Sélectionner une page

Le RGPD, mon site web est-il concerné ?

RGPD. Vous avez peut être croisé ce mystérieux acronyme, mais vous ne savez pas ce à quoi il fait référence et si vous êtes concerné. Ce nouveau règlement général sur la protection des données introduit une nouvelle réglementation pour les sites web à partir du 25 mai 2018.

Pourquoi ? Qui ? Quoi ? Comment ? Combien ? On vous traduit ces nouvelles contraintes dans ce condensé pratique défini pour mieux appréhender les contraintes du RGPD et avoir en main les applications concrètes à mettre en oeuvre pour se savoir en conformité.

Cet article n’a pas vocation à avoir valeur juridique. Il est proposé pour simplifier les enjeux essentiels du RGPD et ainsi mieux préparer votre site web.

Rappels succincts des objectifs du RGPD

Le RGPD (Règlement Général sur la Protection des Données, ou GDPR en anglais — General Data Protection Regulation) vise à améliorer la vie privée de tous sur Internet (dans le cadre de l’Union Européenne).

Pour faire simple et efficace, cela implique un renforcement des mécanismes de collecte de données, que ce soit en termes d’informations explicites et consentements volontaires pour l’internaute, qu’en termes de preuves à fournir des consentements recueillis. Les transferts de données devront en plus être effectués de manière sécurisée.

Ce règlement entrera en vigueur dans toute l’UE au 25 mai 2018.

Pour la théorie, je vous redirige vers les sites officiels suivants :

 

Qui est concerné ?

Tout site web manipulant des données collectées à caractère personnel est concerné par l’application de ce règlement.

Qu’est-ce qu’une collecte de données alors ?

Une collecte de données sur un site web intervient dès lors que le dit site demande de saisir de l’information à l’internaute.
Sont exclus du RGPD les sites personnels, de type blog (sans publicité) par exemple, qui n’ont aucune visée commerciale à manipuler ces données.

Dans la pratique de votre « petit » site pro, les collectes de données classiques sont :

  • Formulaire de contact
  • Inscription Newsletter
  • Création de compte
  • Formulaire de validation de commande

Vous êtes une entreprise basée en UE, vous avez un site vitrine pro, vous avez une boutique en ligne, vous utilisez des formulaires d’interaction avec vos clients/prospects/visiteurs, vous êtes donc en plein dans l’obligation de vous mettre en conformité vis-à-vis du RGPD.

Pour mieux comprendre les données à caractère personnel :

 

Quels sont les impacts sur votre site web ?

Voici des impacts par l’exemple afin de vous expliquer la pratique liée à la théorie :

Je suis le gérant d'une entreprise en UE, je possède un site web avec un formulaire de contact classique, en quoi suis-je impacté par le RGPD ?

Premièrement, vous êtes concerné. En tant qu’entreprise de l’UE présente sur Internet, vous êtes soumis à la réglementation qui découle du RGPD.

Deuxièmement, vous êtes impacté. Vous faites de la collecte de données avec votre formulaire de contact. Vous avez alors une obligation de transparence et de consentement sur les traitements effectués à partir de cette collecte de données.

Concrètement ça veut dire quoi ? Ca veut dire que vous devez informer l’internaute du caractère « collecte de données » lorsqu’il remplit le formulaire de contact, ainsi qu’obtenir son consentement explicite à l’aide d’une case à cocher obligatoire, par exemple. De plus vous êtes contraint à pouvoir fournir à tout instant la preuve de son consentement, ainsi qu’offrir la possibilité d’accéder en modification ou suppression à ses données collectées.

Par ailleurs, vous serez forcé de « minimiser » les informations demandées dans un tel formulaire de contact.
Posez-vous la question suivante : Est-ce vraiment nécessaire de demander l’âge de l’internaute dans un formulaire de contact ? Si oui, alors il faut faudra expliciter le besoin de collecter ce type de données.

Je suis le gérant d'une entreprise en UE, je possède un site web avec un abonnement newsletter classique pour rester en contact avec mes prospects et clients, en quoi suis-je impacté par le RGPD ?

Premièrement, vous êtes, comme l’exemple précédent, concerné. En tant qu’entreprise de l’UE possédant un site web, vous êtes soumis à la mise en conformité liée RGPD.

Deuxièmement, vous êtes bien entendu impacté. Vous réalisez de la collecte de données via votre formulaire d’abonnement newsletter. Vous avez alors une obligation de transparence et de consentement sur les traitements effectués à partir de cette collecte de données afin d’informer de l’utilisation des données privées saisies par l’internaute.

Concrètement ça veut dire quoi en fait ? Ca veut dire que vous devez informer l’internaute du caractère « collecte de données » lorsqu’il remplit le formulaire d’abonnement à votre newsletter, et également obtenir son consentement explicite à l’aide d’un email de confirmation d’abonnement, par exemple. De plus vous êtes contraint à pouvoir fournir à tout instant la preuve de son consentement, ainsi qu’offrir la possibilité d’accéder en modification ou suppression à ses données collectées (comme un lien de désinscription envoyé dans vos newsletter).

Par ailleurs, vous serez forcé de « minimiser » les informations demandées pour un tel abonnement à votre newsletter.
Cela revient à se poser la question suivante : Est-ce vraiment nécessaire de demander la profession de l’internaute pour activer un abonnement à votre newsletter ? Si oui, alors il faut faudra expliciter le besoin de collecter ce type de données.

