12 points pour un site internet conforme au RGPD

Voici 12 étapes pour rendre un site internet conforme aux exigences du RGPD :

  1. Établir une documentation complète de toutes les activités de traitement de données personnelles effectuées sur le site
  2. Évaluer les risques pour la protection des données personnelles en utilisant un outil d’analyse d’impact sur la protection des données (PIA)
  3. Mettre en place les mesures techniques et organisationnelles nécessaires pour garantir la sécurité des données personnelles
  4. Définir clairement les bases légales pour le traitement de données personnelles
  5. Informer les utilisateurs de manière transparente sur l’utilisation de leurs données personnelles
  6. Obtenir le consentement explicite des utilisateurs pour le traitement de leurs données personnelles
  7. Former les employés sur les obligations en matière de protection des données personnelles
  8. Établir des procédures pour gérer les demandes de données des utilisateurs (ex. droit d’accès, de rectification, de suppression)
  9. Établir des procédures pour gérer les incidents de sécurité des données (ex. violations de données)
  10. Évaluer régulièrement la conformité du site internet au RGPD
  11. Sélectionner des sous-traitants en fonction de leur engagement en matière de protection des données personnelles
  12. Désigner un Délégué à la protection des données (DPO) pour gérer la conformité au RGPD.

Nommer un délégué à la protection des données

En clair, donnez ce rôle à vous-même ou quelqu’un dans votre organisation. Le délégué à la protection des données gèrera les registres (point suivant) et pensera à faire modifier votre site en fonction de l’évolution de votre gestion des données personnelles.

DPO, notre Intelligence Artificielle, vous accompagne

 

Spécial DPO - Notre iA vous aide à mettre en place votre conformité RGPD, elle répond à toutes vos questions et problèmatiques RGPD, Sécurité informatique... Une iA spécialement programmée pour les questions de RGPD en France.

Remplir les registres

Les registres de traitements de données sont des documents qui décrivent les activités de traitement de données effectuées par une entreprise. Ils comprennent des informations sur les données collectées, les finalités pour lesquelles les données sont utilisées, les parties auxquelles les données sont communiquées et les mesures de sécurité mises en place pour protéger les données.

Il est important de tenir à jour des registres de traitements de données pour plusieurs raisons:

  1. Cela permet de suivre les activités de traitement de données de l’entreprise et de s’assurer qu’elles sont conformes au RGPD.
  2. Cela peut être utile en cas de contrôle de l’autorité de protection des données ou de demande de renseignements de la part d’un individu concernant l’utilisation de ses données.
  3. Cela peut aider l’entreprise à identifier les risques potentiels pour la protection des données et à mettre en place des mesures de sécurité appropriées.

En résumé, les registres de traitements de données sont des documents importants qui permettent de documenter les activités de traitement de données de l’entreprise et de s’assurer qu’elles sont conformes au RGPD.

Exclusivité DPO PARTAGE

Vos questions sur le RGPD

Gratuitement, poser vos questions sur la conformité RGPD.
Une réponse dans la journée à votre problématique.

Poser ma question

Que faire ?

Passer au HTTPS

Le seul moyen d’assurer à vos visiteurs une vraie confidentialité des données échangées avec votre site, c’est de chiffrer celles-ci. Il n’y a pas 36 façons de procéder, il faut installer un certificat SSL. Vous aurez alors un joli cadenas vert devant votre URL dans les navigateurs et, surtout, vous empêchez quiconque de voler les données personnelles de vos « clients » quand ceux-ci interagissent sur votre site.

Pourquoi passer en HTTPS ?

  1. Sécurité: HTTPS est un protocole de sécurité qui chiffre les données transmises entre votre site et les utilisateurs. Cela signifie que les données ne peuvent pas être interceptées ou modifiées par des tiers pendant leur transmission. Cela rend votre site plus sûr pour les utilisateurs et vous protège contre les attaques de type « homme du milieu ».
  2. Confiance: Les utilisateurs sont de plus en plus conscients de la sécurité en ligne et sont souvent plus enclins à faire confiance à un site Web sécurisé par HTTPS. Cela peut être particulièrement important si vous demandez aux utilisateurs de fournir des informations sensibles, telles que des coordonnées bancaires ou des informations de connexion.
  3. Référencement: Google et d’autres moteurs de recherche donnent un coup de pouce aux sites Web sécurisés par HTTPS dans leurs résultats de recherche. Cela signifie que passer votre site en HTTPS peut vous aider à améliorer votre référencement et à obtenir plus de visibilité dans les résultats de recherche.

