La mise en conformité RGPD d'un site web : Mode d'emploi
RGPD + site internet… L’association de ces deux mots vous fait frissonner ?
En effet, vous ne pouvez pas être passé·e à côté de cette information : le RGPD, règlement général sur la protection des données personnelles, impose une mise en conformité de vos outils, afin de traiter au mieux les informations que vous collectez auprès de vos clients, prospects et autres utilisateurs (partenaires, employés, etc.).
Dans cet article nous nous attachons donc au RGPD appliqué aux sites internet.
Que votre plateforme web vous serve simplement de vitrine, ou que vous fassiez de la vente en ligne, vous avez des obligations. Il en va de la satisfaction de vos clients et de votre e-réputation.
Bonne nouvelle, nous avons des recommandations et des outils à vous soumettre. Faisons le point !
RGPD et site internet, ce qu’il faut savoir
Voici une vidéo qui résume ce qu’est le RGPD et pourquoi il a été mis en place :
☞ Vous avez un site vitrine, e-commerce ?
☞ Vous utilisez des cookies, ces traceurs publicitaires déposés sur les smartphones, ordinateurs et tablettes des utilisateurs ?
☞ Vous proposez des formulaires de contact, envoyez une newsletter sur abonnement ?
☞ Vous êtes une entreprise privée ou publique, petite ou grande, située en Union européenne ou dont l’activité concerne des résidents européens ?
Vous êtes TOU·TE·S concerné·e·s par la mise en conformité, car vous êtes amené·e·s à collecter, utiliser, et stocker des données personnelles.
Pourquoi mettre votre site internet en conformité ?
☞ Pour respecter la loi Informatique et Libertés de la CNIL et sa prolongation : le RGPD ;
☞ Pour protéger vos clients et prospects ;
☞ Pour vous assurer une e-réputation sans faille ;
☞ Pour éviter les sanctions administratives et pénales, qui peuvent aller jusqu’à la prison (5 ans) et le versement de sommes astronomiques (300 000 euros au pénal et jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise en N-1, ce qui peut représenter plusieurs dizaines de millions d’euros).
Le site vitrine
Un site vitrine est un site internet qui présente votre activité, mais, malgré un objectif commercial, ne propose pas la vente en ligne.
Ses bénéfices sont multiples :
- votre entreprise construit sa notoriété en ligne, face à vos concurrents présents ;
- vous cultivez une image de marque pour vous démarquer ;
- vous communiquez sur vos produits et services ;
- vous acquérez des contacts, des prospects qui deviendront peut-être un jour clients, grâce à :
- un formulaire de contact,
- l’inscription à votre newsletter ;
- vous entretenez une relation avec vos clients en les tenant informés, via une rubrique actualités par exemple, ou un espace client intégré.
Les informations collectées grâce au site vitrine sont en général les adresses email, noms et prénoms, éventuellement adresse ou zone géographique (département), parfois âge et sexe, entreprise, etc.
Vos obligations :
- vous affichez les mentions légales (dans le footer en général) pour être identifiable en tant qu’éditeur du site et informer les visiteurs sur leurs droits ;
- vous ne collectez que les informations dont vous avez besoin et pouvez le justifier ;
- vous informez l’utilisateur de l’objectif de la collecte de ses informations, du traitement prévu, de la durée de conservation et des destinataires éventuels (mentions CNIL) ;
D’après l’article 6 du RGPD :
Le traitement n’est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
- vous recueillez le consentement de l’utilisateur de façon explicite et active, sans précocher de case ;
- vous gardez une preuve de son consentement ;
- vous lui donnez les moyens de vous contacter pour modifier ses informations, les supprimer, retirer son consentement facilement,
- vous l’informez de votre politique de confidentialité (lien vers une page dédiée sur votre site).
L’article 17 du Règlement Général Européen sur la Protection des Données (RGPD) sur le « droit à l’effacement », ou « droit à l’oubli », permet aux individus de demander la suppression de leurs données personnelles aux entreprises qui les détiennent.
Le site e-commerce
Il s’agit d’un site de vente en ligne, plateforme permettant à un commerçant ou à un prestataire de vendre ses produits ou services sur internet, quelle que soit sa situation géographique. En plus de générer des ventes et donc du chiffre d’affaires, vous enrichissez votre connaissance client.
Comme le site vitrine, il donne une visibilité à votre entreprise et son activité, développe son image de marque, et vise la collecte d’informations clés sur :
- les clients qui réalisent des achats (produits favoris, adresse, âge, coordonnées bancaires, etc.) ;
- mais aussi des visiteurs qui créent éventuellement un compte, demandent à recevoir des informations promotionnelles et partagent leurs coordonnées et préférences, sans passer par le panier.
