12 points pour un site internet conforme au RGPD

Conformité site internet : Pour assurer la conformité d’un site web avec le Règlement Général sur la Protection des Données (RGPD), il est essentiel d’adopter une démarche méthodique qui comprend douze étapes clés :

  1. Réalisation d’un inventaire complet : Identifier et documenter toutes les opérations de traitement de données personnelles sur le site pour une compréhension claire et transparente des pratiques de gestion des données.
  2. Utilisation d’une Analyse d’Impact sur la Protection des Données (AIPD) : Déployer cet outil pour repérer et évaluer les risques potentiels affectant la sécurité des données personnelles.
  3. Mise en place de mesures techniques et organisationnelles : Adopter des solutions adéquates pour assurer une protection optimale des données à caractère personnel.
  4. Clarification des bases juridiques : Justifier le traitement des données personnelles en s’assurant qu’il repose sur des fondements légaux solides.
  5. Communication transparente : Informer clairement les utilisateurs sur les pratiques de traitement de leurs données personnelles pour renforcer la confiance et la compréhension mutuelle.
  6. Obtention du consentement explicite : S’assurer que le consentement des utilisateurs est obtenu conformément aux exigences du RGPD avant tout traitement de leurs données.
  7. Formation et sensibilisation du personnel : Éduquer le personnel sur l’importance de la protection des données personnelles et sur les pratiques appropriées à adopter.
  8. Gestion des demandes des utilisateurs : Mettre en place des procédures efficaces pour répondre aux demandes des utilisateurs concernant leurs données personnelles, y compris l’accès, la rectification ou la suppression.
  9. Établissement de protocoles de gestion des incidents : Prévoir des procédures claires pour réagir en cas de failles de sécurité affectant les données personnelles.
  10. Évaluations régulières de conformité : Contrôler périodiquement la conformité du site web avec le RGPD pour maintenir une protection efficace des données personnelles.
  11. Sélection rigoureuse des sous-traitants : Choisir des partenaires qui démontrent un engagement ferme envers la protection des données personnelles, assurant le respect des normes du RGPD à chaque étape du traitement.
  12. Nomination d’un Délégué à la Protection des Données (DPO) : Désigner cette personne clé dans les cas de traitement significatif ou de manipulation de données sensibles pour superviser la conformité au RGPD et les pratiques de protection des données au sein de l’organisation.

L’application rigoureuse de ces douze étapes est fondamentale non seulement pour répondre aux exigences légales du RGPD mais aussi pour renforcer la confiance des utilisateurs par une gestion sécurisée et transparente de leurs données personnelles.

Conformité RGPD Point par point

Remplir les registres

Les registres de traitements de données sont des documents qui décrivent les activités de traitement de données effectuées par une entreprise. Ils comprennent des informations sur les données collectées, les finalités pour lesquelles les données sont utilisées, les parties auxquelles les données sont communiquées et les mesures de sécurité mises en place pour protéger les données.

Il est important de tenir à jour des registres de traitements de données pour plusieurs raisons :

  1. Cela permet de suivre les activités de traitement de données de l’entreprise et de s’assurer qu’elles sont conformes au RGPD.
  2. Cela peut être utile en cas de contrôle de l’autorité de protection des données ou de demande de renseignements de la part d’un individu concernant l’utilisation de ses données.
  3. Cela peut aider l’entreprise à identifier les risques potentiels pour la protection des données et à mettre en place des mesures de sécurité appropriées.

En résumé, les registres de traitements de données sont des documents importants qui permettent de documenter les activités de traitement de données de l’entreprise et de s’assurer qu’elles sont conformes au RGPD.

Que faire ?

Passer au HTTPS

Le seul moyen d’assurer à vos visiteurs une vraie confidentialité des données échangées avec votre site, c’est de chiffrer celles-ci. Il n’y a pas 36 façons de procéder, il faut installer un certificat SSL. Vous aurez alors un joli cadenas vert devant votre URL dans les navigateurs et, surtout, vous empêchez quiconque de voler les données personnelles de vos « clients » quand ceux-ci interagissent sur votre site.

