12 points pour un site internet conforme au RGPD

Pour garantir la conformité d’un site Web aux normes exigeantes du Règlement Général sur la Protection des Données (RGPD), adopter une approche méthodique et détaillée est impératif. Cette approche se doit d’embrasser douze étapes essentielles, articulées comme suit :

  1. Réaliser un inventaire exhaustif de toutes les opérations de traitement de données personnelles effectuées sur le site. Cela permet d’obtenir une compréhension globale et transparente des pratiques de gestion des données.
  2. Déployer un outil d’Analyse d’Impact sur la Protection des Données (AIPD) afin d’identifier et d’évaluer les risques potentiels qui pourraient compromettre la sécurité des données personnelles.
  3. Mettre en œuvre des mesures techniques et organisationnelles adéquates pour garantir une protection maximale des données à caractère personnel.
  4. Clarifier et justifier les bases juridiques qui légitiment le traitement des données personnelles, assurant ainsi leur gestion conforme à la réglementation.
  5. Communiquer de façon claire et transparente avec les utilisateurs au sujet des modalités de traitement de leurs données personnelles, renforçant la confiance et la compréhension mutuelle.
  6. Obtenir le consentement explicite des utilisateurs avant tout traitement de leurs données personnelles, en alignement avec les exigences strictes du RGPD.
  7. Sensibiliser et former le personnel à l’importance de la protection des données personnelles, ainsi qu’aux responsabilités et bonnes pratiques y afférentes.
  8. Instituer des procédures robustes pour traiter les demandes des utilisateurs concernant leurs données personnelles, y compris les requêtes d’accès, de rectification ou de suppression.
  9. Établir des protocoles précis pour la gestion des incidents de sécurité touchant les données personnelles, y compris les démarches à suivre en cas de violation de ces données.
  10. Conduire régulièrement des évaluations de la conformité du site Web avec le RGPD afin d’assurer une protection continue et efficace des données personnelles.
  11. Sélectionner des sous-traitants qui affichent un engagement clair et solide envers la protection des données personnelles, garantissant ainsi le respect des principes du RGPD dans toute la chaîne de traitement.
  12. Dans le cas de traitements importants ou de données sensibles, nommer un Délégué à la Protection des Données (DPO) chargé de veiller à la conformité avec le RGPD et de superviser les pratiques de protection des données au sein de l’organisation.

L’adhésion à cette démarche structurée est cruciale pour non seulement répondre aux obligations légales imposées par le RGPD, mais également pour renforcer la confiance des utilisateurs en garantissant une gestion sécurisée et transparente de leurs données personnelles.

Conformité RGPD Point par point

Remplir les registres

Les registres de traitements de données sont des documents qui décrivent les activités de traitement de données effectuées par une entreprise. Ils comprennent des informations sur les données collectées, les finalités pour lesquelles les données sont utilisées, les parties auxquelles les données sont communiquées et les mesures de sécurité mises en place pour protéger les données.

Il est important de tenir à jour des registres de traitements de données pour plusieurs raisons :

  1. Cela permet de suivre les activités de traitement de données de l’entreprise et de s’assurer qu’elles sont conformes au RGPD.
  2. Cela peut être utile en cas de contrôle de l’autorité de protection des données ou de demande de renseignements de la part d’un individu concernant l’utilisation de ses données.
  3. Cela peut aider l’entreprise à identifier les risques potentiels pour la protection des données et à mettre en place des mesures de sécurité appropriées.

En résumé, les registres de traitements de données sont des documents importants qui permettent de documenter les activités de traitement de données de l’entreprise et de s’assurer qu’elles sont conformes au RGPD.

Que faire ?

Passer au HTTPS

Le seul moyen d’assurer à vos visiteurs une vraie confidentialité des données échangées avec votre site, c’est de chiffrer celles-ci. Il n’y a pas 36 façons de procéder, il faut installer un certificat SSL. Vous aurez alors un joli cadenas vert devant votre URL dans les navigateurs et, surtout, vous empêchez quiconque de voler les données personnelles de vos « clients » quand ceux-ci interagissent sur votre site.

