juger du sérieux de votre prise en compte de ces enjeux de protection de la vie privée.

Articles complémentaires :

• 6 bonnes raisons de faire appel à un DPO externalisé

• RGPD et prospection commerciale B2C et B2B : ce que vous pouvez (et ne pouvez pas) faire.

• Ces offres en conformité RGPD qui devraient vous alerter

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !