Site aux normes
RGPD : que faut-il faire concrètement sur son site ?
Voilà un sujet bien complexe que l’on va décrypter ensemble.
Voyons ce que dit la loi et ce qu’il faut faire pour la respecter à chaque étape de visite sur votre site ou dans votre communication.
Le Règlement général sur la protection des données (RGPD) de l’Union européenne établit un certain nombre d’obligations pour les sites web qui traitent des données personnelles. Voici quelques-unes des principales obligations en matière de RGPD pour les sites internet :
Ce que dit la loi :
1 : Consentement éclairé :
Les sites internet doivent obtenir un consentement explicite des utilisateurs avant de collecter, traiter ou stocker leurs données personnelles. Cela signifie que les utilisateurs doivent être informés de manière claire et transparente sur la manière dont leurs données seront utilisées, et ils doivent avoir la possibilité de donner ou de refuser leur consentement de manière libre et explicite.
De manière plus simple, ce que cela veut dire :
Bandeau cookie :
Vous devez impérativement installer un gestionnaire de cookie sur votre site, qui laisse la possibilité aux utilisateurs d’accepter ou de refuser que l’on track leurs données à des fins commerciales ou de statistiques. (pour rappel, dans cet article je vous détaille ce qu’est un cookie, et à quoi il sert).
Vous devez également les informer sur un formulaire de contact par exemple, lorsque vous demander leurs informations, que vous conservez leurs données dans l’échange qui vous lie.
2 : Droits des personnes concernées :
Les utilisateurs dont les données sont collectées ont des droits en vertu du RGPD, notamment le droit d’accès à leurs données, le droit de rectification, le droit à l’effacement (le droit à l’oubli), le droit à la portabilité des données, et le droit de s’opposer au traitement de leurs données.
Une page « Protection des données » est obligatoire :
Ils doivent pouvoir consulter facilement comment le traitement de leurs données se fait.
3 : Informations de transparence :
Les sites web doivent fournir des informations transparentes sur la manière dont les données sont collectées, traitées et utilisées. Cela inclut la divulgation des finalités du traitement, des durées de conservation, des destinataires des données, et d’autres informations importantes.
Un accès à l’info simple :
En installant un plugin sur votre site, vous pourrez ainsi informer de manière claire vos visiteurs sur le traitement de leurs données (ce que vous en faites, comment ils peuvent demander leur suppression, etc).
4 : Mesures de sécurité :
Les sites web sont tenus de mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre les violations de données. Cela peut inclure des mesures telles que le cryptage des données, la gestion des accès et des autorisations, et d’autres pratiques de sécurité de l’information.
Sécurité avant tout :
Vous avez fait votre site seule, bravo ! Mais avez-vous installé un plugin de sécurité, pour la vôtre, celle de votre site, mais aussi et surtout pour celle de vos clients ? Si vous vendez en ligne, il est d’autant plus important de garantir la sécurité des moyens de paiement de vos clients.
5 : Registre des activités de traitement :
Les sites internet doivent tenir un registre des activités de traitement, documentant les activités de collecte, de traitement et de stockage des données personnelles. Ce registre doit être tenu à jour et être disponible sur demande des autorités de protection des données.
Plugin encore :
Cette gestion-là, encore une fois, c’est votre plugin RGPD qui vous la proposera. De mon côté, je vous conseillerai bien sûr Complianz sur WordPress.
6 : Responsable du traitement des données :
Les sites web doivent désigner un responsable du traitement des données (DPO, pour Data Protection Officer) si leurs activités de traitement de données sont complexes ou importantes. Le DPO est chargé de superviser la conformité avec le RGPD.
Un responsable désigné :
La page « protection des données » et/ou votre page de mentions légales doit comporter le nom du responsable de cette gestion.
7 : Notification des violations de données :
En cas de violation de données susceptible d’entraîner un risque pour les droits et les libertés des personnes concernées, les sites internet sont tenus de notifier cette violation aux autorités de protection des données et, dans certains cas, aux personnes concernées, dans un délai de 72 heures après en avoir pris connaissance.
