fbpx
CLOSE

ABOUT ME

Our external advisory board, this year consisting of 24 experts from 20 leading global research organizations.

READ MORE
6 mai 2018

RGPD : Une mise aux normes des sites internet en 2018

RGPD : Une mise aux normes des sites internet en 2018

 

Depuis le début de l’année, cette évolution ne cesse de faire parler d’elle. Dès le 25 mai 2018, ce Règlement Général pour la Protection des Données entre en vigueur et il faudra être prêt. Si de notre côté, nous nous sommes renseignés immédiatement pour respecter ces normes et rassurer les utilisateurs, tous les webmasters et chefs d’entreprise vont devoir en faire de même.

Pour permettre à tous de mieux comprendre cette mise aux normes, nous avons pris soin de vous présenter cette révolution en marche. Ce guide complet sera très utile pour faire partie des sites internet qui respectent cette législation.

Le RGPD ça consiste en quoi ?

Sous cet acronyme se cache un règlement qui a été voté par le Parlement Européen en 2016. La CNIL va veiller à sa mise en application. Cette décision va transformer complètement l’univers du web puisqu’il prévoit de donner à chaque utilisateur le total contrôle et la protection des données à caractère personnel. Lors de ses navigations, il aura donc un droit de regard sur l’utilisation de ces données.

Les données considérées comme personnelle

Pour comprendre l’importance du RGPD, il faut prendre conscience qu’il concerne tous les moyens d’identification comme le nom, le prénom, l’adresse mail, le numéro de téléphone. Les données démographiques comme le sexe, l’âge ou la profession en font partie également, de même que la localisation géographique et le lieu d’exercice de sa profession.

Les informations numériques qui s’enregistrent à chaque fois qu’une personne est sur internet vont également devoir bénéficier d’une protection. Il s’agit notamment de l’adresse IP, les visites et même les clics. Les photos ou contenus partagés sont également considérés comme données personnelles.

L’évolution demandée par le RGPD

L’arrivée de ce règlement exige donc de la part des sites trois types d’actions :

  • Un meilleur contrôle des données avec une demande systématique du consentement. Les formulaires et les cookies récoltent les informations donc à chaque nouvel accès à des données personnelles, les utilisateurs doivent être informés correctement. Expliquer que ces données peuvent être collectées et pourquoi permettra à chacun de savoir s’il souhaite donner son consentement.
  • La traçabilité et la haute sécurité des données font partie des exigences du RGPD. Les failles de sécurité doivent donc être traitées et solutionnées afin que le stockage et la protection des données soient parfaitement garantis.
  • Le droit de rectification des données doit être garanti. La personne concernée doit pouvoir à tout moment modifier ou supprimer les données jugées comme personnelles.

A qui s’adresse le RGPD ?

Ce nouveau règlement qui sera bientôt appliqué a été créé à l’attention de toute personne physique ou morale qui serait susceptible d’être en contact avec des données personnelles émanant des utilisateurs.

Dès qu’un site est amené à collecter, utiliser ou stocker des données personnelles, il doit prendre en compte cette législation. Il va donc devoir la respecter scrupuleusement dès le 25 mai. Que le site se trouve dans l’Union Européenne ou à l’extérieur, dès lors qu’elle est en contact avec des informations d’un de ses ressortissants, elle se doit de respecter le RGPD.

Les mentions à afficher sur son site

Dès le 25 mai, il faudra faire apparaître le nom et les coordonnées du délégué à la protection des données afin que les internautes puissent y faire appel au moment de leur choix. Il faudra également notifier les méthodes de collecte et de stockage des données ainsi que les utilisations prévues.

Les modes de sécurisation des données devront être précisés, tout comme les méthodes de notification et comment rectifier et supprimer ces données. Au moment de l’entrée sur un site, tout internaute doit pouvoir recevoir toutes ces informations.

Les sanctions prévues

Tout propriétaire de site qui ne respecterait pas le RGPD s’exposerait à des sanctions importantes. La législation prévoit de durcir le ton en cas de manquement à ce règlement. Les amendes pourraient donc s’élever à un montant entre 2 à 4% du chiffre d’affaires de l’entreprise concernée. Les infractions les plus graves pourraient mener jusqu’à une amende de 20 millions d’euros.

Quels changements faire sur son site ?

