AccueilEspace TPE/PMEVotre site internetSécurité / Obligations légalesVérifiez la conformité RGPD de votre site web
  • Conformité RGPD : pourquoi c’est important ?
  • Qu’est-ce qu’un audit de conformité RGPD ?
  • Les points à vérifier pour être en conformité
  • Pour aller plus loin : consultez régulièrement vos contacts
  • Conformité RGPD : pourquoi c’est important ?

    Le RGPD représente un changement fondamental dans la perception et le traitement des données personnelles. En imposant aux entreprises une transparence totale sur la façon dont elles collectent, utilisent et protègent les données, ce règlement confère aux utilisateurs des garanties de protection et de contrôle sur leurs données personnelles.

    Au-delà de la seule protection des données, la conformité au RGPD est aussi une question de responsabilité sociale et de crédibilité pour les entreprises. Ne pas respecter le RGPD peut avoir des conséquences graves, non seulement financières, mais aussi pour la réputation de votre entreprise.

    Faire le bilan de votre présence en ligne

    Évaluez gratuitement votre maturité numérique et obtenez un bilan personnalisé de votre présence en ligne, visibilité, réputation et développement commercial

    Qu’est-ce qu’un audit de conformité RGPD ?

    Un audit de conformité RGPD est un processus permettant de vérifier si les pratiques d’une organisation en matière de traitement de données personnelles sont en accord avec les exigences du RGPD. 

    Pour savoir si vous avez pris les mesures nécessaires, voici les grandes étapes à suivre :

    1. Préparez votre audit : listez les domaines à évaluer comme la collecte, le stockage, le traitement et la suppression des données personnelles.
    2. Examinez votre documentation : analysez toutes les politiques et procédures relatives à la protection des données, comme les demandes de consentement, la politique de confidentialité et vos accords avec vos sous-traitants. Sont-ils accessibles ? Faciles à comprendre ?
    3. Évaluez vos mesures de sécurité : qu’avez-vous mis en place pour protéger les données ? Faites le point sur les mesures techniques telles que le cryptage, la gestion des accès, et les mesures organisationnelles comme les procédures de réponse aux incidents de sécurité ou la désignation d’un délégué à la protection des données personnelles.
    4. Vérifiez le respect des droits des usagers : veillez à respecter le droit à l’information, le droit à l’oubli et le droit à la portabilité des données. Vérifiez les moyens par lesquels vos utilisateurs peuvent demander à faire usage de ces droits.
    5. Analysez les risques et écrivez votre rapport : décrivez les risques de non-conformité que vous avez identifiés et leurs impacts possibles, et produisez un rapport détaillant les conclusions de l’audit et les recommandations pour y remédier au plus vite.

    La fréquence recommandée pour les audits de conformité RGPD dépend de plusieurs facteurs comme la taille de l’organisation, la nature et le volume des données traitées, et les changements dans les pratiques de traitement des données. Pour les petites et moyennes entreprises, réaliser un audit une fois par an est conseillé. Enfin, gardez un œil sur les évolutions de la réglementation.

    Les points à vérifier pour être en conformité

    Où en êtes-vous dans la protection des données personnelles ? Voici les principaux aspects à examiner pour garantir la conformité RGPD de votre site web.

    1. Demande de consentement

    Demander le consentement explicite des internautes pour toute utilisation de leurs données sur votre site web est obligatoire. Concrètement, dans vos formulaires de contact ou de collecte de données, vous devez détailler clairement l’usage prévu des données collectées, en proposant différents choix pour permettre, par exemple, de recevoir des promotions mais de ne pas s’abonner à la newsletter quotidienne.

    Vous devez proposer un système simple comme des cases à cocher avec une indication claire et positive de consentement, du type « j’autorise » ou « j’accepte ».


    À noter : il est désormais interdit de collecter et stocker des données sans but précis… d’où la nécessité de vous poser les bonnes questions quant aux objectifs de votre site web et de vos communications.


    2. Gestion des cookies

    Ces petits fichiers stockés sur le disque dur des visiteurs qui servent à mémoriser des informations entre les visites doivent obligatoirement être signalés. 

    Les cookies ont divers usages : ils peuvent servir au bon fonctionnement du site, aider la gestion des identifiants et mots de passe, mais aussi être utilisés pour récolter des statistiques ou publier des publicités ciblées. Une bonne gestion des cookies passe par l’utilisation d’un bandeau d’information, présent sur chaque page du site, qui ne disparaît qu’après l’action de l’utilisateur, souvent par un clic, indiquant son consentement. Dans ce bandeau, il est essentiel d’informer les visiteurs sur les types de données personnelles collectées par l’organisme, ainsi que les finalités de la collecte et la durée de conservation des données personnelles.

    Offrir aux utilisateurs la possibilité de personnaliser leurs préférences en matière de cookies est également obligatoire. Ces informations doivent être facilement accessibles, dans le pied de page ou les mentions légales du site.

    Certains systèmes de gestion de contenu (CMS) comme WordPress ou Joomla proposent des solutions pratiques, comme des plugins ou des extensions pour faciliter la mise en conformité RGPD avec les exigences en matière de cookies.


    À noter : jusqu’à ce que le visiteur donne son consentement, seuls les cookies essentiels au fonctionnement du site doivent être activés. Une fois acceptés, les cookies peuvent rester valides pendant une durée maximale de 13 mois, après quoi il faudra obtenir à nouveau le consentement de l’utilisateur.


    3. Mentions légales et politique de confidentialité

    Les mentions légales du site doivent être à jour et reprendre les informations concernant la gestion et l’utilisation des données personnelles. Les démarches pour accéder, modifier ou supprimer les données personnelles collectées doivent être clairement explicitées. Un contact (e-mail ou postal) doit également être proposé.

    4. Sécurisation des transferts de données

    Votre site internet doit être convenablement développé et protégé. Votre matériel informatique également, afin que les données collectées soient en sécurité lors des échanges comme lors de leurs traitements. Si vous collectez des données via votre site, il est désormais obligatoire d’installer un certificat SSL pour chiffrer les informations en transit. Les solutions clés en main de création de site intègrent désormais ces prérequis.

    5. Nomination d’un DPO

    Le Data Protection Officer (DPO), ou Délégué à la protection des données (DPD), est responsable de la protection des données au sein de votre entreprise. C’est le point de contact en cas de contrôle ou de violation de données. Vous devez choisir un professionnel expérimenté, aussi bien en informatique qu’en droit. Si vous ne disposez pas de ressources en interne, vous pouvez faire appel à un consultant externe.


    À noter : toute violation de données doit désormais être notifiée à la CNIL dans un délai maximum de 72 heures après sa découverte.


    Pour aller plus loin : consultez régulièrement vos contacts

    Pour aller au-delà des exigences de base en matière de conformité RGPD, pensez à revoir régulièrement vos méthodes de contact. Prenons l’exemple des newsletters. Demandez périodiquement à vos abonnés de renouveler leur consentement, de manière à respecter les préférences de vos contacts et à maintenir une communication transparente. Par exemple, vous pouvez envoyer un e-mail annuel à vos abonnés, leur rappelant pourquoi ils reçoivent votre newsletter, et leur offrir l’option de se désabonner ou de mettre à jour leurs préférences.

    Ce processus de « consentement régulier » garantit que vos listes de diffusion restent à jour et que seules les personnes véritablement intéressées reçoivent vos communications. Tout en renforçant la confiance des utilisateurs envers votre entreprise et en vous assurant que vos pratiques de marketing par courriel sont conformes aux directives RGPD.

    :
    S’inscrire
    à la newsletter