Assurez-vous d’avoir un site sécurisé (et plus)

Même avec le HTTPS, si votre site est une passoire (plugins pas à jour, code plein de failles de sécurité, serveur d’hébergement mal infogéré et faillible), tous vos efforts seront vains. Les données personnelles de vos clients seront à la merci d’individus malveillants. Assurez-vous aussi qu’il soit correctement codé, sans quoi les lacunes pourraient vous coûter cher…

Au passage, pensez aussi au minimum à avoir une suite de sécurité correcte sur vos postes de travail. Avez-vous un vrai antivirus et firewall (pas des logiciels gratuits car la plupart du temps ils ressemblent à ça… ) sur tous vos ordinateurs qui accèdent aux données personnelles de vos clients dans votre entreprise ?

Expliquez ce que vous faites des données recueillies

Sur une page spécifique, expliquez de manière compréhensible à quelle occasion vous recueillez des données personnelles, pour quoi faire, et, accessoirement, comment vous les protégez.
Donnez des détails et précisions sur le type de données, elles seront différentes selon que vous administrez un e-commerce ou un site avec un simple formulaire de contact.
Rappelez que l’utilisateur a un droit de connaître, modifier, supprimer certaines de ces données.

Il est important d’informer vos clients de ce que vous faites des données que vous collectez pour plusieurs raisons :

  1. Transparence: En informant vos clients de ce que vous faites de leurs données, vous montrez que vous êtes transparent et que vous respectez leur vie privée. Cela peut renforcer la confiance de vos clients dans votre entreprise et votre relation avec eux.
  2. Conformité réglementaire: Dans certains cas, il peut être obligatoire de fournir des informations sur l’utilisation des données des clients. Par exemple, le RGPD (Règlement général sur la protection des données) de l’Union européenne exige que les entreprises informent les utilisateurs de la manière dont leurs données seront utilisées et de leurs droits en matière de protection de la vie privée.
  3. Gestion des attentes: En informant vos clients de ce que vous faites de leurs données, vous pouvez gérer leurs attentes et éviter les malentendus ou les frustrations. Cela peut également aider à prévenir les conflits ou les plaintes de la part de vos clients.

Donnez (enfin) à l’utilisateur le choix d’accepter ou non les cookies

Dans la plupart des cas, les sites affichent un bandeau de demande de consentement, mais déposent malgré tout sans vergogne leurs cookies de stats ou de régies publicitaires. C’est illégal ! Et c’est clairement un des meilleurs points d’entrée pour les GAFA pour récupérer des données et, en prime, les croiser avec tout ce qu’ils connaissent déjà de vos visiteurs.

Sachez que vous perdrez une bonne partie des données de vos statistiques (par exemple avec Google Analytics) avec cette mise en conformité sauf à utiliser une solution validée par la CNIL comme Matomo (anciennement Piwik).

Il y a plusieurs raisons pour lesquelles vous pourriez vouloir proposer à vos utilisateurs d’accepter ou non les cookies sur votre site Web :

  1. Respect de la vie privée: Certaines personnes sont sensibles à la vie privée et préfèrent éviter les cookies qui peuvent suivre leur navigation. En leur donnant la possibilité de refuser les cookies, vous respectez leur choix et leur vie privée.
  2. Conformité réglementaire: Dans certains cas, il peut être obligatoire de demander l’autorisation des utilisateurs avant de placer des cookies sur leur ordinateur. Par exemple, le RGPD (Règlement général sur la protection des données) de l’Union européenne exige que les entreprises obtiennent le consentement de l’utilisateur avant de placer des cookies qui ne sont pas strictement nécessaires au fonctionnement du site Web.
  3. Personnalisation du contenu: En proposant à vos utilisateurs d’accepter ou non les cookies, vous leur donnez la possibilité de choisir s’ils souhaitent que le contenu de votre site soit personnalisé en fonction de leur navigation ou non. Cela peut être utile si vous proposez du contenu ciblé ou des publicités ciblées.

