Vérifiez la conformité RGPD de votre site web
Destiné à assurer une plus grande confiance entre les consommateurs et les entreprises, le RGPD vise une meilleure protection des données personnelles. Son non-respect vous expose à une amende pouvant aller jusqu’à 4% de votre chiffre d’affaires annuel ou 20 millions d’euros.
Voici 5 points de vigilance à mettre en œuvre sur votre site internet.
1. Demande de consentement
Point clé de la mise en conformité RGPD, il est désormais indispensable de demander le consentement explicite des internautes pour toute utilisation de leurs données sur votre site web. Cela implique concrètement une révision de vos formulaires de contacts ou de collecte de données. Il s’agit de :
- détailler clairement l’usage prévu des données, idéalement en proposant différents choix pour permettre, par exemple, de recevoir des promotions mais pas de s’abonner à la newsletter quotidienne ;
- opter pour des cases à cocher avec une indication claire et positive de consentement, du type «j’autorise » ou « j’accepte »… finies les cases pré-cochées ou « je refuse » !
À noter : il est désormais interdit de collecter et stocker des données sans but précis… de quoi vous reposer les bonnes questions sur les objectifs de votre site et de vos communications.
Évaluez gratuitement votre maturité numérique et obtenez un bilan personnalisé de votre présence en ligne, visibilité, réputation et développement commercial
2. Gestion des cookies
Vous devez prévenir de manière visible de l’utilisation de cookies. Ces fichiers informatiques, placés sur le disque dur de vos visiteurs, vous permettent de conserver des informations au fil des connexions de l’utilisateur. Ils servent différents objectifs : du bon fonctionnement du site (identifiant / mot de passe) au suivi statistique, en passant par l’activation publicitaire.
Il est d’usage de positionner un bandeau de notification et d’informations sur toutes les pages de votre site qui ne disparaîtra qu’au clic du visiteur. Vous trouverez facilement des plugins ou extensions tout prêts, surtout si vous utilisez un CMS (WordPress, Joomla…).
Vous devez y préciser les données personnelles traitées, l’usage que vous en faites (pour quels objectifs) et la durée de traitement ; tout en offrant la possibilité aux utilisateurs de paramétrer leurs choix. Cette information doit rester facilement accessible, via le pied de page ou les mentions légales par exemple.
Tant que l’internaute n’a pas cliqué sur la notification, elle doit rester visible et seuls les cookies strictement nécessaires au bon fonctionnement du site sont autorisés dans l’intervalle.
À noter : l’acceptation des cookies vaut pour une durée maximum de 13 mois.
3. Mentions légales et politique de confidentialité
Les mentions légales doivent être à jour et reprendre les informations concernant la gestion et l’utilisation des données personnelles. Les démarches pour accéder, modifier ou supprimer les données personnelles collectées (droit à l’oubli) doivent être clairement explicitées. Un contact (email ou postal) doit également être proposé.
4. Sécurisation des transferts de données
Votre site internet doit être convenablement développé et protégé. Votre matériel informatique également, afin que les données collectées soient en sécurité lors des échanges comme lors de leurs traitements. Si vous collectez des données via votre site, il est désormais obligatoire d’installer un certificat SSL pour chiffrer les informations en transit. Les solutions clés en main de création de site intègrent désormais ces prérequis.
5. Nomination d’un DPO
Le Data Protection Officer, ou Délégué à la protection des données, est responsable de la protection des données au sein de votre entreprise. Il est également le point de contact en cas de contrôle ou de violation de données. Il doit s’agir d’un professionnel expérimenté, aussi bien en informatique qu’en droit. Vous pouvez faire appel à un consultant externe.
A noter : toute violation de données doit désormais être notifiée à la CNIL dans un délai maximum de 72 heures après sa découverte.