Mission

Mise en place d’une conformité RGPD d’un site internet.

Client :
Pure Player BtoC
Secteur :
Sport
Services :
Site internet

Obligations générales

Nommer un délégué à la protection des données

En clair, donnez ce rôle à vous-même ou quelqu’un dans votre organisation. Le délégué à la protection des données gèrera les registres (point suivant) et pensera à faire modifier votre site en fonction de l’évolution de votre gestion des données personnelles.

Remplir les registres

En cas de contrôle, et pour vous y retrouver vous-même, la CNIL propose des modèles. Vous y recenserez les activités concernées par la gestion de données personnelles, le type de données, dans quel objectif, et les personnes concernées.

Que faire ?

Passer au HTTPS

Le seul moyen d’assurer à vos visiteurs une vraie confidentialité des données échangées avec votre site, c’est de chiffrer celles-ci. Il n’y a pas 36 façons de procéder, il faut installer un certificat SSL. Vous aurez alors un joli cadenas vert devant votre URL dans les navigateurs et, surtout, vous empêchez quiconque de voler les données personnelles de vos « clients » quand ceux-ci interagissent sur votre site.

Assurez-vous d’avoir un site sécurisé (et plus)

Même avec le HTTPS, si votre site est une passoire (plugins pas à jour, code plein de failles de sécurité, serveur d’hébergement mal infogéré et faillible), tous vos efforts seront vains. Les données personnelles de vos clients seront à la merci d’individus malveillants. Assurez-vous aussi qu’il soit correctement codé, sans quoi les lacunes pourraient vous coûter cher…

Au passage, pensez aussi au minimum à avoir une suite de sécurité correcte sur vos postes de travail. Avez-vous un vrai antivirus et firewall (pas des logiciels gratuits car la plupart du temps ils ressemblent à ça… ) sur tous vos ordinateurs qui accèdent aux données personnelles de vos clients dans votre entreprise ?

Expliquez ce que vous faites des données recueillies

Sur une page spécifique, expliquez de manière compréhensible à quelle occasion vous recueillez des données personnelles, pour quoi faire, et, accessoirement, comment vous les protégez.
Donnez des détails et précisions sur le type de données, elles seront différentes selon que vous administrez un e-commerce ou un site avec un simple formulaire de contact.
Rappelez que l’utilisateur a un droit de connaître, modifier, supprimer certaines de ces données.

Donnez (enfin) à l’utilisateur le choix d’accepter ou non les cookies

Dans la plupart des cas, les sites affichent un bandeau de demande de consentement, mais déposent malgré tout sans vergogne leurs cookies de stats ou de régies publicitaires. C’est illégal ! Et c’est clairement un des meilleurs points d’entrée pour les GAFA pour récupérer des données et, en prime, les croiser avec tout ce qu’ils connaissent déjà de vos visiteurs.

Sachez que vous perdrez une bonne partie des données de vos statistiques (par exemple avec Google Analytics) avec cette mise en conformité sauf à utiliser une solution validée par la CNIL comme Matomo (anciennement Piwik).

Demandez l’accord express de vos visiteurs

Lorsqu’ils remplissent un formulaire de contact (ou toute autre demande), lorsqu’ils passent une commande, obligez vos visiteurs à cocher une case qui stipule qu’ils ont bien compris à quoi vont servir les données qu’ils transmettent. Un simple lien pourra les renvoyer vers la page spécifique où vous expliquez tout cela (ce qui vous évitera d’en mettre des tonnes, une simple phrase suffira).

Permettez à vos visiteurs de récupérer, modifier, supprimer leurs données personnelles

Il y a peu de chance qu’un visiteur vous demande une vraie portabilité de vos données comme il pourrait le demander à Facebook ou un autre gros acteur du web. En revanche, il peut légitimement vous demander d’exporter et de lui donner tout ce que vous avez stocké le concernant.

Vous devez aussi être en mesure de lui permettre d’apporter des modifications ou de supprimer les données personnelles qui le concernent.

Parfois un simple e-mail suffit pour la demande et si le contenu est simple à identifier et exporter, tout va bien, mais si un utilisateur vous demande le contenu des 60 commentaires qu’il a déposés sur votre blog ou le contenu de tous les formulaires remplis sur votre site, un outil automatisé vous fera gagner du temps.

Conclusion

La CNIL a clairement communiqué sur les thématiques de ses contrôles en 2018, mais l’année passe vite. Alors même si vous êtes en retard en regard de la loi qui imposait son application dès le 25 mai 2018, il vous reste un peu de temps.

Encore une fois, cet article n’est qu’un petit récapitulatif, mais si vous mettez tout en oeuvre, votre bonne foi vous exonérera de toute sanction.