RGPD : Implémentation technique

Avant d’entamer des modifications sur votre site, vous devez vous assurer que vous disposez de toutes les informations nécessaires et que votre documentation du RGPD est prête.

Cet article se lit comme une todo list. Les mises à jour techniques relatives au RGPD peuvent avoir un coût non négligeable pour les petites structures. L’important est de prioriser des actions pour protéger les données personnelles et informer les utilisateurs de leurs droits.

Toutes vos pages « Mentions légales« , « CGV » ou « CGU« , « Politique de confidentialité & cookies » et Protection des données personnelles doivent être visibles et facilement trouvables sur tout votre site web.

Un lien vers la page web “Protection des données” doit apparaître à chaque fois que vous prélevez de la donnée à vos utilisateurs (formulaire de contact, commentaires, inscription à un espace personnel…). Il doit être également présent sur la newsletter.

Votre site web traite de la donnée personnelle, alors vos utilisateurs sont en droit de vous réclamer :

• un droit d’accès à leurs données prélevées ;
• un droit de rectification et d’opposition ;
• le droit à l’oubli.

Le responsable des traitements doit être capable de répondre à ces demandes dans un délai rapide.

Dès lors qu’il y a une obligation légale, nous ne sommes pas tenus de demander le consentement, notamment pour la facturation et la comptabilité.

Par ailleurs, si l’utilisateur entre lui-même ses données et que vous avez fait le nécessaire pour bien l’informer du traitement, le consentement devient implicite.

Néanmoins, vous pouvez inclure une case à cocher à votre tunnel de vente pour renforcer votre action. Mais sachez que cette case n’aura aucune valeur juridique si elle n’est pas accompagnée d’un lien d’information vers votre rubrique de protection des données, bien rédigée et complète.

Pour la CNIL, le plus important est d’afficher les mentions légales au bon moment.

Éliminez les champs inutiles et vérifiez qu’il n’y a pas de détournement de traitement.

Les bonnes pratiques techniques :

• Utilisation du protocole HTTPS ;
• Vérifications des failles de sécurité (notamment dans les URL, avec la présence d’identifiants ou de données personnelles plus importantes) ;
• Gestion des droits d’accès restreinte (traçabilité des utilisateurs qui ont accès au back-office) ;
• Sécurisez vos transactions bancaires.

Bonnes pratiques d’usages :

• Imposer des mots de passe complexes > 12 caractères + minuscule + majuscule + caractères spéciaux ;
• Interdiction de transférer des données personnelles par email ;
• Ne pas conserver les coordonnées bancaires de vos clients.

Pour aller plus loin, consultez cet article de la CNIL sur la sécurité des sites web.

Prévoyez la suppression des informations en cas d’inactivité prolongée de vos clients (3 ans à compter de la fin de la relation commerciale).

Vous devez toutefois conserver certaines données en raison d’obligations légales (notamment comptabilité, contentieux, etc.). Archivez-les dans une autre base de données dont l’accès est plus restreint.

Lorsque vos utilisateurs arrivent une première fois sur votre site, vous devez les informer que votre site web utilise des cookies.

Cette action comprend : l’obtention du consentement ou le blocage des cookies. Affichez également un lien vers la page d’informations.

Pour garder certaines données personnelles intéressantes pour votre site web, la CNIL permet l’anonymisation. Cette pratique peut être utilisée pour préserver des commentaires et des messages dans les forums.

La mise aux normes RGPD peut être un coût exorbitant pour certaines structures et c’est le cas pour les petits hébergeurs. À ce jour, seul Google et Amazon ont été capables d’absorber cette mise en conformité.

Vous pouvez cependant vous assurer que votre hébergeur a bien commencé son processus de normalisation RGPD.

Aujourd’hui, il est impossible de respecter entièrement le RGPD en utilisant Google Analytics. En effet, Google Analytics utilise deux types de traceurs : les cookies et un petit script collé dans votre site web. Ce petit bout de code connecte votre site aux serveurs de Google pour lui envoyer des informations.

La seule façon de désamorcer ce traitement, c’est de désinstaller Google Analytics.

Pour bénéficier des mêmes services avec une solution propre, open-source et auto-hébergée vous pouvez utiliser Matomo.

Le RGPD a une double fonction. Il protège et sensibilise les acteurs du web sur les traitements des données personnelles et leurs impacts. La donnée est une nouvelle matière première. Elle est précieuse et doit être protégée face aux nouveaux enjeux stratégiques de demain.

La mise en conformité RGPD est une tâche importante et est souvent extrêmement lourde pour la plupart des organisations. Avant d’entamer des développements sur votre site web, vous devez cartographier les différents prélèvements, identifier les traitements pour mesurer les risques et l’ampleur de la tâche. La qualité de cette documentation facilitera la planification et l’exécution de la mise en conformité.

L’important pour votre projet web et plus largement dans votre entreprise, c’est de prouver que vous avez pris conscience de l’importance de vous mettre en conformité.