Demandez l’accord express de vos visiteurs

Lorsqu’ils remplissent un formulaire de contact (ou toute autre demande), lorsqu’ils passent une commande, obligez vos visiteurs à cocher une case qui stipule qu’ils ont bien compris à quoi vont servir les données qu’ils transmettent. Un simple lien pourra les renvoyer vers la page spécifique où vous expliquez tout cela (ce qui vous évitera d’en mettre des tonnes, une simple phrase suffira).

Permettez à vos visiteurs de récupérer, modifier, supprimer leurs données personnelles

Il y a peu de chance qu’un visiteur vous demande une vraie portabilité de vos données comme il pourrait le demander à Facebook ou un autre gros acteur du web. En revanche, il peut légitimement vous demander d’exporter et de lui donner tout ce que vous avez stocké le concernant.

Vous devez aussi être en mesure de lui permettre d’apporter des modifications ou de supprimer les données personnelles qui le concernent.

Parfois un simple e-mail suffit pour la demande et si le contenu est simple à identifier et exporter, tout va bien, mais si un utilisateur vous demande le contenu des 60 commentaires qu’il a déposés sur votre blog ou le contenu de tous les formulaires remplis sur votre site, un outil automatisé vous fera gagner du temps.

Ne plus utiliser google analytics

La CNIL a interdit l’utilisation de google analytics en France. Google analytics ne respecte pas, selon la CNIL, les principes du RGPD.

Conclusion

Voici quelques points clés pour un site internet conforme au Règlement général sur la protection des données (RGPD) :

  1. Mettre en place une politique de confidentialité claire et concise, qui explique comment vous collectez, utilisez et protégez les données personnelles des utilisateurs de votre site internet.
  2. Obtenir le consentement explicite des utilisateurs pour la collecte et l’utilisation de leurs données personnelles, en utilisant des formulaires de consentement clairs et simples à comprendre.
  3. Sécuriser les données personnelles des utilisateurs en mettant en place des mesures de sécurité appropriées, telles que le chiffrement des données et l’authentification à plusieurs facteurs.
  4. Respecter les droits des utilisateurs en matière de protection des données, tels que le droit d’accès, de rectification et d’effacement de leurs données personnelles.
  5. Tenir à jour vos politiques et vos pratiques en matière de protection des données pour vous assurer que vous êtes en conformité avec les dernières évolutions du RGPD.
  6. Travailler en étroite collaboration avec un délégué à la protection des données (DPO) pour vous assurer que vous respectez pleinement les exigences du RGPD.

Site internet conforme au RGPD

Voici 12 points à suivre pour que votre site Web soit conforme au RGPD (Règlement général sur la protection des données) :

