Pourquoi mettre son site web en conformité avec le RGPD ?

mardi 4 avril 2023

Pourquoi mettre son site web en conformité avec le RGPD ?

Vous possédez un site Internet ? Ou vous avez le projet d’une création de site web ?

Savez-vous que tous les sites internet de l’Union européenne doivent être en conformité avec le RGPD depuis la loi du 25 mai 2018 ?

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) constitue une norme réglementant le traitement des données personnelles sur le territoire de l’Union européenne.

Il permet ainsi de responsabiliser l’ensemble des organismes publics et privés qui traitent des données liées aux personnes sur le territoire européen.

Tous les pays sont concernés à partir du moment qu’ils traitent des données de personnes physiques issues de l’Union européenne.

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non. Dès lors qu’une organisation est établie sur le territoire de l’Union européenne, ou que son activité cible directement des résidents européens, celle-ci est concernée.

Aujourd’hui, le respect du RGPD est contrôlé par la CNIL, Commission nationale de l’informatique et des libertés.

La CNIL est une autorité administrative indépendante, c’est-à-dire un organisme public qui agit au nom de l’État.

Elle a un rôle d’alerte, de conseil et d’information vers tous les publics, mais dispose également d’un pouvoir de contrôle et de sanction.

Pourquoi le RGPD a-t-il été mis en place ?

Aujourd’hui, toutes les entreprises du monde traitent des données personnelles d’utilisateurs. Pour vos navigations sur une page Internet*, une inscription à une newsletter, une création de compte client ou encore une publication sur un média social, des données sont créées, envoyées à des serveurs et récupérées par des entreprises.

* en cas d’utilisation d’outils de tracking analytics : mais c’est souvent le cas aujourd’hui.

L’objectif est de contrôler toute cette récupération d’informations en demandant aux personnes concernées leur consentement sur l’utilisation de leurs données personnelles.

Vous n’êtes pas sans savoir que la plupart des géants mondiaux tels que Google, Amazon, Facebook ou encore Netflix, sont situées aux États-Unis, ce qui représente un échange de données considérable.

C’est donc pour protéger au maximum l’utilisation des données européennes que le RGPD est entré en vigueur.

Bien évidemment, les États-Unis ne sont pas le seul pays touché, car le RGPD a imposé des règles très strictes pour tous les pays du monde. (sauf quelques exceptions)

Quelles sont les données personnelles concernées par le RGPD ?

Une donnée personnelle, au sens de la loi, est toute donnée qui permet d’identifier une personne physique, directement, ou indirectement.

Et sur Internet, la donnée personnelle est partout.

C’est une source précieuse, car les entreprises peuvent l’utiliser pour par exemple, affiner leur ciblage publicitaire, ou pour mieux comprendre le comportement d’achat d’un internaute et lui proposer le produit parfait et adapté à son besoin.

Sur le web, l’identification d’une personne physique grâce à ses données personnelles est :

  • Directe : par exemple l’accès à son nom et prénom
  • Indirecte : avec un numéro de téléphone, un identifiant comme le numéro de sécurité sociale, une plaque d’immatriculation, une adresse postale ou un courriel, une adresse IP, une voix ou une image.

Il est possible d’identifier une personne à partir d’une seule donnée comme son nom, mais aussi grâce à un croisement de données personnelles, comprenant par exemple son jour de naissance, son inscription à une association mêlée à un numéro de téléphone.

Les 6 grands principes du RGPD

L’ensemble des acteurs récupérant des données personnelles ont la totale responsabilité du traitement et du sous-traitement de ces dernières.

Chaque citoyen européen doit pouvoir vérifier et faire valoir la mise en application de ses droits :

  1. Le droit à la portabilité : droit de récupérer les données fournies, pour un usage personnel ou pour les transmettre à un tiers pur une autre utilisation.
  2. Le droit d’accès : droit d’accéder et de contrôler l’exactitude des données récoltées et stockées.
  3. Le droit à l’information : droit de savoir comment sont collectées les données et dans quel but.
  4. Le droit de rectification : droit de rectifier, compléter, actualiser, verrouiller ou effacer des informations lorsque des erreurs ont étés décelées ou la présence de données dont la collecte est interdite.
  5. Le droit d’opposition : droit de s’opposer à la collecte des données personnelles (sauf obligation légale)
  6. Le droit à l’oubli : droit de demander l’effacement d’une information en ligne (organisme, mais aussi celles des sous-traitants de celui-ci)

Comment appliquer le RGPD dans l’Union européenne ?