Pour pouvoir être au point pour la mise en fonction du RGPD le 25 mai, une série de mesures sont à prendre sur son site. Après avoir réalisé quelques changements sur notre site, nous vous livrons le mode d’emploi.

Un pilote pour tout orchestrer

Compte tenu de l’ampleur du travail, quelques changements ne seront pas suffisants. Choisir un coordinateur capable d’organiser cette transition sera très utile. Ce délégué aura la tâche d’informer les personnes qui traitent les données personnelles mais aussi les sous-traitants et tous les membres du personnel.

Ce responsable devra veiller à ce que le RGPD soit respecté et que la protection des données s’opère comme convenu. Des études peuvent être menées pour contrôler de façon plus systématique ce nouvel aspect d’une entreprise. Il s’assurera également que les évolutions de ce règlement seront bien adoptées et que le site est en conformité totale.

La mise à jour de ses conditions d’utilisation et de sa politique de confidentialité

Pour pouvoir justifier de son respect du RGPD, des mentions claires et des informations transparentes seront parfaites. Les conditions d’utilisation devront donc intégrer des renseignements relatifs à la collecte et l’utilisation des données et aux méthodes permettant leur protection. La politique de confidentialité recensera les mesures prises pour s’assurer que chaque donnée à caractère personnel échangée sur le site sera protégée.

Les conditions d’utilisation devront être remaniées en incluant la nouvelle politique de confidentialité. En prenant en compte les directives du RGPD, des modifications seront utiles. Cette évolution qui a été annoncée va en effet attirer l’attention des utilisateurs qui n’hésiteront pas à vérifier la position des sites par rapport au RGPD. Le respect de ce règlement va donc installer une certaine confiance. Un site a donc tout intérêt à faire les démarches le plus tôt possible.

Miser sur la clarté

Avec l’arrivée du RGPD, il n’est plus question d’être approximatif dans l’utilisation des données. La politique de confidentialité devra donc être très claire sur le sujet. Pour respecter le RGPD, il faudra y faire figurer les coordonnées de l’entreprise, celui de l’éditeur et de l’hébergeur.

Le type de données récoltées devra être précisé à savoir le nom, prénom, email, adresse postale et adresse IP. La durée de stockage devra être renseignée sachant que les données marketing ne peuvent être conservées au-delà de 3 ans. Pour les données liées à la facturation des commandes, ce délai peut passer à 6 ans.

Les mesures de sécurité mises en place par le site devront être clairement exposées. La marche à suivre pour exercer son droit de modification, rectification ou suppression des données personnelles sera expliquée pour les internautes.

Pour chaque formulaire mis en ligne sur le site, il sera donc utile d’ajouter une case à cocher. Lorsqu’elle est validée par l’utilisateur, elle assure qu’il a bien pris connaissance de la politique de confidentialité du site. Un lien vers la page correspondante sera intégré pour pouvoir la lire dans son intégralité.

Revoir les formulaires de son site

Au niveau de l’inscription à la newsletter, avant le téléchargement de documents ou pour créer un compte client, un certain nombre de données personnelles vont être collectées. S’il existe un certain nombre de plugins ou de modules qui permettent de créer des formulaires en quelques minutes, il faudra vérifier qu’ils respectent bien le RGPD.

Les formulaires du site devront intégrer une nouvelle case qui indique que l’internaute autorise le site à enregistrer les données personnelles. La raison de cet enregistrement doit également être justifiée pour qu’elle corresponde au RGPD. La possibilité de se désinscrire à tout moment ou de pouvoir exercer un droit de rectification ou de supprimer ces données devra être indiqué sur ces formulaires.

Les formulaires ne pourront désormais plus demander des informations qui n’ont pas un rapport direct avec l’action proposée. Demander le sexe ou l’âge ne sera plus possible. Les sites ne pourront donc plus se construire de base de données sur les visiteurs du site.

S’assurer de la conformité des commentaires

Lorsque les internautes commentent un article, certaines données sont collectées. Il faudra donc s’assurer que les commentaires respectent le RGPD. Pour y parvenir, il faudra autoriser la publication de commentaires uniquement lorsque l’utilisateur est connecté à son compte. Pour être enregistré, l’acceptation de la politique de confidentialité est obligatoire. En ajoutant cette condition pour la publication de commentaires, le respect de ce nouveau règlement est assuré.

