RGPD : Mettez en conformité vos formulaires de site web et les cookies
Le Règlement Général sur la Protection des Données de l’Union européenne (RGPD) a pris effet en mai 2018. Cette loi apporte des changements fondamentaux aux pratiques de collecte de données et de sécurité informatique. Le RGPD impose également de fortes pénalités en cas de non-conformité (Les pénalités en cas de non-respect, pouvant coûter jusqu’à 4 % du chiffre d’affaires).
Depuis le 25 mai 2021, 3 ans après l’application de la loi RGPD, la CNIL a initié des vérifications en ligne pour constater d’éventuels manquements en matière de cookies.
Le RGPD est une étape majeure dans la protection des données. Il vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.
Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL.
Pour la plupart des entreprises possédant un site Internet et un ou plusieurs formulaires en ligne doivent respecter quelques règles à mettre en oeuvre rapidement.
La gestion des cookies doit répondre à des règles précises
- Informez vos visiteurs en langage clair de la finalité de vos cookies et traceurs avant de paramétrer des cookies autres que strictement nécessaires (ePR)
- Offrir au visiteur des options pour modifier ou retirer son consentement (RGPD/ePR)
- Avoir un mécanisme en place pour enregistrer et prouver les consentements (RGPD)
- Cartographier et documenter les flux de données réalisés par des tiers (RGPD)
- Configurez votre méthode de consentement pour utiliser le consentement explicite lors du traitement de données personnelles sensibles sur votre site Web (RGPD)
- Informer de la survenance de décisions automatiques, y compris le profilage (RGPD)
Vous devez également procéder comme suit, par exemple en l’intégrant dans la politique de confidentialité de votre site Web :
- Fournissez l’identité et les coordonnées du responsable du traitement de votre entreprise (RGPD)
- Divulguer que le visiteur dispose d’un droit d’accès, de rectification, de suppression et de limitation du traitement des données personnelles (RGPD)
- Divulguer que le visiteur a le droit de recevoir des données personnelles afin qu’elles puissent être utilisées par un autre sous-traitant (RGPD)
- Divulguer que le visiteur a le droit de déposer une plainte auprès d’une autorité de contrôle (RGPD)
- Si vous avez des logs de visite avec des adresses IP, vous devez vous assurer de la protection de ses fichiers, de l’archivage sécurisé et du traitements des logs pour les stats en anonymisant les adresses IP, le cas échéant.
Pour approfondir : https://www.cnil.fr/fr/nouvelles-regles-cookies-et-autres-traceurs-bilan-accompagnement-cnil-actions-a-venir
Mieux informer sur la collecte des données
Avec le RGPD, vous devrez clairement informer le visiteur de la collecte de données que vous effectuez.Le “bandeau cookies” comme on en voit pratiquement sur tous les sites est l’une des première fonctionnalité à mettre en oeuvre. Il faut aussi s’intéresser aux pages où sont situées des formulaires : contact, demande de devis…
Vous devez, pour chacun de ces formulaires préciser :
- Les données collectées
- La finalité de la collecte
- La durée de conservation des données (qui ne peut pas excéder 13 mois)
Vous devez par ailleurs informer l’internaute qu’il a un droit d’accès à ses données et la manière dont il peut y accéder : par e-mail, téléphone, courrier… Vous pouvez préciser ses informations soit sur chaque page individuellement ou par le biais des d’un page sur la politique de confidentialité.
Obtenir un consentement explicite
Le consentement explicite de l’internaute est l’un des points essentiels du règlement. Le message du type “En poursuivant votre navigation, vous acceptez…” n’est plus valable.
L’internaute doit avoir clairement le choix de refuser ou d’accepter la collecte de données avec une case ou un bouton approprié. Il faut également mettre à disposition une page détaillant la collecte des données comme par exemple dans la page « Politique de confidentialité ». Bien entendu, vous devez faire en sorte de désactiver tous les services concernées tant qu’il n’y a pas eu de clic sur “Accepter” ou que le visiteur à cliquer sur refuser, comme par exemple :
- Google Analytics
- Un mur Facebook
- Une Twitter Card
- Une carte Google Map
- ….
Le consentement doit être enregistré comme une preuve (en base de données).
Protéger la transmission des données personnelles
Lorsqu’un visiteur transmet des informations personnelles comme son nom, son prénom, son adresse email ou son téléphone, son adresse, … vous devez assurer la sécurité dans la transmission des données. Votre site doit donc être en https:// et non en http://.
Comment modifier votre site pour respecter les contraintes de cette loi ?
Vous avez un site en wordpress ou dans un autre système, faites appel aux professionnels comme PIXALIA pour vous aider à vous mettre en conformité.
Selon la technologies utilisées, nous proposons des prestations forfaitées ou sur mesure pour vous aider.
Stéphane PARIS.