Logiciel RGPD

Pourquoi passer en HTTPS ?

  1. Sécurité: HTTPS est un protocole de sécurité qui chiffre les données transmises entre votre site et les utilisateurs. Cela signifie que les données ne peuvent pas être interceptées ou modifiées par des tiers pendant leur transmission. Cela rend votre site plus sûr pour les utilisateurs et vous protège contre les attaques de type « homme du milieu ».
  2. Confiance: Les utilisateurs sont de plus en plus conscients de la sécurité en ligne et sont souvent plus enclins à faire confiance à un site Web sécurisé par HTTPS. Cela peut être particulièrement important si vous demandez aux utilisateurs de fournir des informations sensibles, telles que des coordonnées bancaires ou des informations de connexion.
  3. Référencement: Google et d’autres moteurs de recherche donnent un coup de pouce aux sites Web sécurisés par HTTPS dans leurs résultats de recherche. Cela signifie que passer votre site en HTTPS peut vous aider à améliorer votre référencement et à obtenir plus de visibilité dans les résultats de recherche.

Assurez-vous d’avoir un site sécurisé (et plus)

Même avec le HTTPS, si votre site est une passoire (plugins pas à jour, code plein de failles de sécurité, serveur d’hébergement mal infogéré et faillible), tous vos efforts seront vains. Les données personnelles de vos clients seront à la merci d’individus malveillants. Assurez-vous aussi qu’il soit correctement codé, sans quoi les lacunes pourraient vous coûter cher…

Au passage, pensez aussi au minimum à avoir une suite de sécurité correcte sur vos postes de travail. Avez-vous un vrai antivirus et firewall (pas des logiciels gratuits car la plupart du temps ils ressemblent à ça… ) sur tous vos ordinateurs qui accèdent aux données personnelles de vos clients dans votre entreprise ?

Expliquez ce que vous faites des données recueillies

Sur une page spécifique, expliquez de manière compréhensible à quelle occasion vous recueillez des données personnelles, pour quoi faire, et, accessoirement, comment vous les protégez.
Donnez des détails et précisions sur le type de données, elles seront différentes selon que vous administrez un e-commerce ou un site avec un simple formulaire de contact.
Rappelez que l’utilisateur a un droit de connaître, modifier, supprimer certaines de ces données.

Il est important d’informer vos clients de ce que vous faites des données que vous collectez pour plusieurs raisons :

  1. Transparence: En informant vos clients de ce que vous faites de leurs données, vous montrez que vous êtes transparent et que vous respectez leur vie privée. Cela peut renforcer la confiance de vos clients dans votre entreprise et votre relation avec eux.
  2. Conformité réglementaire: Dans certains cas, il peut être obligatoire de fournir des informations sur l’utilisation des données des clients. Par exemple, le RGPD (Règlement général sur la protection des données) de l’Union européenne exige que les entreprises informent les utilisateurs de la manière dont leurs données seront utilisées et de leurs droits en matière de protection de la vie privée.
  3. Gestion des attentes: En informant vos clients de ce que vous faites de leurs données, vous pouvez gérer leurs attentes et éviter les malentendus ou les frustrations. Cela peut également aider à prévenir les conflits ou les plaintes de la part de vos clients.

Donnez (enfin) à l’utilisateur le choix d’accepter ou non les cookies

Dans la plupart des cas, les sites affichent un bandeau de demande de consentement, mais déposent malgré tout sans vergogne leurs cookies de stats ou de régies publicitaires. C’est illégal ! Et c’est clairement un des meilleurs points d’entrée pour les GAFA pour récupérer des données et, en prime, les croiser avec tout ce qu’ils connaissent déjà de vos visiteurs.