Ajouter un message de consentement au niveau des commentaires pour rappeler de prendre connaissance de la politique de confidentialité sera une excellente décision. Il faudra donc s’assurer que le plugin utilisé offre cette possibilité.

Vérifier ses extensions

Utiliser des extensions pour son site est très pratique mais il faudra désormais s’assurer qu’elles respectent le RGPD. Elles doivent comporter un espace prévoyant la récolte du consentement des utilisateurs. Les plugins de suivi des données des consommateurs devront certainement être supprimés car ils n’expliquent pas quel est le but de ces pratiques.

Pour certaines d’entre elles, une mise à jour pour respecter le RGPD est disponible. Il faudra donc les télécharger pour s’assurer que le site soit parfaitement en conformité. Si aucune mise à jour n’est disponible, il faudra songer à rechercher de nouvelles extensions.

Mettre en place un processus de sécurité

Pour chaque donnée personnelle qui est renseignée sur le site, il faut pouvoir mettre en place un bouclier assez puissant contre les failles de sécurité. Il est également indispensable de s’assurer que les utilisateurs puissent décider à tout moment de l’utilisation de leurs données.

Prévoir un processus d’effacement automatique des données après la durée légale sera également nécessaire. Il est important de préciser aux utilisateurs qu’ils peuvent à tout moment retirer ces données sur simple demande. Une procédure simple doit être mise en place pour retirer ses informations personnelles, accéder à ses données, les modifier, demander à les effacer ou même demander leur transfert en utilisant leur droit à la portabilité.

Créer une page spécifique pour toutes ces procédures fait partie des grands changements qui doivent être opérés dès la mise en fonction du RGPD. Pour toute demande de modification ou de suppression des données, une demande particulière pourra ainsi être formulée. Depuis la newsletter, les cookies, les bannières et tous les endroits où des données sont collectées, un lien vers cette page sera à créer.

La création d’une adresse mail dédiée pour que les utilisateurs envoient leur demande d’exercice de leurs droits sera utile. Il faudra traiter dès réception les demandes de retraits de consentement ou de demande de portabilité des données.

Pour s’assurer que les données des utilisateurs ne soient pas piratées, il faudra mettre en place un chiffrement des data, cryptage des données et mis en place de pseudos. Si une faille de sécurité est détectée, il faudra avertir immédiatement la CNIL.

Créer un registre des données personnelles sur le site

Les déclarations relatives aux données ainsi que les consentements des utilisateurs vont devoir être enregistrées. Un registre avec la date et l’action réalisée sera très utile par rapport au RGPD. Il sera en effet obligatoire de pouvoir justifier d’un registre de traitement des données.

Cette cartographie des données pourra être demandée en cas de contrôle pour s’assurer qu’un site respecte bien le RGPD. Le modèle de registre de la CNIL sera utile pour créer le sien. Pour être conforme il devra préciser les personnes qui vont être contact avec les données ainsi que la liste des sous-traitants qui travaillent avec l’entreprise.

Ce registre va également permettre de connaître le type de données collectées, les preuves de consentement recueillies et donc avoir une vision complète du traitement de ces informations personnelles. Une vérification pourra être faite à tout moment donc la mise à jour doit être continue. Les mesures de sécurité adoptées devront également être notifiées dans ce registre.

Le cas des boutiques en ligne

Si un site permet l’achat de produits, de nouvelles modifications vont devoir être faites avec l’arrivée du RGPD. Il faudra en effet s’assurer qu’elles le respectent bien.

Des conditions générales de vente adaptées

A chaque commande, il faudra s’assurer que l’utilisateur a bien pris connaissance des conditions générales de vente. Avant de valider son panier, cette nouvelle procédure sera obligatoire avec l’arrivée du RGPD. L’accès à la politique de confidentialité à chaque commande doit aussi être possible pour que les clients sachent précisément quelle sera l’utilisation de leurs données personnelles. Des cases à cocher pour chacun des documents sera utile.

Revoir ses formulaires

Pour pouvoir enregistrer et suivre sa commande, les clients vont devoir créer leur compte personnel. Etant donné qu’un formulaire va leur être proposé, des modifications s’imposent. Un lien vers la politique de confidentialité sera utile. Au moment de créer son compte, il faudra pouvoir attester avoir pris connaissance de ce texte et l’accepter pleinement.