  1. Mettre en place une politique de confidentialité: Votre politique de confidentialité doit décrire clairement les données que vous collectez, les finalités pour lesquelles vous utilisez ces données et les parties auxquelles vous pouvez les communiquer. Elle doit également informer les utilisateurs de leurs droits en matière de protection de la vie privée.
  2. Obtenir le consentement des utilisateurs: Si vous collectez ou utilisez des données à des fins autres que celles nécessaires au fonctionnement de votre site, vous devez obtenir le consentement de l’utilisateur. Ce consentement doit être clair et explicite, et doit être donné de manière libre et volontaire.
  3. Être transparent sur les données collectées et leur utilisation: Vous devez informer clairement les utilisateurs de ce que vous faites de leurs données et comment vous les utilisez.
  4. Protéger les données des utilisateurs: Vous devez mettre en place des mesures de sécurité appropriées pour protéger les données des utilisateurs contre les fuites et les violations de données.
  5. Respecter les droits des utilisateurs: Les utilisateurs ont des droits en matière de protection de la vie privée, tels que le droit d’accès, de rectification et d’effacement de leurs données. Vous devez respecter ces droits et être en mesure de répondre à toute demande d’exercice de ces droits.
  6. Tenir à jour des registres de traitements de données: Vous devez tenir à jour des registres de traitements de données qui décrivent vos activités de traitement de données. Ces registres doivent être mis à disposition sur demande de l’autorité de protection des données.
  7. Evaluer les risques pour la protection des données: Vous devez évaluer les risques pour la protection des données et mettre en place des mesures de sécurité appropriées en conséquence.
  8. Mettre en place une procédure de notification de fuite de données: Vous devez mettre en place une procédure de notification de fuite de données qui décrit comment vous allez informer les utilisateurs et l’autorité de protection des données en cas de fuite de données.
  9. Mettre en place un processus de gestion des plaintes: Vous devez mettre en place un processus de gestion des plaintes pour gérer les plaintes des utilisateurs concernant la protection de leurs données.
  10. Faire appel à un délégué à la protection des données (DPO) si nécessaire: Si votre entreprise traite de grandes quantités de données sensibles ou si elle exerce une activité à haut risque pour la protection des données, vous pouvez être tenu de désigner un délégué à la protection des données (DPO). Le DPO est responsable de veiller à ce que votre entreprise respecte les obligations en matière de protection des données.
  11. Mettre en place un processus de gestion des incidents de sécurité: Vous devez mettre en place un processus de gestion des incidents de sécurité qui décrit comment vous allez gérer les incidents de sécurité, tels que les fuites de données ou les attaques informatiques.
  12. Se conformer aux autres réglementations en matière de protection des données: En plus du RGPD, il peut y avoir d’autres réglementations en matière de protection des données qui s’appliquent à votre entreprise, selon votre secteur d’activité et votre emplacement. Il est important de se conformer à ces réglementations en plus du RGPD.
  13. Politique de conservation des données : Il est important d’établir une politique claire sur la durée de conservation des données personnelles. Les données ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles ont été collectées.
  14. Transferts de données en dehors de l’UE : Si vous transférez des données personnelles en dehors de l’Union européenne, vous devez vous assurer que ces transferts respectent les exigences du RGPD. Cela peut impliquer de mettre en place des clauses contractuelles standard ou de s’assurer que le pays de destination offre un niveau de protection adéquat.
  15. Gestion des mineurs : Si votre site web est susceptible de collecter des données personnelles de mineurs, vous devez mettre en place des mesures spécifiques pour obtenir le consentement des parents ou des tuteurs et protéger les données des mineurs.
  16. Politique en matière de cookies : En plus de demander le consentement pour l’utilisation de cookies, vous devriez avoir une politique claire en matière de cookies qui explique quels types de cookies vous utilisez, pourquoi vous les utilisez et comment les utilisateurs peuvent contrôler l’utilisation des cookies.
  17. Formation et sensibilisation : Il est important de former régulièrement votre personnel sur les exigences du RGPD et de sensibiliser à l’importance de la protection des données personnelles. Cela peut aider à prévenir les violations de données et à garantir une gestion appropriée des données personnelles.
  18. Audit et revue : Il est recommandé de réaliser régulièrement des audits de conformité au RGPD pour identifier les éventuelles lacunes et améliorer continuellement vos pratiques en matière de protection des données.
  19. Plan de réponse aux incidents : Avoir un plan en place pour répondre rapidement et efficacement à toute violation de données peut aider à minimiser les dommages et à respecter les exigences de notification du RGPD.
  20. Intégration de la protection des données dès la conception : Le RGPD encourage l’adoption d’une approche de “protection des données dès la conception et par défaut”, ce qui signifie que la protection des données doit être intégrée dans toutes les activités de traitement de données dès le début.
  21. Utilisation de technologies respectueuses de la vie privée : L’utilisation de technologies qui respectent la vie privée, comme le chiffrement et l’anonymisation, peut aider à protéger les données personnelles et à respecter les principes du RGPD.
  22. Gestion des relations avec les sous-traitants : Si vous utilisez des sous-traitants pour traiter des données personnelles, vous devez vous assurer qu’ils respectent également le RGPD. Cela peut impliquer de mettre en place des contrats de traitement de données et de réaliser des audits de conformité.

Dernier point, il n’y a plus a déclarer un site internet à la cnil