La mise en conformité RGPD d'un site web : Mode d'emploi

Par Nathalie Pouillard
Mis à jour le 28 mai 2020, publié initialement en août 2019
how-to backgroundLa mise en conformité RGPD d'un site web : Mode d'emploi

RGPD + site internet… L’association de ces deux mots vous fait frissonner ? 
En effet, vous ne pouvez pas être passé·e à côté de cette information : le RGPD, règlement général sur la protection des données personnelles, impose une mise en conformité de vos outils, afin de traiter au mieux les informations que vous collectez auprès de vos clients, prospects et autres utilisateurs (partenaires, employés, etc.).
Dans cet article nous nous attachons donc au RGPD appliqué aux sites internet.

Que votre plateforme web vous serve simplement de vitrine, ou que vous fassiez de la vente en ligne, vous avez des obligations. Il en va de la satisfaction de vos clients et de votre e-réputation. 

Bonne nouvelle, nous avons des recommandations et des outils à vous soumettre. Faisons le point !

RGPD et site internet, ce qu’il faut savoir

Voici une vidéo qui résume ce qu’est le RGPD et pourquoi il a été mis en place :

☞ Vous avez un site vitrine, e-commerce ? 
☞ Vous utilisez des cookies, ces traceurs publicitaires déposés sur les smartphones, ordinateurs et tablettes des utilisateurs ? 
☞ Vous proposez des formulaires de contact, envoyez une newsletter sur abonnement ? 
☞ Vous êtes une entreprise privée ou publique, petite ou grande, située en Union européenne ou dont l’activité concerne des résidents européens ?

Vous êtes TOU·TE·S concerné·e·s par la mise en conformité, car vous êtes amené·e·s à collecter, utiliser, et stocker des données personnelles

rgpd site internet : la conformité des entreprises en chiffresData Legal Drive

Pourquoi mettre votre site internet en conformité ?

☞ Pour respecter la loi Informatique et Libertés de la CNIL et sa prolongation : le RGPD ;
☞ Pour protéger vos clients et prospects ;
☞ Pour vous assurer une e-réputation sans faille ;
☞ Pour éviter les sanctions administratives et pénales, qui peuvent aller jusqu’à la prison (5 ans) et le versement de sommes astronomiques (300 000 euros au pénal et jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise en N-1, ce qui peut représenter plusieurs dizaines de millions d’euros).

Le site vitrine

Un site vitrine est un site internet qui présente votre activité, mais, malgré un objectif commercial, ne propose pas la vente en ligne. 
Ses bénéfices sont multiples :

  • votre entreprise construit sa notoriété en ligne, face à vos concurrents présents ;
  • vous cultivez une image de marque pour vous démarquer ;
  • vous communiquez sur vos produits et services ;
  • vous acquérez des contacts, des prospects qui deviendront peut-être un jour clients, grâce à : 
    • un formulaire de contact,
    • l’inscription à votre newsletter ;
  • vous entretenez une relation avec vos clients en les tenant informés, via une rubrique actualités par exemple, ou un espace client intégré.

Les informations collectées grâce au site vitrine sont en général les adresses email, noms et prénoms, éventuellement adresse ou zone géographique (département), parfois âge et sexe, entreprise, etc.

Vos obligations :

  • vous affichez les mentions légales (dans le footer en général) pour être identifiable en tant qu’éditeur du site et informer les visiteurs sur leurs droits ;
  • vous ne collectez que les informations dont vous avez besoin et pouvez le justifier ;
rgpd site internet : des données collectées justifiéesCNIL
  • vous informez l’utilisateur de l’objectif de la collecte de ses informations, du traitement prévu, de la durée de conservation et des destinataires éventuels (mentions CNIL) ;

D’après l’article 6 du RGPD : 

Le traitement n’est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

  • vous recueillez le consentement de l’utilisateur de façon explicite et active, sans précocher de case ;
  • vous gardez une preuve de son consentement ;
  • vous lui donnez les moyens de vous contacter pour modifier ses informations, les supprimer, retirer son consentement facilement,
  • vous l’informez de votre politique de confidentialité (lien vers une page dédiée sur votre site).

L’article 17 du Règlement Général Européen sur la Protection des Données (RGPD) sur le « droit à l’effacement », ou « droit à l’oubli », permet aux individus de demander la suppression de leurs données personnelles aux entreprises qui les détiennent.

