RGPD et sites web : comment se mettre en conformité ?
Quand on parle RGPD en général on tourne des talons ! Sujet sensible, les données personnelles circulent en masse sur Internet et ont été trop longtemps exploitées à mauvais escient. Parce que sans recueil de données personnelles, impossible pour une entreprise de connaître ses utilisateurs et leur proposer des produits et services ciblés. Elles en ont abusé, le législateur a réagi, obligeant juridiquement les sites web à se mettre en conformité.
On vous en dit plus sur les grands principes du Règlement Général sur la Protection des Données à Personnelles (RGPD) ? Qui est concerné ? Qui est responsable ? Comment assurer la conformité RGPD de son site web ?
LE RGPD : Définition & périmètre
Qu'est-ce que le RGPD ?
En préambule rappelons que tous les éléments qui permettent d’identifier une personne : des plus élémentaires et directs (noms, prénoms ou adresses) aux informations digitales (adresses mails, adresse IP ou historiques de navigation) sont des données personnelles que les entreprises traitent de manière différente : fichiers clients ou fournisseurs, collecte de coordonnées de via questionnaire, etc.
Adopté en 2016 par le Parlement Européen, le Règlement Général de la protection des données (RGPD), entré en vigueur en France le 25 mai 2018, vise à renforcer la protection de la vie privée et la sécurisation des données personnelles en redonnant le pouvoir aux utilisateurs d’en garder la maîtrise.
Concrètement le RGPD précise les obligations légales des entreprises en général et des sites web en particulier en matière de collecte, de traitement, de conservation et de protection de ces données, dans le respect des individus.
Pour ce faire, la Commission Nationale de l’Informatique et des Libertés (CNIL), organisme régulateur, accompagne les professionnels dans leur mise en conformité et les particuliers à exercer leurs droits.
RGPD & sites web : qui est concerné ?
Tout annonceur qui recueille, via son site internet ou une technologie tierce, les données personnelles de ses visiteurs est contraint. Pour une fois, les obligations légales restent les mêmes pour tous quelle que soit la taille de l’entreprise.
Non respect du RGPD, quelles sanctions ?
L’article 82 du RGPD est la règle en matière de responsabilité civile dans le traitement des données personnelles : « Toute personne ayant souffert de dommage matériel ou non matériel résultant de la violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant la réparation du préjudice subi ».
La réglementation s’est durcie au fil des ans et les pénalités peuvent représenter jusqu’à 4% du chiffre d’affaires pour atteindre jusqu’à 20 millions d’euros.
Au-delà des sanctions il est juste important de respecter le droit des personnes à décider de leur histoire et de leurs données. Une question de responsabilité sociétale et de respect des individus.
Conformité RGPD des sites web : les grands principes
- Obtenir le consentement de l’utilisateur avant de recueillir ses données
- Être capable de tracer et protéger les données contre toute attaque
- Offrir la possibilité aux utilisateurs de modifier, supprimer ou récupérer leurs données à tout moment.
RGPD, la collecte des données
Obtenir le consentement de l’utilisateur avant de recueillir ses données : la base ! que ça soit via un formulaire de contact, l’inscription à une newsletter ou à travers les cookies de tracking marketing.
Le consentement doit être volontaire et non induit (pas de case pré-cochée) et accompagné d’un texte clairement énoncé « J’ai lu et accepte la politique de confidentialité du site ».
RGPD, la gestion des cookies
Tout le monde sait maintenant ce qu’est un cookie : ce fichier stocké sur votre ordinateur après la consultation d’un site, et renvoyé aux serveurs lors de la visite sur un autre site affilié. Dans le cadre de la promotion publicitaire, ils permettent de connaître en silence les usages et comportement des internautes.
Un cookie est donc une donnée personnelle à part entière, si indirecte soit-elle. Par conséquent tout site internet doit obtenir le consentement de l’utilisateur avant de pouvoir en poser, et toujours donner la possibilité de s’y opposer, sans pour autant l’empêcher de naviguer normalement sur votre site. D’où l’obligation pour être RGPD friendly d’avoir un bandeau de cookies.
La réglementation s’est étendue aux outils de tracking tel que Google Analytics ou Piano. Les entreprises avaient jusqu’au 31 mars 2021 pour mettre en conformité leurs sites web et applications mobiles aux nouvelles règles en matière de cookies. On doit pouvoir refuser les cookies non essentiels et si votre site est français, il est maintenant recommandé de pouvoir « tout refuser ».
