Comment mettre son site internet en conformité avec le RGPD ?

Votre site internet est un indice essentiel de votre niveau de conformité au RGPD.  Il représente la vitrine de votre entreprise, organisme ou collectivité publique, et influence fortement l'image perçue par les utilisateurs.

Etant donné que les sites web collectent de nombreuses données (noms, adresses e-mail, adresses IP, historiques de navigation, etc) et qu'ils sont consultés par des prospects/clients qui souhaitent obtenir des informations, il est important qu'ils soient conformes aux exigences légales et règlementaires en vigueur.

Rappelons qu'en 2022, la CNIL a effectué 86% de ses contrôles en ligne !

xDPO vous rappelle les quatre points importants à vérifier :

• Le certificat de chiffrement

• Les cookies et traceurs

• Les mentions d'information et textes légaux

• Les formulaires
  

En fin d'article vous pourrez télécharger une checklist des 16 points à vérifier sur votre site.

1️⃣LE CERTIFICAT DE CHIFFREMENT 🔒

Ce certificat est la garantie que la connexion est sécurisée entre l'ordinateur de l'internaute et les serveurs de votre site.

Si le certificat est présent, votre adresse URL contiendra "https" et vous verrez apparaître un cadenas 🔒avant l'adresse du site.

Si le certificat n'est pas présent, l'internaute aura un message d'alerte de son navigateur indiquant que le site n'est pas sécurisé et lui déconseillant de s'y connecter.

2️⃣LES COOKIES ET TRACEURS 🍪

Le principe est simple : l'internaute doit être informé de la nature des cookies et dans la majorité des cas vous devez obtenir le consentement de l'internaute à l'installation des cookies.

On distingue quatre types de cookies :

• Les cookies techniques : ils sont indispensables au bon fonctionnement du site internet. Exemple : les cookies permettant de savoir si vous êtes connecté à l'espace client ; les cookies qui font référence à la gestion de votre sélection de produits ou services, etc.

  • vous devez informer l'internaute de leur présence

• Les cookies de personnalisation du service : ils permettent à l’utilisateur d’accéder aux services à caractéristiques prédéfinies sur son terminal ou définies par l’utilisateur. Exemple : les cookies définissant la langue, le type de navigateur permettant l’accès au service et le mode d’affichage préféré, etc.

  • vous devez informer l'internaute de leur présence et obtenir son consentement

• Les cookies de ciblage publicitaire. Ils permettent aux sites internet de proposer des publicités ciblées.

  • vous devez informer l'internaute et obtenir son consentement

• Les cookies d’analyse d’audience. Ils permettent de comprendre comment les utilisateurs arrivent sur un site web ou une application mobile et de reconstituer leur parcours.

  • vous devez informer l'internaute et obtenir son consentement

Comment voir les cookies installés sur une page web ? Quelque soit votre navigateur, vous pouvez appuyer sur la touche F12. La console technique apparaît, puis cliquez sur "Appli" dans le menu en haut et enfin sur  "stockage" dans le menu de gauche. La liste et les caractéristiques des Cookies installés apparaît alors sur la droite de l'écran.

Comment informer l'utilisateur et recueillir son consentement ? Via la mise en place d'un bandeau cookies permettant de "tout accepter", "tout refuser, "personnaliser les choix".

Comment obtenir un consentement valide de l'internaute?

Le consentement de l'internaute est valide si vous, éditeur du site, pouvez prouver que:
- vous avez informé du traitement qui va être fait des cookies
- l'internaute choisi librement et sans contraintes
- l'internaute peut changer d'avis librement.
Plus d'information sur le site de la CNIL https://www.cnil.fr/fr/les-bases-legales/consentement

La CNIL met à disposition sur son site des lignes directrices et des recommandations rappelant les obligations centrales autours des cookies et du recueil du consentement des utilisateurs.

Pour en savoir plus sur les cookies et autres traceurs, voir notre article de blog "Nouvelles règles pour les cookies et autres traceurs" !

3️⃣LES MENTIONS D’INFORMATION ️📃

Les mentions d'information doivent être concises, transparentes, compréhensibles et accessibles pour les personnes concernées.

Comment fournir des informations sur un site internet ?

• Rédiger les mentions légales dépendamment du caractère professionnel ou non du site internet. Pour les sites internet professionnels, les mentions légales doivent indiquer les coordonnées de l'éditeur du site, le numéro d'identification au Registre du commerce et des sociétés (RCS), le numéro de TVA intracommunautaire, le capital social, le nom du Directeur de la publication et du Responsable de la rédaction, les coordonnées de l'hébergeur du site etc. Cette mention est obligatoire et le manquement à cette obligation d'information est puni d'1 an d'emprisonnement et 75 000 € d'amende. Pour les sites internet personnels, l’éditeur peut garder l’anonymat, il doit tout de même indiquer le nom de l’hébergeur et ses coordonnées (adresse électronique, numéro de téléphone).
  

• Rédiger une politique de confidentialité conforme : un document expliquant en détails quels sont les traitements de données personnelles que votre organisation effectue, relatifs au site web (gestion des traceurs, gestion des formulaires de contact, ...) mais également aux services internes de votre organisation (gestion des prospects et des clients, gestion des ressources humaines, etc). Cette page doit être distincte des mentions légales et doit comporter les informations suivantes : identité du responsable, détails sur les traitements des données personnelles, la présence ou non de transferts hors UE, les destinataires des données, et les droits des personnes concernées.
  

• Rédiger une politique de cookies expliquant les cookies présents sur le site.

4️⃣LES FORMULAIRES 📝

Le formulaire de contact est crucial pour les sociétés possédant un site web dans la mesure où il est susceptible de transformer un simple visiteur de site en un potentiel client.

Pour chaque formulaire de votre site internet (formulaire de contact, de dépôt de candidature, de support client, newsletter) une mention d'information précisant qui collecte les données, pour quelle finalité et pour combien de temps doit être présente.

Modèle de mention RGPD à ajouter avant la validation du formulaire

Les informations recueillies sont nécessaires au traitement de votre demande. Elles sont traitées par NOM_EDITEUR. Conformément à la Loi Informatique et Libertés et son décret n°2019-536 et au Règlement européen 2016/679, vous disposez de droits sur vos données à caractère personnel. Ils sont décrits sur le site de la CNIL (www.cnil.fr) et vous pouvez les exercer par courrier simple à l’adresse ADRESSE_EDITEUR ou par courrier électronique à l’adresse RGPD@EDITEUR.FR

Attention à ne collecter que des données strictement nécessaires à la finalité définie (par exemple, je n'ai pas besoin de connaitre le sexe ou l'âge de la personne dans un formulaire de contact).

A travers votre site internet, la CNIL, vos prospects, vos clients, vos salariés, vos concurrents peuvent juger de votre maîtrise du RGPD et verront l’attention que vous portez à leurs données personnelles.

👉Comment savoir si votre site est conforme au RGPD? xDPO vous propose de télécharger la liste des 16 points clefs à vérifier pour évaluer la conformité de votre site.

Les internautes ont aussi consulté :

• Quelles sont les règles d'or du RGPD?

• Votre logiciel de newsletter est-il conforme au RGPD ?

• Comment choisir sa plateforme de gestion du consentement (CMP)?

• Comment réaliser une analyse d impact relative à la protection des données (AIPD) 

• Quelle est l'utilité d'une charte informatique ?

• Comment répondre à une demande d'exercice de droit d'accès RGPD?

• Comment remplir le registre des traitements RGPD?

• RGPD : quelle durée de conservation des données ?