7 points à vérifier pour la conformité de votre site internet au RGPD

Gatien Guemas – 21/09/2022

Disposer d’un site internet est désormais indispensable pour toute entreprise qui souhaite gagner en visibilité et étendre son influence. Toutefois, il est important de se rappeler que ces plateformes sont destinées aux utilisateurs. Pour qu’elles soient performantes, vous devez collecter un maximum d’informations et, par conséquent, gérer des données personnelles. De ce fait, vous devez respecter les obligations du RGPD.

RGPD et site internet : l’importance de se mettre en conformité

Les risques d’atteinte à la vie privée sont très élevés sur Internet, entre les cookies, les publicités et les traceurs. En effet, lorsque les utilisateurs consultent un site, ils communiquent des données sur leur navigation, leur géolocalisation et bien d’autres encore. Ces dernières sont utiles aux entreprises pour optimiser leur stratégie marketing

Or, le Règlement Général sur la Protection des Données ou RGPD leur impose de respecter certains procédés dans cette collecte de données personnelles. L’objectif de cette loi est de responsabiliser les organismes publics et privés afin qu’ils respectent les droits et libertés des utilisateurs établis sur le territoire européen. 

De plus, de lourdes sanctions sont prévues par la CNIL en cas de non-conformité au RGPD. Ainsi, toutes les entreprises concernées ont intérêt à respecter ses lignes directrices. Visitez cette page pour en savoir plus sur le RGPD des sites internet.

Les 7 points à vérifier pour garantir la conformité avec le RGPD

Voici les actions indispensables à réaliser pour mettre votre site Web en conformité avec le RGPD : 

Gérer les traceurs et les cookies

Les cookies sont des fichiers installés sur les différents terminaux des visiteurs (tels que les ordinateurs et les smartphones) lorsqu’ils consultent un site. Ils sont utilisés pour mesurer l’audience et pour enregistrer certaines informations comme : 

  • les identifiants de connexion ;
  • le panier d’achat ;
  • le parcours de navigation ;
  • la langue d’affichage.

Leur utilisation est strictement encadrée. C’est pourquoi il est important de leur prêter une attention particulière dans une démarche de conformité RGPD. Il faut noter que chaque utilisateur doit être tenu informé du dépôt de cookies sur son appareil et donner son consentement au préalable. 

L’information sur le dépôt des cookies

Ce procédé se déroule en deux étapes. Tout d’abord, le site doit faire apparaître un bandeau ou un pop-up qui précise les finalités de dépôt de cookies ainsi qu’un lien vers leur politique d’utilisation et la possibilité de les accepter ou de les refuser. Ensuite, les informations suivantes doivent être communiquées à l’utilisateur : 

  • l’éditeur ou le propriétaire ;
  • son nom, son objet et sa qualification ;
  • la durée de conservation des données.

L’obtention du consentement préalable

Le bandeau de cookies doit remplir deux fonctions : renseigner l’utilisateur et lui donner la possibilité d’accepter (totalement ou partiellement) ou de refuser le dépôt de cookies sur son terminal.

Bandeau cookie

Selon le RGPD, les cookies peuvent nécessiter ou non l’accord de l’utilisateur. Dans le second cas, il s’agit de cookies indispensables au bon fonctionnement du site Web.

Lorsqu’un utilisateur se connecte sur un site, ce bandeau doit lui apparaître. Il doit lui permettre de faire son choix en un seul clic. Par contre, la preuve de ce consentement doit être conservée pendant au moins 6 mois, selon les recommandations de la CNIL. 

Gérer l’information grâce à une politique de confidentialité

Pour protéger les données personnelles des utilisateurs d’Internet, les éditeurs doivent désormais rédiger une politique de confidentialité conforme au RGPD et aux prescriptions de la CNIL. 