Je suis le gérant d'une entreprise en UE, je possède une boutique en ligne pour vendre mes produits, en quoi suis-je impacté par le RGPD ?

Premièrement, vous êtes comme tous concerné. En tant qu’entreprise de l’UE possédant un site web, qui plus est une site e-commerce, vous êtes soumis à la mise en conformité liée au RGPD.

Deuxièmement, vous êtes aussi impacté. Vous réalisez de la collecte de données via votre formulaire de validation de commande. Vous avez alors une obligation de transparence et de consentement sur les traitements effectués à partir de cette collecte de données afin d’informer de l’utilisation des données privées saisies par l’internaute.

Concrètement ça veut dire quoi en fait ? Ca veut dire que vous devez informer l’internaute du caractère « collecte de données » lorsqu’il remplit le formulaire de validation de sa commande, et également obtenir son consentement explicite à l’aide d’une case à cocher lors de sa validation de commande, par exemple. De plus vous êtes contraint à pouvoir fournir à tout instant la preuve de son consentement, ainsi qu’offrir la possibilité d’accéder en modification ou suppression à ses données collectées (historique des commandes, adresses de facturation, consentements).

Par ailleurs, vous serez forcé de « minimiser » les informations demandées pour passer commande.
La question est suivante : Est-il vraiment nécessaire de demander le poids de l’internaute pour valider sa prise de commande ? Si oui, alors il faut faudra expliciter le besoin de collecter ce type de données.

Comment se mettre en conformité ?

Une fois que vous avez compris les enjeux du RGPD, une fois que vous avez appréhendez ce qui vous impacte, il ne vous reste plus qu’à activer la mise en conformité !

Restons simples, et partons du principe que vous êtes une petite entreprise, que votre site web, même s’il s’agit d’une boutique en ligne, n’a ni vocation à basculer dans l’ère du big data, ni à venir concurrencer La Red**te (tsss… pas de marque, exemple pris au hasard).
A partir de ce constat rapide vous allez pouvoir lister vos actions pour devenir conforme au RGPD :

  1. Précisez dans vos Mentions Légales l’utilisation des cookies faites par votre site (statistiques, gestion du panier commande, partage sur les réseaux sociaux, affichage cartes Google Maps) ;
  2. Définir sur votre site la politique de confidentialité (ou politique de vie privée). Vous pouvez facilement intégrer cela dans votre page Mentions Légales ;
    • Expliquer que de manière générale aucune donnée personnelle n’est demandée pour naviguer sur votre site, sauf formulaires particuliers pour la gestion des contacts, newsletter ou validation de commande
    • Prévenez l’internaute que des données techniques sont collectées constamment à des fins de statistiques et de gestion de la sécurité de votre site (adresse IP, navigateur, temps de navigation, etc.)
    • Détailler les traitements de données effectués * suite aux différentes collectes mises en place sur votre site (formulaire de contact, abonnement newsletter, formulaire de validation commande)
  3. Informer explicitement l’internaute dès son arrivée sur votre site que l’installation de cookies est en cours afin de lui garantir un confort de navigation (via un bandeau apparaissent en haut ou en bas de son écran, par exemple). Vous devez lui donner la possibilité de refuser tout ou partie de ces installations de cookies et lui donner accès au détail concernant l’utilisation des cookies faite par votre site ;
  4. Enfin, sécuriser vos transferts de données depuis les formulaires ne basculant votre site web sur le protocole HTTPS au lieu du HTTP.

Le détail de chaque traitement de données effectué doit comporter les informations suivantes :

  • Identité du responsable de traitement
  • Coordonnées de la personne en charge de la protection des données
  • L’objectif de ce traitement
  • Les données collectées
  • Leur durée de conservation
  • Les personnes pouvant y accéder
  • Le droit de demander l’accès à ces données personnelles, la modification ou le suppression de celles-ci
  • Le procédure pour activer ce droit

Les informations de préparation en détail :

 

Pour résumer le RGPD

Vous êtes une entreprise dans l’UE et possédez un site web, vous êtes soumis au respect du RGPD à partir du 25 mai 2018.

Les impacts pour votre site web concernent les collectes de données à caractère personnel, comme par exemple les formulaires de contact, abonnements newsletter, validations de commande.

Vous devez explicitement informer l’internaute et obtenir son consentement manuel pour toute collecte de données à caractère personnel et toute installation de cookies sur son navigateur.

Vous devez détailler dans vos mentions légales et/ou votre politique de confidentialité, qui doit être accessible par tous, la finalité des traitements de données à caractère personnel réalisés sur votre site et le but de l’installation de cookies.

Vous devez donner libre accès à la consultation, modification ou suppression de ses données à caractère personnel et de ses paramètres d’installation des cookies à toute personne en faisant la demande.

Vous devez être en mesure de fournir les preuves de consentement de vos internautes.

Vous devez sécuriser les transferts de données avec le protocole HTTPS.

Besoin d’un audit RGPD ou d’une mise en conformité ?

Si vous avez des questions ou si vous souhaitez vous mettre en conformité avec le RGPD mais vous n’avez pas le temps de vous en occuper, n’hésitez pas à contacter lolliweb pour un accompagnement personnalié.

Pin It on Pinterest