Stockage des consentements et suppression des données
Les données personnelles ne peuvent pas être stockées indéfiniment même si les délais ne sont pas les mêmes selon la nature des données. Concernant le marketing, elles peuvent être conservées maximum 3 ans, 6 ans pour les données relatives à la facturation. Les conditions de traitement et de gestion des données sont souvent décrites dans les conditions d’utilisation et/ou la politique de confidentialité qui précisent :
- Le droit à l’information
- Le droit d’accès, la façon dont les données sont traitées et dans quel objectif
- Le droit de rectification
- Le droit d’opposition sans aucune justification pour les traitements de données à des fins marketing
- Le droit à l’effacement
Pour respecter toutes ces dispositions, n’hésitez pas à proposer un formulaire de contact sur votre site permettant aux internautes de vous envoyer leurs requêtes directement et facilement.
Comment s'assurer de sa conformité RGPD ?
La politique de confidentialité du site
Un site conforme doit impérativement, avoir une page dédiée à sa politique de confidentialité sur laquelle figure à minima : les coordonnées de l’entreprise, de l’éditeur et de l’hébergeur, la nature des données collectées (nom, e-mail, IP, etc.) et pour quel objectif.
Cette page doit être accessible depuis le footer et à tout moment de la collecte. Les mesures prises pour sécuriser les données recueillies doivent y être détaillées.
CONDITIONS D’UTILISATION RESPECTUEUSES DU RGPD
Qui dit site web conforme au RGPD, dit revoir vos conditions d’utilisation décrivant les conditions légales qui s’appliquent entre vous et vos visiteurs. Les informations récoltées doivent justifiées par un objectif pour éviter de recueillir plus d’informations que nécessaires à son atteinte.
RGPD et commentaires
De plus en plus de sites proposent aujourd’hui aux internautes de déposer des commentaires. Pour ce faire, ils doivent soit s’inscrire (en statut connecté), soit donner certaines informations.
Vous devez là aussi demander le consentement de l’internaute par rapport à votre politique de confidentialité.
RGPD et outil de tracking marketing
Vous utilisez Google Analytics ou Piano Analytics, pour suivre les statistiques de votre site ? Vous avez des obligations en termes de durée de conservation des données.
Si GA4 indique une durée de conservation de 2 mois par défaut (données supprimées passé ce délai) vous pouvez les paramétrer pour 14 mois maximum en ce qui concerne les données des utilisateurs.
RGPD et site marchand : abandon de panier & transactions
Un site marchand a plus de fonctionnalités qu’un site vitrine. Un internaute qui abandonne son panier ne doit pas naturellement figurer dans le fichier client de l’annonceur. Certains plugins, collectent leurs données sans leur accord : faite en sorte d’avoir un plugin en règle ! La loi impose que tout abandon de panier ne fasse pas de vous une cible potentielle.
En termes de transactions financières les coordonnées bancaires ne sont jamais stockées en clair. Le DSP2 permet d’avoir une double authentification au moment du paiement et protège les utilisateurs contre l’usurpation de leurs coordonnées bancaires.
Campagne d'e-mailing conformes RGPD
Pour créer une campagne de mailing conforme RGPD, et comme pour toutes les données personnelles vous devez respecter quasiment les mêmes règles :
- Collecter le consentement explicite de vos contacts
- Être en mesure de prouver leur consentement
- Offrir la possibilité de désinscription sur chaque email
- Permettre à vos contacts de faire valoir leurs droits en un clic, etc.
RGPD & sécurité des données
Respecter la collecte, le traitement et la conservation des données ne suffit pas. Les annonceurs ont le devoir d’assurer la sécurité des données de leurs utilisateurs, contre toute mauvais usage, attaque ou fraude.
Sécurité des données : du point de vue utilisateur
La vigilance doit être permanente pour les internautes, que cela soit sur la toile ou dans leurs boîtes mails. Quelques basiques :
- Vérifiez les certificats SSL (le petit cadenas vert base de la sécurité :-)) qui permettent de créer une connexion sécurisée entre le serveur et le navigateur et protéger les données sensibles
- Attention aux mails frauduleux et aux techniques de « Fishing »
- Complexifiez vos mots de passe
- Vérifiez les noms de domaine
- Ne rien télécharger de suspect (PJ, plugins, applications, extensions, etc.)
