Mettre en conformité son site web avec le RGPD
17 mai 2018
Le RGPD en quelques mots
Le texte européen aura des conséquences importantes sur le recueil et le traitement des données réalisés par les organismes.
Le texte a pour objectif de faire respecter de nouvelles règles sur la protection des données. Ces droits et devoirs seront communs à tous les pays de l’Union. Le RGPD protégera toutes les personnes présentes sur le territoire de l’Union Européenne quelque soit leur nationalité et les feront bénéficier d’un meilleur contrôle de leurs données personnelles. Les entreprises quant à elles bénéficieront d’un processus réglementaire simplifié : il leur faudra juste être en conformité avec le texte sans avoir à faire de déclarations comme c’est le cas parfois avec la législation actuelle. Voici quelques exemples pratiques de vigilance qui découlent du RGPD :
Amélioration du droit à l’oubli
La réglementation sur les données personnelles prévoit d’améliorer l’usage du droit à l’oubli. La législation élargira ce droit à l’oubli à celui du droit d’être prévenu si les données ont été piratées et au droit à l’effacement et au transfert des données vers un autre prestataire.
Limitation de la collecte des données
Pour récolter des informations sur des citoyens, toute entreprise qui a une activité de collecte, de traitement et d’utilisation des données devra justifier d’un fondement légal. La récolte du consentement des personnes à la collecte et au traitement de leurs données devra répondre à de strictes conditions posées par le texte, un simple croix pré-cochée devenant interdite.
L’entreprise devra selon le RGPD limiter la collecte des données personnelles au strict minimum nécessaire. La durée de conservation des données devra être indiquée et ne pourra persister inutilement dans le temps : il faudra se référer aux référentiels existants (règlements, lois, recommandations de la CNIL…)
Les entreprises sont garantes de la sécurité et confidentialité des données
Les données à caractère personnel collectées et traitées devront être conservée de manière sécurisée. Supposons que la base de données qui contient les informations de vos prospects et clients soit stockée sur l’espace administrateur de votre site. Si cet espace est protégé par un code trop faible (alphabétique, sans chiffre, sans caractère spécial, etc.) et que votre site est piraté, vous risquez d’être tenu responsable de la fuite.
Les changements pour votre organisation
De manière globale, le RGPD a forcément des conséquences sur votre organisation et nous vous invitons à consacrer du temps sur ce sujet qui doit être abordé de manière globale. Nous vous invitons donc à vous intéresser à ce sujet au plus tôt (si ce n’est déjà fait), notamment en consultant les importantes informations disponibles sur le site de la CNIL :
- RGPD : Par quoi commencer : https://www.cnil.fr/fr/rgpd-par-ou-commencer
- RGPD : Vos obligations : https://www.cnil.fr/fr/comprendre-vos-obligations
- RGPD : Les outils de conformité : https://www.cnil.fr/fr/les-outils-de-la-conformite
Les conséquences du RGPD sur votre site web
Modifications des informations et fonctionnalités du site web
Le RGPD est un règlement dense et technique, certains points d’interprétations sont encore assez flous (les jurisprudences à venir changeront sans doute certaines interprétations de la loi), néanmoins nous pouvons l’interpréter pour vous proposer une série de modifications à opérer sur votre site web pour le mettre en conformité avec le RGPD.
Types de modifications |
Détails |
Ajout d’une page spécifique “Protection des Données personnelles” |
Cette page indique aux internautes de manière claire et précise :
|
Pour chaque formulaire présent sur le site (formulaire de contact, de création de comptes, de commentaires de blog, de commentaires de produits ou d’inscription à la newsletter) |
A chaque fois que des données personnelles sont collectées, il est obligatoire de déterminer le fondement légal de leur collecte. Si c’est le consentement :
|
Procédures de suppression de comptes |
Si vous proposez aux internautes de disposer de comptes, vous devez proposer sur le site un formulaire de suppression de compte qui supprimera les données associées à ce compte client et lui confirmera cette action par mail. |
Dans le cas des données collectées hors comptes |
Vous devez pour tout formulaire collectant des données hors comptes clients proposer aux internautes une procédure de droit de rectification et de droit à l’oubli (par mail, courrier,...) |
Gestion des cookies |
Vous devez informer les internautes sur les cookies utilisés sur votre site collectant des données personnelles et permettre à l’internaute de continuer sa navigation malgré le refus de certain cookies |
Conservations des données collectées via votre site web
Durée de conservation des données personnelles
Les deux chiffres génériques à retenir dans le cadre des obligations du Règlement Européen sur la Gestion des données personnelles sont :
- 36 mois (3 ans) : vous devrez supprimer les données personnelles des personnes inactives depuis 3 ans de votre base de données et idéalement les placer dans une base d'exclusions vous permettant de justifier de vos traitements.