8 : Évaluation de l’impact sur la protection des données :
Lorsque le traitement de données personnelles est susceptible d’entraîner un risque élevé pour les droits et les libertés des personnes concernées, une analyse d’impact sur la protection des données (AIPD) doit être réalisée pour évaluer et atténuer ces risques.
9 : Contrats de traitement des données :
Lorsqu’un site web fait appel à des sous-traitants pour traiter des données personnelles, il doit conclure des contrats de traitement des données pour s’assurer que les sous-traitants respectent également les exigences du RGPD.
Il est important de noter que ces obligations peuvent varier en fonction de la nature des données traitées, de la finalité du traitement, de la taille de l’organisation et d’autres facteurs. Il est recommandé de consulter un expert en protection des données ou de se référer aux autorités de protection des données locales pour une orientation spécifique à votre situation.
En résumé, sur votre site et dans l’ensemble de votre communication, vous devrez :
en matière de navigation et statistiques :
- afficher un « bandeau cookie » sur votre site : téléchargez un plugin comme Complianz ou Cookie Notice sur WordPress et prenez le temps de le paramétrer correctement. Possibilité d’accepter ou de refuser d’être tracké, lien vers la page de « protection des données », application tierces utilisées sur votre site (Facebook, YouTube, etc) : tout doit y être.
en matière de prise de contact :
- ajouter une case « acceptance » sur les formulaires de contact : il est obligatoire d’afficher cette case pour informer vos visiteurs que vous conservez leurs données. Par défaut, elle doit être décochée pour demander à l’utilisateur d’en avoir conscience. Elle ne doit pas être confondue avec la case « Conditions générales de vente » lors d’un achat et doit être distincte lors d’une transaction.
- vous ne devez pas afficher votre adresse mail à la place d’un formulaire de contact sur votre site : en indiquant juste en texte contact@monentreprise.fr vous privez ainsi votre utilisateur de ses droits sur les données (protection, droits de suppression, etc).
- proposer un moyen clair de supprimer ses données, ou son compte sur votre site, d’en faire la demande facilement (ladite demande est en général inscrite sur la page protection des données, obligatoire sur votre site et lié au bandeau cookie).
concernant la vente en ligne et les newsletters :
- vous devez demander, de manière claire, l’accord à vos clients de leur envoyer vos promotions et emails de marketing suite à une vente. Ça n’est pas parce qu’ils ont passé commande sur votre site qu’ils ont pour autant envie de recevoir vos pubs (c’est la même chose que dans nos boites aux lettres). Par défaut lors d’un achat, la case « communication marketing » doit être donc décochée. C’est votre client qui fait le choix de recevoir ou non votre newsletter, cela doit venir de son plein gré.
- vous devez mentionner qu’à la suite de son achat, le client recevra des communications en lien avec sa commande : commande en cours, informations relatives au paiement, facture, lien de suivi d’expédition, etc (mention dans vos conditions générales de ventes, protection des données ou avec un mail automatique suite à la vente).
- ajouter un double op-in sur les inscriptions à vos newsletters et lead-magnet.
- toujours donner la possibilité au client de se désabonner à une newsletter de manière simple et rapide.
- vérifier que vos clients ont la possibilité de supprimer leur compte sur votre site et par la même occasion demander la suppression de leurs données relatives aux commandes.
ce que vous ne devez absolument pas faire :
- récolter des emails lors d’un marché, un salon, un atelier sans les avoir informés au préalable,
- récupérer des mails et des numéros de téléphone lors de rendez-vous entrepreneurs dans le but de propection et démarchage téléphonique ou d’emailing,
- utiliser les mails récoltés lors d’un concours sur les réseaux sociaux à des fins commerciales (promotions, démarchage, etc).
- demander les coordonnées bancaires et/ou données personnelles sur les réseaux sociaux (sur le feed ou en message privé). Vous mettez en danger la sécurité de leurs données).
Enfin dans le même respect de la transparence, vous devez afficher une page de mentions légales sur votre site ainsi qu’une page de CVG ou CGU. C’est une obligation.