RGPD formulaire de contact exemple 1
rgpd site internet : formulaire de contact rgpd exemple 1rgpd site internet : formulaire de contact rgpd exemple 2getlandy.com

Le site e-commerce

Il s’agit d’un site de vente en ligne, plateforme permettant à un commerçant ou à un prestataire de vendre ses produits ou services sur internet, quelle que soit sa situation géographique. En plus de générer des ventes et donc du chiffre d’affaires, vous enrichissez votre connaissance client.

Comme le site vitrine, il donne une visibilité à votre entreprise et son activité, développe son image de marque, et vise la collecte d’informations clés sur : 

  • les clients qui réalisent des achats (produits favoris, adresse, âge, coordonnées bancaires, etc.) ;
  • mais aussi des visiteurs qui créent éventuellement un compte, demandent à recevoir des informations promotionnelles et partagent leurs coordonnées et préférences, sans passer par le panier.

Vos obligations :

  • vous réalisez les mises à jour techniques nécessaires et surveillez régulièrement la sécurité de votre site :
    • parcours entier en https, 
    • mot de passe complexe imposé, 
    • sécurisation des transactions et conservation des coordonnées bancaires via un tiers de confiance (cf. passerelle de paiement et paiement récurrent) ;
  • comme avec le site vitrine, vous ne collectez que les informations nécessaires au traitement de la transaction dans ce cas, éventuellement à la relation client qui en découle (date d’anniversaire pour lui faire un cadeau plus tard, etc.) ;
  • le parcours de vente implique aussi l’information sur le traitement des données, le recueil du consentement et le droit de regard sur les données ;
  • vous réalisez une page « vie privée “ou ‘politique de confidentialité’ sur votre site, que vous communiquez systématiquement et tenez à jour.
rgpd site internet : les mentions légales ecommerce

Les cookies

Vous pouvez déposer des traceurs publicitaires lorsque vous recevez une visite, sur les supports des utilisateurs, comme leur smartphone ou ordinateur.
Ces outils stratégiques permettent d’analyser leur navigation et leurs habitudes de consultation ou de consommation, pour vous donner des pistes d’amélioration sur votre offre et la structure de votre site (type d’audience, pages consultées, temps passé par page, etc.) mais aussi vous permettre d’envoyer des publicités ciblées.

Attention aux différents services annexes sur votre site, comme Google Analytics, qui collectent et traitent des données personnelles :

  • adresse IP,
  • identité,
  • coordonnées,
  • géolocalisation, etc.

Veillez à les désactiver tant qu’il n’y a pas eu de consentement clair de l’utilisateur.

Vos obligations :

  • suivant l’objectif du traceur (facilitation du parcours de vente, envoi de publicité ciblée), vous devez recueillir le consentement ou en informer, a minima, votre visiteur, avant de le déposer sur son terminal ;
  • s’il y en a plusieurs (marketing, analytiques, etc.), donnez la possibilité de les cocher dans une liste et expliquez lesquels sont obligatoires et pourquoi.
rgpd site internet : consentement et cookieAdvency

💡 Bon à savoir : La durée de validité du consentement est de 13 mois maximum pour un cookie. Après, vous devez demander l’autorisation à nouveau.

Comment se mettre aux normes RGPD ?

Les actions à mener sont bien résumées dans cette infographie :

rgpd site internet : rgpd actions à mener

© Plezi

▶︎ La formation

L’idéal est de commencer par la formation de vos différents responsables de traitement (PDG, cadres, personnes en charge du marketing, du service commercial, du service informatique, etc.) afin que tous aient des bases de connaissances techniques et juridiques, et connaissent les bonnes pratiques.
Outre les avocats et experts dans le digital, la CNIL propose un MOOC, un atelier gratuit.

▶︎ La conception avec Privacy by design

Si vous créez votre site après l’entrée en vigueur du RGPD, vous devez prendre en compte les obligations de sécurisation et de respect des données dès la conception du site. C’est ce qu’on appelle la Privacy by design. C’est valable aussi pour les outils CRM.

Mais pour tous ceux qui ont un site datant de l’ère pré-RGPD, plusieurs éléments à envisager et à cumuler : voici notre RGPD checklist.

▶︎ La nomination d’un DPO et la réalisation d’un audit

D’après l’article 37 du Règlement Général sur la Protection des Données (RGPD), vous devez nommer un DPO si vous répondez à au moins l’un de ces critères :

  • vous êtes une autorité publique ou un organisme public ;
  • les données que vous traitez :
    • nécessitent un suivi régulier et systématique de par leur portée et/ou leur finalité ;
    • sont sensibles (données de santé, religieuses, etc.).