Sachez que vous perdrez une bonne partie des données de vos statistiques (par exemple avec Google Analytics) avec cette mise en conformité sauf à utiliser une solution validée par la CNIL comme Matomo (anciennement Piwik).

Il y a plusieurs raisons pour lesquelles vous pourriez vouloir proposer à vos utilisateurs d’accepter ou non les cookies sur votre site Web :

  1. Respect de la vie privée: Certaines personnes sont sensibles à la vie privée et préfèrent éviter les cookies qui peuvent suivre leur navigation. En leur donnant la possibilité de refuser les cookies, vous respectez leur choix et leur vie privée.
  2. Conformité réglementaire: Dans certains cas, il peut être obligatoire de demander l’autorisation des utilisateurs avant de placer des cookies sur leur ordinateur. Par exemple, le RGPD (Règlement général sur la protection des données) de l’Union européenne exige que les entreprises obtiennent le consentement de l’utilisateur avant de placer des cookies qui ne sont pas strictement nécessaires au fonctionnement du site Web.
  3. Personnalisation du contenu: En proposant à vos utilisateurs d’accepter ou non les cookies, vous leur donnez la possibilité de choisir s’ils souhaitent que le contenu de votre site soit personnalisé en fonction de leur navigation ou non. Cela peut être utile si vous proposez du contenu ciblé ou des publicités ciblées.

Demandez l’accord express de vos visiteurs

Lorsqu’ils remplissent un formulaire de contact (ou toute autre demande), lorsqu’ils passent une commande, obligez vos visiteurs à cocher une case qui stipule qu’ils ont bien compris à quoi vont servir les données qu’ils transmettent. Un simple lien pourra les renvoyer vers la page spécifique où vous expliquez tout cela (ce qui vous évitera d’en mettre des tonnes, une simple phrase suffira).

Sur WordPress, nous recommandons : Complianz – GDPR/CCPA Cookie Consent

Permettez à vos visiteurs de récupérer, modifier, supprimer leurs données personnelles

Il y a peu de chance qu’un visiteur vous demande une vraie portabilité de vos données comme il pourrait le demander à Facebook ou un autre gros acteur du web. En revanche, il peut légitimement vous demander d’exporter et de lui donner tout ce que vous avez stocké le concernant.

Vous devez aussi être en mesure de lui permettre d’apporter des modifications ou de supprimer les données personnelles qui le concernent.

Parfois un simple e-mail suffit pour la demande et si le contenu est simple à identifier et exporter, tout va bien, mais si un utilisateur vous demande le contenu des 60 commentaires qu’il a déposés sur votre blog ou le contenu de tous les formulaires remplis sur votre site, un outil automatisé vous fera gagner du temps.

Ne plus utiliser google analytics

La CNIL a interdit l’utilisation de google analytics en France. Google analytics ne respecte pas, selon la CNIL, les principes du RGPD.

Conclusion

Voici quelques points clés pour un site internet conforme au Règlement général sur la protection des données (RGPD) :

  1. Mettre en place une politique de confidentialité claire et concise, qui explique comment vous collectez, utilisez et protégez les données personnelles des utilisateurs de votre site internet.
  2. Obtenir le consentement explicite des utilisateurs pour la collecte et l’utilisation de leurs données personnelles, en utilisant des formulaires de consentement clairs et simples à comprendre.
  3. Sécuriser les données personnelles des utilisateurs en mettant en place des mesures de sécurité appropriées, telles que le chiffrement des données et l’authentification à plusieurs facteurs.
  4. Respecter les droits des utilisateurs en matière de protection des données, tels que le droit d’accès, de rectification et d’effacement de leurs données personnelles.
  5. Tenir à jour vos politiques et vos pratiques en matière de protection des données pour vous assurer que vous êtes en conformité avec les dernières évolutions du RGPD.
  6. Travailler en étroite collaboration avec un délégué à la protection des données (DPO) pour vous assurer que vous respectez pleinement les exigences du RGPD.