Sécurité des données : du point de vue annonceur
90 000 piratages informatiques par minute sur les sites Web WordPress. En plus des pertes de données et conséquences financières, les failles de sécurité affectent l’autorité de votre domaine et le référencement naturel (SEO) de votre site. Alors veillez à :
- Mettre à jour vos CMS, plugins et Framework pour éviter les failles et piratage
- Proposer l’authentification à deux facteurs comme on l’a vu plus haut
- Limiter le nombre d’administrateurs du site et formez vos collaborateurs à la sécurité
- Faire des scans sécurité et sauvegarder votre site régulièrement
- Renforcer la sécurité via les CAPTCHA, etc.
Question veille : n’hésitez pas à consulter régulièrement le top 10 des risques sur le web mis à jour par l’organisme OWASP. Ils font référence en matière de sécurité informatique sur internet et permettent de mettre en place ses propres moyens de protection.
Quelques plugins de sécurité pour les sites WordPress
En tant qu’agence de création de sites WordPress, quelques-uns de nos favoris :
- Axeptio : bandeau de gestion des cookies
- iThemes Security : imposer une double authentification
- Wordfence Security : pare-feu, scanner de logiciels malveillants, et sécurité de connexion
- WP Cerber Security: anti-spam
- All In One WP Security & Firewall : permettent de sécuriser les paramètres par défaut WordPress
- Sucuri : contre les attaques serveurs
- VaultPress : pour sauvegarder et sécuriser votre site
- Anti-Malware Security & BrutForce : pour bloquer les intrusions et vérifier l’intégrité du noyau WordPress
- AIO WP Security : pour des mots de passe forts
- BBQ : pour contrer les mauvaises requêtes, etc.
RGPD : focus sur la responsabilité des agences web
Aussi bien accompagné que vous soyez, par une agence de communication web, le respect de la vie privée et la sécurisation des données personnelles des utilisateurs ne sont pas de leur responsabilité. Même si notre rôle est de vous conseiller et mettre en place les outils nécessaires au respect du RGPD, vous restez responsables de la sécurité des données de vos clients.
Les agences peuvent être amenées à rédiger une politique de confidentialité et les conditions d’utilisation des données et cookies, si tant est qu’elles soient missionnées par leur client. Mais Il est fortement conseillé d’être accompagné par un juriste. Qui plus est dans le cas de sites web marchands qui nécessitent une réglementation contrôlée sur les transactions financières, les abandons de panier et les modes de livraison.
L’idée est de protéger tout autant les données des utilisateurs que les annonceurs et les agences, contre toute atteinte ou représailles. Dans le cas où l’agence reçoit l’instruction de gérer les données personnelles, elle signe un accord de confidentialité sur le traitement des données, du début à la fin de la mission. Plus précisément, l’agence doit :
- S’assurer que toutes les mesures de sécurité ont été mises en place
- Ne faire appel à un prestataire que sur autorisation préalable du client.
- Aider le client à répondre aux demandes des utilisateurs à exercer leurs droits.
- Mettre à disposition toute information en sa possession qui permette au client de démontrer sa conformité aux obligations légales.
Tandis que le responsable du traitement (le client) répond des dommages causés par le viol du traitement RGPD, le sous-traitant (l’agence) est uniquement responsable s’il n’a pas rempli ses obligations relatives au RGPD, ou a agi contre la volonté de son client.
Conclusion : l'enjeu du RGPD
La protection de la vie privée et la sécurisation des données personnelles des internautes est un enjeu majeur pour tout annonceur, légalement et éthiquement. Au-delà des obligations règlementaires, une bonne politique de confidentialité et une sincérité dans le traitement des données est un élément de réassurance pour les clients.
Si la gestion des données personnelles tient de la responsabilité des annonceurs, les agences ont le devoir de conseil. Dans ce cas des accords de confidentialité sont là pour protéger toutes les parties. Mais en aucun cas ni les annonceurs ni les agences ne sont propriétaires des données de leurs visiteurs.
Le droit de regard et le pouvoir de décision sur leurs données personnelles a été rendu aux utilisateurs grace au RGPD.
L’agence de communication nantaise Galopins vous conseille et vous accompagne tout au long de votre projet web en toute sécurité et toujours dans le respect de vos utilisateurs. Nous veillons grâce à notre expertise en matière de sécurité, à vous assurer d’être en norme à chaque instant d’un point de vue RGPD.