Une attention portée aux avis clients

Avant de publier un avis client, le RGPD exige donc de demander le consentement. Etant donné que des données telles que le nom et le prénom sont rattachées à cet avis client, il est important de demander un accord concret. Un lien vers la nouvelle politique de confidentialité devra être intégré pour respecter pleinement le RGPD. Pour s’assurer de suivre la réglementation, la publication ne pourra se faire qu’après un achat véritable. Lors de l’achat, ils ont en effet accepté la politique de confidentialité, ce qui permet de s’assurer de sa conformité.

Les points d’attention avec l’arrivée du RGPD

Pour pouvoir participer à la révolution numérique en marche, chaque site devra engager un certain nombre d’actions. Derrière le seul consentement des utilisateurs, un ensemble de démarches sont à réaliser.

Développer les bonnes pratiques

Dès à présent, il faudra s’interroger dans quel cadre les données sont collectées. A partir de ce constat, il faudra se demander quelle autorisation d‘utilisation est utile. Un consentement peut suffire dans certains cas mais un contrat peut être plus avantageux dans d’autres. Les informations transmises aux clients devront alors respecter scrupuleusement les articles 12, 13 et 14 du RGPD pour être complètes.

Vérifier que les sous-traitants sont informés de ces changements obligatoires et les respectent sera également important. Ajouter des clauses à leur attention dans ses contrats sera une bonne façon de s’assurer de l’application du RGPD.

Pour les cas de transferts des données dans le cadre de la portabilité, il faudra s’assurer que l’organisme suit les bonnes pratiques. Il faudra également vérifier que le pays vers lequel les données sont transmises est reconnu par la Commission Européenne.

Développer une bonne gestion des risques

Une analyse d’impact de la protection des données semble indispensable. Cet outil va être très utile par rapport au RGPD puisqu’il va mettre en place des principes et des droits fondamentaux en matière de protection des données. Il va également préciser les mesures prises dans le cadre de la gestion des risques afin de protéger efficacement les données des utilisateurs.

Le PIA ou analyse d’impact s’impose pour posséder une description fidèle du mode de traitement des données. Evaluer les risques et mettre en place des mesures appropriées va découler de cette analyse. Avant de mettre en place le RGPD, cette étape ne doit pas être négligée. Dès lors que les données sont confrontées à des risques importants, ce PIA est indispensable. Une surveillance systématique et l’utilisation d’applications qui permettent une bonne protection et une gestion des risques efficace.

Les pratiques interdites par le RGPD

A partir du 25 mai, les sites devront faire attention de ne pas pratiquer certaines habitudes. Le RGPD prévoit en effet des sanctions importantes en cas de non-respect de ces interdictions.

Des sollicitations sans consentement

Cette pratique devra être oubliée puisqu’aussi bien pour l’envoi de la newsletter que pour des emails de prospection, le consentement des internautes devra être demandé au préalable. Le profilage doit également être oublié car suivre l’historique d’achat d’un client ne pourra se faire qu’avec son accord. Il faudra donc revoir tout l’aspect marketing de l’entreprise. Le retargeting avec la présentation de publicités après la consultation de produits est aussi à proscrire.

Pour être certain de ne pas être en infraction, il sera judicieux de faire un mailing pour expliquer les nouvelles règles du RGPD et demander les consentements des utilisateurs du site. Grâce à cette approche, la stratégie marketing va se baser davantage sur la qualité. Les sollicitations seront moins nombreuses mais correspondront exactement aux besoins et envies des internautes.

Pour savoir quels envois faire, il faudra respecter scrupuleusement l’accord de chaque utilisateur. L’envoi de la newsletter peut être accepté mais celui de mails publicitaires. Une toute nouvelle relation va donc s’installer entre les entreprises et leurs clients. Il est certain que dans ces conditions, la stratégie marketing devra être complètement revue. Respecter le RGPD va demander une toute nouvelle organisation. Sans consentement, aucune donnée personnelle ne pourra être utilisée.

Cette évolution qui aura lieu le 25 mai est en passe de révolutionner complètement l’univers internet. De nouvelles règles du jeu vont être établies et les entreprises devront s’y référer scrupuleusement.