INFORMER, PREVENIR et CONSENTIR sont les trois mots d’ordre de cette loi.

Il est aussi nécessaire d’établir une charte claire pour chaque entreprise.

L’internaute doit impérativement être prévenu que ses données sont sur le point d’être collectées.

Cela peut s’effectuer grâce à un bandeau de cookies à l’entrée d’un site Internet ou à l’aide d’une ligne informative sur un document.

L’internaute doit consentir à la récupération des informations en cochant une case, s’il ne veut pas, il doit pouvoir refuser.

Voici plusieurs exemples de consentement :

  • Inscription à une newsletter : l’internaute doit savoir qui récupère ses informations et pouvoir se désinscrire à tout moment ;
  • Création d’un compte client : l’utilisateur doit savoir qui récupère ses informations, où elles sont stockées et par qui elles sont accessibles. Il doit pouvoir supprimer son compte à tout moment ;
  • Abonnement à un service : l’utilisateur doit pouvoir se désinscrire à tout moment et facilement grâce à un point d’accès identifiable.

Mon site Internet est-il concerné par le RGPD ?

L’ensemble des sites Internet sont concernés par le RGPD à partir du moment où ils récoltent des informations.

Par exemple, si vous avez mis en place des outils d’analyse de données type Google Analytics, l’utilisateur doit en être informé et vous devez obtenir son consentement. Même si vous utilisez des outils gratuits liés par exemple à Facebook, Google ou YouTube, l’internaute doit le savoir et accepter que ces données soient stockées.

Bonne nouvelle tout de même, si vous ne récoltez aucune donnée, vous n’êtes pas concerné !

Donc pas besoin de vous mettre en conformité.

Les points à vérifier pour être conforme au RGPD sur votre site vitrine

Même si votre site Internet présente seulement votre entreprise et vos services, il doit être conforme au RGPD.

Il doit comporter plusieurs informations importantes telles que :

  • Un point de contact pour que toute personne qui le souhaiterait puisse réclamer ses droits. Il est généralement effectué par courrier électronique et obligatoire si vous proposez un abonnement à une newsletter ;
  • Des mentions légales afin d’identifier l’éditeur du site web ;
  • Des mentions CNIL en bas du formulaire de contact. Vous pouvez retrouver des modèles complets sur le site internet de la CNIL.

Les points à vérifier pour être conforme au RGPD sur votre site e-commerce

Pour la vente en ligne, les conditions sont plus complexes, il faut effectuer des mises à jour techniques et une surveillance de la sécurité régulièrement.

Vous devez alors avoir le consentement de votre client si vous collectez des informations personnelles telles que son adresse, son nom ou son courriel…

Le RGPD contient des règles principales :

1.La sécurisation des données en ligne s’effectue par :

  • Un parcours de vente effectuée sous un protocole de navigation sécurisé (HTTPS) ;
  • Une demande d’un mot de passe complexe à la création du compte ;
  • Une interdiction de transmettre des données personnelles par email (exemple : mot de passe, coordonnées personnelles) ;
  • Une interdiction de conserver les coordonnées bancaires d’un client ;
  • Une sécurisation de la transaction bancaire.

2.L’information de la gestion des données s’effectue par :

  • L’insertion d’une page « vie privée » avec l’ensemble des données non traitées par le site internet ;
  • Une charte de vie privée à jour.

3.La possibilité de contrôler les données grâce un moyen de contacter le site web. Il peut s’effectuer par email dédié ou un formulaire de contact. Vos clients doivent avoir accès à ses données et pouvoir demander de les rectifier ou de les supprimer.

Comment mettre en conformité mon site internet ?

Vous l’aurez compris, le processus de mise en conformité au RGPD nécessite de respecter l’application de plusieurs mesures et peut paraître compliqué à mettre en place.

Notre agence de communication à Saint-Étienne Les Globules, assure une veille permanente relative aux évolutions réglementaires afin de vous garantir une mise en conformité continue et ainsi de répondre aux exigences de la CNIL.

Du coup, petite question, pensez-vous que votre site internet est bien en conformité avec le RGPD ? Et si nous en discutions ?