Que vous passiez par un prestataire externe (recommandé car plus neutre) ou votre responsable informatique, faites un audit de votre site internet
Vous aurez rapidement un cahier des charges comportant :

  • le recensement des différents traitements de données dans tous vos services,
  • les améliorations à apporter, catégorisées selon l’urgence et la sensibilité.

▶︎ La mise à jour de votre site internet

Soyez vigilant : que vous utilisiez WordPress, Joomla, Drupal, Wix ou tout autre CMS, ces derniers utilisent des plug-in qui ne sont pas forcément à jour des réglementations européennes.
Quant aux vidéos, players, cartes interactives, gérez bien les demandes de consentement car ces services collectent aussi des données, parfois sans consentement.

Avant RGPD

rgpd site internet : formulaire de contact avant après RGPD
  1. Créez ou mettez à jour votre page ‘Politique de confidentialité’ ;
  2. Adaptez vos formulaires avec les mentions obligatoires ;
  3. Adaptez votre bandeau cookies : des outils existent pour créer un bandeau cookie conforme (cookiesecure, cookiebot, etc.) ;
  4. Mettez en place un modèle de gestion des préférences de l’internaute, si vous envoyez plusieurs newsletters ou des notifications thématiques ;
  5. Vérifiez la conformité de tous les outils annexes de votre site (plug-in, etc.).
rgpd site internet : gestion des préférencesDailymotion

💡 Bon à savoir : Pour les mentions obligatoires, Il est possible de les indiquer sur chaque page individuellement ou sur une page dédiée bien visible et facilement consultable.

▶︎ L’utilisation d’un logiciel pour piloter la mise en conformité

Pour piloter la mise en conformité et assurer son suivi, un outil peut grandement vous faciliter la vie. 
Ces derniers ne garantissent pas à votre site d’être conforme, mais vous permettent plutôt de vous donner une ligne directrice pour mieux vous organiser, centraliser votre documentation, voir les travaux en cours et travailler en collaboration avec toutes vos équipes RH, comptable, marketing.

C’est le cas de Data Legal Drive.

rgpd site internet : Data Legal Drive

Le logiciel de gouvernance de mise en conformité RGPD vous permet de :

  • centraliser les documents prouvant la responsabilité (accountability) de votre entreprise,
  • répertorier les traitements de données personnelles que vous mettez en œuvre,
  • constituer ainsi un registre des traitements,
  • réaliser un diagnostic interactif de votre entreprise,
  • visualiser les projets de mise en conformité de votre site internet et leur avancement, en temps réel,
  • enregistrer les demandes des personnes concernées par le traitement de leurs informations,
  • faire une veille des violations identifiées en interne ou déclarées par un sous-traitant,
  • profiter de l’expertise de l’éditeur en droit de l’IT et de la data.
    De plus, un success manager et un juriste peuvent répondre à vos questions et déterminer s'il y a besoin de prestation en cabinet.
     

Autre solution notable : Captain DPO

rgpd site internet : Captain DPO

La solution propose :

  • une gestion de la mise en conformité collaborative,
  • la génération de rapports en quelques clics,
  • un tableau de bord dynamique,
  • la possibilité pour votre DPO de tenir plusieurs registres,
  • la gestion des demandes de rectification,
  • l’intégration du logiciel de la CNIL,
  • la connexion directe de vos sous-traitants sur la plateforme,
  • un annuaire des sous-traitants exploitant vos données, etc.

D’autres logiciels existent : Smart Global Compliance Booster, myDPO, Axeptio, etc.
N’hésitez pas à demander plusieurs démonstrations ou des versions d’évaluation. 
En plus des fonctionnalités, la facilité d’utilisation, le prix mais aussi l’accompagnement et la réactivité du support peuvent être décisifs dans votre choix.

Voyez le RGPD comme une opportunité, pas une contrainte

Nous sommes dans une ère éthique, de consommation de qualité et de respect de la vie privée. Votre implication sera récompensée par des informations qualitatives sur vos clients ou prospects, dans un respect mutuel et en toute connaissance de cause. L’antithèse des GAFA, en somme.