Pour que votre site internet respecte la vie privée des visiteurs, vous devez leur fournir une information transparente sur la façon dont les données sont utilisées. En effet, que vous leur demandiez leurs coordonnées lorsqu’ils s’abonnent à votre newsletter ou que vous exigiez leurs identifiants lorsqu’ils créent un compte sur votre site, vous devez collecter leurs données personnelles. 

Ainsi, la rédaction d’une politique de confidentialité est vivement recommandée. Elle est aussi appelée Privacy Policy. D’ailleurs, les termes utilisés doivent être clairs pour qu’ils puissent facilement être compris par le public cible. Une politique de confidentialité doit au moins comporter les informations suivantes : 

  • l’identité du responsable de traitement et du DPO, s’il y en a ;
  • la base légale du traitement ;
  • les finalités de l’exploitation des données ;
  • les catégories des données à traiter ;
  • la durée de conservation des données ;
  • les transferts des données à l’international ;
  • le droit de faire une réclamation auprès de la CNIL ;
  • la dernière date d’actualisation.

Encadrer les formulaires de collecte des données

Un site internet peut collecter des données de différentes manières, notamment par le biais d’un formulaire d’inscription à une newsletter, un formulaire de création de compte ou de contact. Dans tous les cas, de nombreuses règles sont à respecter afin de garantir la conformité avec le RGPD : 

  • les informations recueillies doivent être indispensables à l’atteinte de l’objectif ;
  • si des informations supplémentaires sont utiles, il est important de préciser lesquelles sont obligatoires et lesquelles sont facultatives ;
  • si des informations sont collectées via une case champ libre, l’utilisateur ne doit en aucun cas communiquer des informations sensibles pour ne pas se confronter à d’autres obligations.

Par ailleurs, une information sur les modalités des traitements doit accompagner chaque collecte de données. Les mentions d’informations doivent renvoyer vers la politique de confidentialité. Le processus d’information se déroule à deux niveaux. Tout d’abord, la mention doit indiquer la finalité de la collecte et l’identité du responsable de traitement. Ensuite, elle doit renvoyer l’utilisateur vers la politique de confidentialité pour qu’il puisse la consulter.

Les autres points de vigilance

Pour se conformer au RGPD, d’autres points de vigilance doivent être mis en œuvre. On peut citer les suivants : 

La nomination d’un DPO

Le DPO ou Délégué à la Protection des Données (DPO) est chargé de la sécurisation des données au sein des entreprises. En cas de violation, il est aussi le point de contact de la CNIL. Le DPO pilote la conformité. Pour remplir cette fonction, il doit être expérimenté. 

Il est possible de le nommer en interne ou de faire appel à un prestataire externe. Cette seconde option s’avère plus intéressante et rentable, car il sera plus facile de changer de prestataire dans le cas où le principal ne correspond pas aux attentes. Rappelons qu’en cas de violation de données, il est important d’en informer la CNIL dans les 72 h.

La sécurisation des transferts de données

Vous devez assurer le développement de votre site Internet ainsi que sa protection et celle de votre matériel informatique. Ainsi, les données collectées seront sécurisées lors des échanges, par exemple dans le cadre des traitements. Si des informations sont collectées via votre site, un certificat SSL doit obligatoirement être installé pour chiffrer les données en transit. 

D’ailleurs, les solutions de conception de sites internet incluent désormais ces prérequis. En respectant les exigences du RGPD, vous instaurerez la confiance auprès des utilisateurs de votre site. Ce sera bénéfique pour votre organisation.

Pour en savoir plus sur le RGPD, n’hésitez pas à consulter notre article Le RGPD pour les nuls.

Articles associés

auteur-tool-advisor Gatien Guemas

Fondateur de Tool Advisor

Ses trois logiciels préférés : Notion, Calendly pour prendre des rendez-vous et l’indispensable Suite Google.

Tool Advisor Newsletter

3 nouveaux outils à découvrir chaque semaine, des promotions et des ressources exclusives… Rejoignez + de 2000 professionnels inscrits à la newsletter pour la recevoir tous les mardis matin.

S’inscrire à la newsletter