Vos obligations :
- vous réalisez les mises à jour techniques nécessaires et surveillez régulièrement la sécurité de votre site :
- parcours entier en https,
- mot de passe complexe imposé,
- sécurisation des transactions et conservation des coordonnées bancaires via un tiers de confiance (cf. passerelle de paiement et paiement récurrent) ;
- comme avec le site vitrine, vous ne collectez que les informations nécessaires au traitement de la transaction dans ce cas, éventuellement à la relation client qui en découle (date d’anniversaire pour lui faire un cadeau plus tard, etc.) ;
- le parcours de vente implique aussi l’information sur le traitement des données, le recueil du consentement et le droit de regard sur les données ;
- vous réalisez une page « vie privée “ou ‘politique de confidentialité’ sur votre site, que vous communiquez systématiquement et tenez à jour.
Les cookies
Vous pouvez déposer des traceurs publicitaires lorsque vous recevez une visite, sur les supports des utilisateurs, comme leur smartphone ou ordinateur.
Ces outils stratégiques permettent d’analyser leur navigation et leurs habitudes de consultation ou de consommation, pour vous donner des pistes d’amélioration sur votre offre et la structure de votre site (type d’audience, pages consultées, temps passé par page, etc.) mais aussi vous permettre d’envoyer des publicités ciblées.
Attention aux différents services annexes sur votre site, comme Google Analytics, qui collectent et traitent des données personnelles :
- adresse IP,
- identité,
- coordonnées,
- géolocalisation, etc.
Veillez à les désactiver tant qu’il n’y a pas eu de consentement clair de l’utilisateur.
Vos obligations :
- suivant l’objectif du traceur (facilitation du parcours de vente, envoi de publicité ciblée), vous devez recueillir le consentement ou en informer, a minima, votre visiteur, avant de le déposer sur son terminal ;
- s’il y en a plusieurs (marketing, analytiques, etc.), donnez la possibilité de les cocher dans une liste et expliquez lesquels sont obligatoires et pourquoi.
💡 Bon à savoir : La durée de validité du consentement est de 13 mois maximum pour un cookie. Après, vous devez demander l’autorisation à nouveau.
Comment se mettre aux normes RGPD ?
Les actions à mener sont bien résumées dans cette infographie :
© Plezi
▶︎ La formation
L’idéal est de commencer par la formation de vos différents responsables de traitement (PDG, cadres, personnes en charge du marketing, du service commercial, du service informatique, etc.) afin que tous aient des bases de connaissances techniques et juridiques, et connaissent les bonnes pratiques.
Outre les avocats et experts dans le digital, la CNIL propose un MOOC, un atelier gratuit.
▶︎ La conception avec Privacy by design
Si vous créez votre site après l’entrée en vigueur du RGPD, vous devez prendre en compte les obligations de sécurisation et de respect des données dès la conception du site. C’est ce qu’on appelle la Privacy by design. C’est valable aussi pour les outils CRM.
Mais pour tous ceux qui ont un site datant de l’ère pré-RGPD, plusieurs éléments à envisager et à cumuler : voici notre RGPD checklist.
▶︎ La nomination d’un DPO et la réalisation d’un audit
D’après l’article 37 du Règlement Général sur la Protection des Données (RGPD), vous devez nommer un DPO si vous répondez à au moins l’un de ces critères :
- vous êtes une autorité publique ou un organisme public ;
- les données que vous traitez :
- nécessitent un suivi régulier et systématique de par leur portée et/ou leur finalité ;
- sont sensibles (données de santé, religieuses, etc.).
Lire aussi : L’essentiel sur le RGPD
Que vous passiez par un prestataire externe (recommandé car plus neutre) ou votre responsable informatique, faites un audit de votre site internet.
Vous aurez rapidement un cahier des charges comportant :
- le recensement des différents traitements de données dans tous vos services,
- les améliorations à apporter, catégorisées selon l’urgence et la sensibilité.
▶︎ La mise à jour de votre site internet
Soyez vigilant : que vous utilisiez WordPress, Joomla, Drupal, Wix ou tout autre CMS, ces derniers utilisent des plug-in qui ne sont pas forcément à jour des réglementations européennes.
Quant aux vidéos, players, cartes interactives, gérez bien les demandes de consentement car ces services collectent aussi des données, parfois sans consentement.
Avant RGPD
- Créez ou mettez à jour votre page ‘Politique de confidentialité’ ;
- Adaptez vos formulaires avec les mentions obligatoires ;
- Adaptez votre bandeau cookies : des outils existent pour créer un bandeau cookie conforme (cookiesecure, cookiebot, etc.) ;
- Mettez en place un modèle de gestion des préférences de l’internaute, si vous envoyez plusieurs newsletters ou des notifications thématiques ;
- Vérifiez la conformité de tous les outils annexes de votre site (plug-in, etc.).