Pourquoi passer en HTTPS ?

  1. Sécurité: HTTPS est un protocole de sécurité qui chiffre les données transmises entre votre site et les utilisateurs. Cela signifie que les données ne peuvent pas être interceptées ou modifiées par des tiers pendant leur transmission. Cela rend votre site plus sûr pour les utilisateurs et vous protège contre les attaques de type « homme du milieu ».
  2. Confiance: Les utilisateurs sont de plus en plus conscients de la sécurité en ligne et sont souvent plus enclins à faire confiance à un site Web sécurisé par HTTPS. Cela peut être particulièrement important si vous demandez aux utilisateurs de fournir des informations sensibles, telles que des coordonnées bancaires ou des informations de connexion.
  3. Référencement: Google et d’autres moteurs de recherche donnent un coup de pouce aux sites Web sécurisés par HTTPS dans leurs résultats de recherche. Cela signifie que passer votre site en HTTPS peut vous aider à améliorer votre référencement et à obtenir plus de visibilité dans les résultats de recherche.

Assurez-vous d’avoir un site sécurisé (et plus)

Même avec le HTTPS, si votre site est une passoire (plugins pas à jour, code plein de failles de sécurité, serveur d’hébergement mal infogéré et faillible), tous vos efforts seront vains. Les données personnelles de vos clients seront à la merci d’individus malveillants. Assurez-vous aussi qu’il soit correctement codé, sans quoi les lacunes pourraient vous coûter cher…

Au passage, pensez aussi au minimum à avoir une suite de sécurité correcte sur vos postes de travail. Avez-vous un vrai antivirus et firewall (pas des logiciels gratuits car la plupart du temps ils ressemblent à ça… ) sur tous vos ordinateurs qui accèdent aux données personnelles de vos clients dans votre entreprise ?

Expliquez ce que vous faites des données recueillies

Sur une page spécifique, expliquez de manière compréhensible à quelle occasion vous recueillez des données personnelles, pour quoi faire, et, accessoirement, comment vous les protégez.
Donnez des détails et précisions sur le type de données, elles seront différentes selon que vous administrez un e-commerce ou un site avec un simple formulaire de contact.
Rappelez que l’utilisateur a un droit de connaître, modifier, supprimer certaines de ces données.

Il est important d’informer vos clients de ce que vous faites des données que vous collectez pour plusieurs raisons :

  1. Transparence: En informant vos clients de ce que vous faites de leurs données, vous montrez que vous êtes transparent et que vous respectez leur vie privée. Cela peut renforcer la confiance de vos clients dans votre entreprise et votre relation avec eux.
  2. Conformité réglementaire: Dans certains cas, il peut être obligatoire de fournir des informations sur l’utilisation des données des clients. Par exemple, le RGPD (Règlement général sur la protection des données) de l’Union européenne exige que les entreprises informent les utilisateurs de la manière dont leurs données seront utilisées et de leurs droits en matière de protection de la vie privée.
  3. Gestion des attentes: En informant vos clients de ce que vous faites de leurs données, vous pouvez gérer leurs attentes et éviter les malentendus ou les frustrations. Cela peut également aider à prévenir les conflits ou les plaintes de la part de vos clients.

Donnez (enfin) à l’utilisateur le choix d’accepter ou non les cookies

Dans la plupart des cas, les sites affichent un bandeau de demande de consentement, mais déposent malgré tout sans vergogne leurs cookies de stats ou de régies publicitaires. C’est illégal ! Et c’est clairement un des meilleurs points d’entrée pour les GAFA pour récupérer des données et, en prime, les croiser avec tout ce qu’ils connaissent déjà de vos visiteurs.

Sachez que vous perdrez une bonne partie des données de vos statistiques (par exemple avec Google Analytics) avec cette mise en conformité sauf à utiliser une solution validée par la CNIL comme Matomo (anciennement Piwik).

