Site web et teleservices des collectivites : conformite RGPD et cookies
Le site internet de la collectivite est devenu la vitrine numerique de la commune et le point d’entree principal des teleservices : demarches en ligne, portail familles, paiement en ligne, signalements, consultations citoyennes. Ces outils numeriques collectent des donnees personnelles des administres et doivent respecter le RGPD ainsi que la reglementation sur les cookies et traceurs.
Mentions legales et politique de confidentialite
Le site web de la collectivite doit comporter des mentions legales conformes a la loi pour la confiance dans l’economie numerique (LCEN) : identite de la collectivite, directeur de la publication, hebergeur. Il doit egalement afficher une politique de confidentialite detaillee, precisant les traitements de donnees operes via le site, les finalites, les bases legales, les destinataires, les durees de conservation, les droits des personnes et les coordonnees du DPO. Cette politique doit etre accessible depuis chaque page du site, via un lien visible en pied de page.
Cookies et traceurs : les regles a respecter
Le depot de cookies et traceurs sur le site de la collectivite est soumis aux lignes directrices de la CNIL. Avant tout depot de cookies non essentiels (statistiques, reseaux sociaux, publicite), le consentement de l’utilisateur doit etre recueilli via un bandeau cookie clair et explicite. Les cookies strictement necessaires au fonctionnement du site (authentification, panier, choix de langue) sont exemptes de consentement. Les solutions de mesure d’audience peuvent etre exemptes de consentement si elles respectent les conditions de la CNIL (anonymisation des adresses IP, absence de croisement avec d’autres traitements). L’utilisation de Google Analytics dans sa configuration par defaut n’est pas conforme a ces conditions.
Formulaires en ligne et collecte de donnees
Chaque formulaire en ligne doit respecter le principe de minimisation : ne collecter que les donnees strictement necessaires a la demarche. Les champs obligatoires et facultatifs doivent etre clairement distingues. Une mention d’information RGPD doit figurer au bas de chaque formulaire, ou etre accessible via un lien. Le consentement au traitement doit etre recueilli par une case a cocher non pre-cochee lorsque la base legale est le consentement. Les formulaires doivent etre securises (HTTPS, protection anti-spam, validation des champs) pour eviter les injections de donnees malveillantes.
Teleservices et authentification
Les teleservices (demarches en ligne, portail citoyen) necessitent souvent la creation d’un compte utilisateur. L’authentification doit etre securisee : mot de passe robuste, possibilite de double authentification, verrouillage apres tentatives echouees. L’utilisation de FranceConnect est recommandee pour les demarches administratives, car elle offre un niveau de securite eleve et evite la multiplication des comptes. Les donnees du compte utilisateur doivent etre supprimees apres une periode d’inactivite (trois ans selon les recommandations de la CNIL) et l’utilisateur doit pouvoir supprimer son compte a tout moment.
Paiement en ligne et donnees bancaires
De nombreuses collectivites proposent le paiement en ligne pour la cantine, les activites periscolaires ou les amendes. Les donnees de paiement ne doivent jamais transiter par les serveurs de la collectivite mais etre traitees directement par un prestataire de paiement certifie PCI-DSS. La collectivite ne doit conserver que la reference de la transaction, sans les donnees de carte bancaire. Le prestataire de paiement est un sous-traitant dont le contrat doit etre conforme a l’article 28 du RGPD.
Hebergement et securite du site
Le choix de l’hebergeur du site web est determinant. L’hebergeur doit etre localise dans l’Union europeenne ou dans un pays beneficiant d’une decision d’adequation. Les mesures de securite minimales comprennent le certificat SSL/TLS (HTTPS obligatoire), la protection contre les attaques DDoS, les sauvegardes regulieres, la mise a jour des composants (CMS, plugins), et la surveillance des vulnerabilites. Le contrat avec l’hebergeur doit inclure les clauses de sous-traitance RGPD.
Accessibilite et RGPD
Les collectivites sont soumises a une obligation d’accessibilite numerique (RGAA). Cette obligation se conjugue avec le RGPD : les mentions d’information, la politique de confidentialite et le bandeau cookies doivent etre accessibles aux personnes en situation de handicap. Les formulaires doivent etre compatibles avec les lecteurs d’ecran. La procedure d’exercice des droits doit etre accessible a tous les administres, y compris ceux qui ne maitrisent pas les outils numeriques (possibilite de demande par courrier ou en mairie).
Laurent de Cavel, DPO certifie
