Le RGPD est-il obligatoire ?
Aujourd’hui, tout site web se doit d'être conforme au RGPD, même ceux créés avant le 25 Mai 2018. L’amende maximum infligée en cas de non-conformité partielle ou totale est de 4% du chiffre d’affaires mondial de l’exercice précédent. Le degré de responsabilité du responsable de traitement est également pris en compte, ainsi que les mesures techniques mises en place pour assurer la conformité du site web.
Quels sont les points à vérifier sur un site vitrine ?
Pour un site vitrine, les actions à mener ne sont pas les mêmes que pour une plateforme ou un logiciel web. Les voici donc ci-dessous :
Consentement quant à l’usage des données fournies
Tout d’abord, il faut savoir que dans tout formulaire au sein duquel vous demandez des données à caractère personnel, vous vous devez de demander la permission à l’utilisateur quant à l'utilisation que vous ferez de ses données. Cela se fait via une case à cocher que l’utilisateur doit attester, suivie d’un texte expliquant l’usage que vous ferez de ces mêmes données (Par exemple : "J'accepte que mes données personnelles saisies dans ce formulaire soient utilisées dans le cadre d'une prise de contact."). Vous pouvez également empêcher l’envoi d'un formulaire si cette checkbox de consentement n’est pas acceptée, ceci, dans le cadre où les informations personnelles seraient absolument nécessaires au bon fonctionnement du service proposé. Il faut également faire figurer un lien vers vos mentions légales, dans lequel vous expliquez plus en détail les traitements que vous appliquez aux données reçues si ceux-ci nécessitent de plus amples explications.
Acceptation personnalisée des cookies
La première fois qu’un internaute navigue sur votre site, vous devez lui laisser la possibilité d’accepter ou non, le fait que l’on utilise des cookies afin de faire fonctionner des modules, des scripts ou des plugins sur votre site web comme la Google Map, des vidéos Youtube ou bien des scripts de tracking comme Google Analytics. De plus, vous devez permettre à l’internaute d’accepter seulement certains cookies, et d'en refuser d’autres selon ses choix. Seul ce fonctionnement est accepté par la CNIL. Voici quelques gestionnaires de cookies :
Liste de gestionnaires de cookies sur la CNIL
Le module que nous utilisons pour permettre la gestion des cookies sur les sites sur-mesure que nous créons est tarteaucitron, vous en aurez un exemple avec le lien suivant :
Gestionnaire de cookies tarteaucitron
Quels sont les points à vérifier sur une plateforme ?
Dans le cadre d'une plateforme web, les points concernant un site vitrine sont également valables. Il faudra cependant y adjoindre un registre des modifications des données à caractère personnel. La difficulté sur d'anciennes plateforme étant la compatibilité avec la structure de celle-ci. Afin de pouvoir intégrer ce registre, les changements peuvent se révéler être colossaux lors de leur mise en place sur une solution existante qui a pu se développer au fil des années. Il faut donc intégrer ce concept dès le départ afin d'éviter de devoir retravailler ou d'être contraint à réagencer la structure de la plateforme par la suite.
Anonymisation des données
Un point crucial à prendre en compte lorsque vous permettez aux utilisateurs de se créer un compte, est d'également leur laisser la capacité de le supprimer … Vous pourriez vous dire : « Je perds mes statistiques, mes paniers, la cohérence de mes données … » Rassurez-vous, il est possible de mener deux actions afin de palier cela :
- Quand l’utilisateur supprime son compte, vous pouvez remplacer toutes ses données à caractère personnel par des « xxx », c'est ce que l'on appelle de la substitution, ou bien, de l'anonymisation. Cela vous permettra ainsi de garder les commandes passées, les différentes statistiques ou bien les informations métier qui sont nécessaires au fonctionnement de votre plateforme, sans que ces mêmes données ne soient raccordées à une quelconque identification personnelle.
- Seconde possibilité, la suppression définitive du compte. Sachez cependant que vous perdrez l'intégralité de vos statistiques et informations métier. Tout dépend de ce que vous stockez.
Export des données personnelles
Vous devez permettre à vos utilisateurs de pouvoir exporter les données à caractère personnel que vous possédez sur eux. Vous pouvez opter pour ne pas l’implémenter sur votre plateforme, ce qui vous contraindra néanmoins à rester dans l'obligation légale de répondre à chaque demande d’un utilisateur requérant la génération d'un fichier de données personnelles le concernant. Si vous ne voulez pas perdre votre temps, ajoutez un bouton « Exporter mes données personnelles » sur la page de compte de votre utilisateur. Au clic sur ce bouton, le site générera un fichier récapitulatif des données à caractère personnel que vous possédez sur votre utilisateur. Ce fichier devra être exporté dans un format préconisé par la CNIL. Vous pourrez typiquement générer ce fichier en JSON.
Enfin, il faut que vous laissiez la possibilité à vos utilisateurs de pouvoir revenir sur des consentements qu’ils ont précédemment accordé, tels que l’acceptation de la réception de mails ou de sms.
Cet article ne rentre pas dans les détails du RGPD mais vous fait part des grandes lignes directrices à emprunter, et des actions qui doivent être menées sur votre site web.