- 13 mois : vous devez tous les 13 mois demander de nouveau le consentement des visiteurs de votre site web pour le traitement des cookies.
Il existe des exceptions à ces 2 durées notamment concernant les données de type facturation qui doivent être conservées durant 10 ans conformément à la législation fiscale française.
Processus de suppression des données personnelles
Si vous appliquez les modifications et conseils préconisés votre site sera à priori conforme à la RGPD, néanmoins vous devez veiller à mettre en place les procédures vous permettant de :
- supprimer les données collectées via votre site web par des purges régulières des informations recueillies en fonction des durées de conservation des données.
- supprimer les données collectées via votre site web de tous vos autres outils informatiques ou fichiers imprimés (mails, fichier excel, fichiers partagés,...).
Les conséquences du RGPD pour votre relation avec votre agence web
En tant qu’administrateur de votre site Internet votre agence web peut généralement accéder aux données personnelles collectées par votre site web, outils de mailings ou autres. Ce point est important car cette information doit être indiquée à vos clients finaux et prospects lors du recueil de leur consentement et dans la page données personnelles.
Le cas des données déjà collectées
Dans le cas des données déjà collectées avant l’application de la loi vous avez la possibilité :
- Si la suppression de données ne vous portent pas de préjudices :
- de supprimer toutes les données collectées pour lesquelles vous ne détenez pas de preuve de l’accord de consentement de l’internaute
- de supprimer toutes les données collectées depuis plus de 36 mois (cette suppression doit être exhaustive et concerne tous vos supports informatiques ou impressions papiers), sauf pour les données dont la durée de conservation légale est supérieure à 36 mois
- Si vous tenez à conserver ces données :
- de solliciter tous les internautes dont vous souhaitez conserver les données en conformité avec le RGPD afin d’obtenir la preuve de leur consentement explicite.
Les risques si vous n’appliquez pas le RGPD
En cas de contrôle du CNIL, si l’entreprise ne respecte pas le RGPD, les sanctions peuvent être lourdes.
Le chef d’entreprise ou le dirigeant est tout d’abord tenu responsable de la négligence. Sa responsabilité personnelle peut alors être de nature pénale. Le responsable du traitement peut aussi être tenu responsable s’il ne parvient pas à prouver que le dommage causé ne lui est pas nullement imputable.
Outre les sanctions pénales expliquées plus haut, des amendes administratives peuvent être mises à l’entreprise non conforme. Et alors que les sanctions étaient jusqu’ici dérisoires pour certaines grandes entreprises, elles deviennent désormais proportionnelles au chiffre d’affaires. Ainsi, l’amende peut aller jusqu’à 4% du chiffre d’affaires mondial de l’exercice précédent.
Natural-net vous accompagne pour la mise en conformité du volet web du RGPD
Le RGPD est un vaste sujet dont les conséquences sont plus importantes en interne dans votre organisme que sur les aspects purement web. Natural-net vous apporte au travers de ce document une première série d’informations vous permettant d’initier les démarches nécessaires dans votre organisation de manière globale. Nous vous recommandons :
- d'initier des démarches générales de mise en conformité de votre organisme avec le RGPD,
- d’opter pour une solution de mise en conformité du volet web du RGPD dans les meilleurs délais.
Vous trouverez ci-après les évolutions et points à traiter s'appliquant à la plupart des sites web pour rendre conforme au RGPD votre site.
- Production d’un document de préconisations des évolutions à réaliser pour le volet web du RGPD :
- Inventaire des modifications à réaliser sur le site web
- Recueil des caractéristiques concernant les
- Responsable du traitement
- Finalités du traitement
- Type de données collectées (données personnelles, données sensibles)
- Durée de conservation des données
- Destinataires des données
- Hébergeurs et localisation des données hébergées
- Modalités de droit d’accès, de modification et de droit à l’oubli
- Inventaire des données collectées et services générant des cookies qui recueillent des données personnelles
- Préconisations de modifications ou d’adaptations des processus internes
- Mise en place de la page données personnelles et personnalisation des informations proposées dans cette page
- Mise en place du module de gestion des cookies permettant l’acceptation et le refus par services (module utilisé sur le site de la CNIL)
- Rédaction et mise en place de la page protection des données personnelles (voir un exemple)
- Mise en conformité de chaque formulaire avec le RGPD
- Ajout des fonctions de suppression de compte client (cas uniquement des sites disposant des fonctionnalités de type extranet ou comptes clients pour l’e-commerce)
- Passage du site en HTTPS (s’il ne fonctionne pas encore en https)
Vous avez des questions complémentaires ?
Merci de nous contacter afin de convenir d’un rendez-vous dans les meilleurs délais :- En utilisant notre formulaire de contact.
- En nous téléphonant au 05.56.17.75.19.