💡 Bon à savoir : Pour les mentions obligatoires, Il est possible de les indiquer sur chaque page individuellement ou sur une page dédiée bien visible et facilement consultable.
▶︎ L’utilisation d’un logiciel pour piloter la mise en conformité
Pour piloter la mise en conformité et assurer son suivi, un outil peut grandement vous faciliter la vie.
Ces derniers ne garantissent pas à votre site d’être conforme, mais vous permettent plutôt de vous donner une ligne directrice pour mieux vous organiser, centraliser votre documentation, voir les travaux en cours et travailler en collaboration avec toutes vos équipes RH, comptable, marketing.
C’est le cas de Data Legal Drive.
Le logiciel de gouvernance de mise en conformité RGPD vous permet de :
- centraliser les documents prouvant la responsabilité (accountability) de votre entreprise,
- répertorier les traitements de données personnelles que vous mettez en œuvre,
- constituer ainsi un registre des traitements,
- réaliser un diagnostic interactif de votre entreprise,
- visualiser les projets de mise en conformité de votre site internet et leur avancement, en temps réel,
- enregistrer les demandes des personnes concernées par le traitement de leurs informations,
- faire une veille des violations identifiées en interne ou déclarées par un sous-traitant,
- profiter de l’expertise de l’éditeur en droit de l’IT et de la data.
De plus, un success manager et un juriste peuvent répondre à vos questions et déterminer s'il y a besoin de prestation en cabinet.
Data Legal Drive EQS Group
Autre solution notable : Captain DPO
La solution propose :
- une gestion de la mise en conformité collaborative,
- la génération de rapports en quelques clics,
- un tableau de bord dynamique,
- la possibilité pour votre DPO de tenir plusieurs registres,
- la gestion des demandes de rectification,
- l’intégration du logiciel de la CNIL,
- la connexion directe de vos sous-traitants sur la plateforme,
- un annuaire des sous-traitants exploitant vos données, etc.
D’autres logiciels existent : Smart Global Compliance Booster, myDPO, Axeptio, etc.
N’hésitez pas à demander plusieurs démonstrations ou des versions d’évaluation.
En plus des fonctionnalités, la facilité d’utilisation, le prix mais aussi l’accompagnement et la réactivité du support peuvent être décisifs dans votre choix.
Voyez le RGPD comme une opportunité, pas une contrainte
Nous sommes dans une ère éthique, de consommation de qualité et de respect de la vie privée. Votre implication sera récompensée par des informations qualitatives sur vos clients ou prospects, dans un respect mutuel et en toute connaissance de cause. L’antithèse des GAFA, en somme.
Si votre site est conforme au RGPD, il y a moins de risques de piratage ou de fuites de données (rappelez-vous le ‘FacebookGate’, le scandale des données récupérées par la société Cambridge Analytica) : votre réputation en ligne est préservée et vos clients sont en confiance !
À la clé également : malgré les efforts financiers et organisationnels que cela demande initialement, le retour sur investissement est garanti grâce à une collecte plus minutieuse et mieux ciblée : vos newsletters et vos notifications sont adressées à des personnes intéressées et volontaires et le parcours d’achat est plus bienveillant et sécurisant.
Dernier conseil : privilégiez les clins d’œil et la convivialité sur vos nouveaux formulaires, et dans les paramètres de gestion des préférences (newsletters ou notifications). L’internaute est beaucoup sollicité ces derniers temps et tenté de répondre par la négative. Donnez-lui envie de vous suivre grâce à des accroches originales, démarquez-vous, c’est le moment !
vu sur @blogduwebdesign (à gauche) et © maddyness (à droite)
→ La fidélisation est au bout du tunnel ! Et surtout, vous n’êtes pas un hors-la-loi. 🤠
Avec une décennie d’expériences éditoriales à son compteur, Nathalie Pouillard est passionnée par les mots et la transmission de savoirs. Diplômée de Sup de Pub INSEEC Paris en conception-rédaction et stratégie publicitaire, et spécialisée en conception-rédaction, elle a plusieurs casquettes, dont la rédaction, mais aussi la correction et révision de textes pour divers secteurs (édition, communication en agences, audiovisuel). Ses compétences en stratégie éditoriale, référencement naturel et webmarketing l'amènent également à travailler sur des projets SEO. Elle a notamment travaillé dans le secteur associatif (pour la presse) et pour une start-up de conseil aux entrepreneurs.
Réalisations : articles, brèves et infographies pour le magazine trimestriel [NDLR] en Occitanie. Articles web sur l’actualité des SaaS et de l’entrepreneuriat. Gestion de projets pour l’égalité de traitement des femmes dans les médias (Femmes & Médias) : Annuaire des expertes, Esprit Critik.
Certifications : Lecture-correction (EFLC), Certificat Voltaire (expert), Certificat Le Robert (expert)