Il y a plusieurs raisons pour lesquelles vous pourriez vouloir proposer à vos utilisateurs d’accepter ou non les cookies sur votre site Web :

  1. Respect de la vie privée: Certaines personnes sont sensibles à la vie privée et préfèrent éviter les cookies qui peuvent suivre leur navigation. En leur donnant la possibilité de refuser les cookies, vous respectez leur choix et leur vie privée.
  2. Conformité réglementaire: Dans certains cas, il peut être obligatoire de demander l’autorisation des utilisateurs avant de placer des cookies sur leur ordinateur. Par exemple, le RGPD (Règlement général sur la protection des données) de l’Union européenne exige que les entreprises obtiennent le consentement de l’utilisateur avant de placer des cookies qui ne sont pas strictement nécessaires au fonctionnement du site Web.
  3. Personnalisation du contenu: En proposant à vos utilisateurs d’accepter ou non les cookies, vous leur donnez la possibilité de choisir s’ils souhaitent que le contenu de votre site soit personnalisé en fonction de leur navigation ou non. Cela peut être utile si vous proposez du contenu ciblé ou des publicités ciblées.

Demandez l’accord express de vos visiteurs

Lorsqu’ils remplissent un formulaire de contact (ou toute autre demande), lorsqu’ils passent une commande, obligez vos visiteurs à cocher une case qui stipule qu’ils ont bien compris à quoi vont servir les données qu’ils transmettent. Un simple lien pourra les renvoyer vers la page spécifique où vous expliquez tout cela (ce qui vous évitera d’en mettre des tonnes, une simple phrase suffira).

Sur WordPress, nous recommandons : Complianz – GDPR/CCPA Cookie Consent

Permettez à vos visiteurs de récupérer, modifier, supprimer leurs données personnelles

Il y a peu de chance qu’un visiteur vous demande une vraie portabilité de vos données comme il pourrait le demander à Facebook ou un autre gros acteur du web. En revanche, il peut légitimement vous demander d’exporter et de lui donner tout ce que vous avez stocké le concernant.

Vous devez aussi être en mesure de lui permettre d’apporter des modifications ou de supprimer les données personnelles qui le concernent.

Parfois un simple e-mail suffit pour la demande et si le contenu est simple à identifier et exporter, tout va bien, mais si un utilisateur vous demande le contenu des 60 commentaires qu’il a déposés sur votre blog ou le contenu de tous les formulaires remplis sur votre site, un outil automatisé vous fera gagner du temps.

Ne plus utiliser google analytics

La CNIL a interdit l’utilisation de google analytics en France. Google analytics ne respecte pas, selon la CNIL, les principes du RGPD.

Conclusion

Voici quelques points clés pour un site internet conforme au Règlement général sur la protection des données (RGPD) :

  1. Mettre en place une politique de confidentialité claire et concise, qui explique comment vous collectez, utilisez et protégez les données personnelles des utilisateurs de votre site internet.
  2. Obtenir le consentement explicite des utilisateurs pour la collecte et l’utilisation de leurs données personnelles, en utilisant des formulaires de consentement clairs et simples à comprendre.
  3. Sécuriser les données personnelles des utilisateurs en mettant en place des mesures de sécurité appropriées, telles que le chiffrement des données et l’authentification à plusieurs facteurs.
  4. Respecter les droits des utilisateurs en matière de protection des données, tels que le droit d’accès, de rectification et d’effacement de leurs données personnelles.
  5. Tenir à jour vos politiques et vos pratiques en matière de protection des données pour vous assurer que vous êtes en conformité avec les dernières évolutions du RGPD.
  6. Travailler en étroite collaboration avec un délégué à la protection des données (DPO) pour vous assurer que vous respectez pleinement les exigences du RGPD.

Ravi de vous revoir"

Connectez-vous avec votre compte

Créer un compte

Remplissez les formulaires ci-dessous pour vous inscrire.

Retrieve your password

Please enter your username or email address to reset your password.

Are you sure want to unlock this post?
Unlock left : 0
Are you sure want to cancel subscription?