Si votre site est conforme au RGPD, il y a moins de risques de piratage ou de fuites de données (rappelez-vous le ‘FacebookGate’, le scandale des données récupérées par la société Cambridge Analytica) : votre réputation en ligne est préservée et vos clients sont en confiance !

À la clé également : malgré les efforts financiers et organisationnels que cela demande initialement, le retour sur investissement est garanti grâce à une collecte plus minutieuse et mieux ciblée : vos newsletters et vos notifications sont adressées à des personnes intéressées et volontaires et le parcours d’achat est plus bienveillant et sécurisant. 

Dernier conseil : privilégiez les clins d’œil et la convivialité sur vos nouveaux formulaires, et dans les paramètres de gestion des préférences (newsletters ou notifications). L’internaute est beaucoup sollicité ces derniers temps et tenté de répondre par la négative. Donnez-lui envie de vous suivre grâce à des accroches originales, démarquez-vous, c’est le moment !

rgpd site internet : le rgpd made fun

vu sur @blogduwebdesign (à gauche) et © maddyness (à droite)

La fidélisation est au bout du tunnel ! Et surtout, vous n’êtes pas un hors-la-loi. 🤠

La transparence est une valeur essentielle pour Appvizer. En tant que média, nous avons pour objectif d'offrir à nos lecteurs des contenus utiles et de qualité tout en permettant à Appvizer de vivre de ces contenus. C'est pourquoi, nous vous invitons à découvrir notre système de rémunération.   En savoir plus
Comment Anonymiser - Pseudonymiser des données en open data ?
Conseil
l’année dernière
Comment Anonymiser - Pseudonymiser des données en open data ?
Conformément au RGPD, le chiffrement est devenu une obligation afin de sécuriser les données. Business Development Manager Sécurité et GDPR Champion chez Oracle France, Jérôme Chagnoux nous apporte son point de vue d'expert sur la question de l'anonymisation des données.
RGPD : comment passer à un marketing qui valorise les données ?
Livre blanc
il y a 2 ans
RGPD : comment passer à un marketing qui valorise les données ?
Mettez votre marketing digital en conformité avec le RGPD : téléchargez le guide pour assurer la protection des données personnelles, un traitement responsable et collecter des adresses emailing récoltées avec consentements en double optin : Olivier Martineau, CEO de Spread vous dit tout !
Conseil backgroundRGPD 2018 : l’essentiel à connaître  pour préparer son entreprise
Conseil
il y a 2 ans
RGPD 2018 : l’essentiel à connaître pour préparer son entreprise
Vous n’avez pas envie de parcourir tout le site de la CNIL pour comprendre le GRPD n’est-ce pas ? appvizer vous donne l’essentiel de l’information à connaître pour mettre votre entreprise en conformité, avec en bonus les meilleurs outils pour fournir les preuves à l’autorité de contrôle en 2018. Respirez !
Comment tenir un registre des traitements conforme au RGPD ?
Conseil
il y a 2 ans
Comment tenir un registre des traitements conforme au RGPD ?
Le registre des traitements de données est l’une des obligation sà respecter pour être conforme au RGPD. Alain Garnier, CEO de Jamepot, vous explique comment le tenir en l’illustrant d’un exemple de registre tenu dans la solution Captain DPO.
Audit RGPD : lier l’utile à l’agréable
Conseil
il y a 2 ans
Audit RGPD : lier l’utile à l’agréable
Que comprend un audit RGPD ? Quel comportement adopter ? Comment se passe cette démarche visant la conformité ? Alexis Quentrec, spécialiste RGPD chez Nuageo, Cabinet de Conseil Cloud Computing, vous apporte ses lumières.
Oodrive : quand le DPO s’appuie sur des Privacy Champions
Conseil
il y a 2 ans
Oodrive : quand le DPO s’appuie sur des Privacy Champions
Face au enjeux du RGPD, le DPO n'est pas forcément isolé. Olivier Iteanu, du Cabinet Iteanu Avocats, et François-Xavier Vincent, Group CISO & DPO Oodrive, ont en effet mis en place une pratique originale chez Oodrive : les Privacy Champions.
RGPD & B2B par Adeline Lemercier
Conseil
il y a 2 ans
RGPD en B2B : entre mythes et réalités
Adeline Lemercier, responsable marketing chez Plezi nous éclaire sur le RGPD en B2B : une mise au point sur quelques idées reçues, notamment sur le Privacy Shield américain s'impose. Bonus : la checklist pour être conforme en infographie !