Aller au contenu

RGPD : Implémentation technique

Règlement Général sur la Protection des Données Personnelles

Avant d’entamer des modifications sur votre site, vous devez vous assurer que vous disposez de toutes les informations nécessaires et que votre documentation indispensable à la mise en conformité au RGPD est prête.

Cet article se lit comme une todo list. Les mises à jour techniques relatives au RGPD peuvent avoir un coût non négligeable pour les petites structures. L’important est de prioriser des actions pour protéger les données personnelles et informer les utilisateurs de leurs droits.

Informer l’utilisateur

Toutes vos pages « Mentions légales« , « CGV » ou « CGU« , « Politique de confidentialité & cookies » et Protection des données personnelles doivent être visibles et facilement trouvables sur tout votre site web.

Un lien vers la page web “Protection des données” doit apparaître à chaque fois que vous prélevez de la donnée à vos utilisateurs (formulaire de contact, commentaires, inscription à un espace personnel…). Il doit être également présent sur la newsletter.

Mise en place du respect et des droits des utilisateurs

Votre site web traite de la donnée personnelle, alors vos utilisateurs sont en droit de vous réclamer :

  • un droit d’accès à leurs données prélevées ;
  • un droit de rectification et d’opposition ;
  • le droit à l’oubli.

Le responsable des traitements doit être capable de répondre à ces demandes dans un délai rapide.

Le consentement

Dès lors qu’il y a une obligation légale, nous ne sommes pas tenus de demander le consentement, notamment pour la facturation et la comptabilité.

Par ailleurs, si l’utilisateur entre lui-même ses données et que vous avez fait le nécessaire pour bien l’informer du traitement, le consentement devient implicite.

Néanmoins, vous pouvez inclure une case à cocher à votre tunnel de vente pour renforcer votre action. Mais sachez que cette case n’aura aucune valeur juridique si elle n’est pas accompagnée d’un lien d’information vers votre rubrique de protection des données, bien rédigée et complète.

Pour la CNIL, le plus important est d’afficher les mentions légales au bon moment.

Optimisation des formulaires

Éliminez les champs inutiles et vérifiez qu’il n’y a pas de détournement de traitement.

Normes de sécurité

⚠️ Les bonnes pratiques techniques :

  • Utilisation du protocole HTTPS ;
  • Vérifications des failles de sécurité (notamment dans les URL, avec la présence d’identifiants ou de données personnelles plus importantes) ;
  • Gestion des droits d’accès restreinte (traçabilité des utilisateurs qui ont accès au back-office) ;
  • Sécurisez vos transactions bancaires.

⚠️ Bonnes pratiques d’usages :

  • Imposer des mots de passe complexes > 12 caractères + minuscule + majuscule + caractères spéciaux ;
  • Interdiction de transférer des données personnelles par email ;
  • Ne pas conserver les coordonnées bancaires de vos clients.

Pour aller plus loin, consultez cet article de la CNIL sur la sécurité des sites web.

 Soutenez Wexample !

Nous avons besoin de votre soutien pour continuer à alimenter cette veille, nos serveurs web et nos futurs stagiaires !

Gestion des données

Prévoyez la suppression des informations en cas d’inactivité prolongée de vos clients (3 ans à compter de la fin de la relation commerciale).

Vous devez toutefois conserver certaines données en raison d’obligations légales (notamment comptabilité, contentieux, etc.). Archivez-les dans une autre base de données dont l’accès est plus restreint.

Gestion des cookies

Lorsque vos utilisateurs arrivent une première fois sur votre site, vous devez les informer que votre site web utilise des cookies.

Cette action comprend : l’obtention du consentement ou le blocage des cookies. Affichez également un lien vers la page d’informations.

Anonymisation de la donnée

Pour garder certaines données personnelles intéressantes pour votre site web, la CNIL permet l’anonymisation. Cette pratique peut être utilisée pour préserver des commentaires et des messages dans les forums.

Hébergement

La mise aux normes RGPD peut être un coût exorbitant pour certaines structures et c’est le cas pour les petits hébergeurs. À ce jour, seul Google et Amazon ont été capables d’absorber cette mise en conformité.

Vous pouvez cependant vous assurer que votre hébergeur a bien commencé son processus de normalisation RGPD.

Google Analytics 3 et 4 sont devenus illégaux en Europe

Cette mesure commence avec le travail d’une association autrichienne qui œuvre pour la protection des données : NOYB qui réussira à prouver que le transfert des données personnelles vers les USA n’était pas conforme au RGPD.

Privacy Shield, est une loi américaine qui permet aux autorités étatiques compétentes de chercher librement des informations dans les BDD hébergées sur son sol, pour identifier un citoyen européen, et retracer son activité numérique.

Depuis le 16 juillet 2020, la Cour de Justice de l’Union Européenne a annulé la reconnaissance du Privacy Shield.

Le transfert des données personnelles vers les État-Unis d’Amérique est devenu illégal.

Le 10 février 2022, la CNIL met en demeure un gestionnaire de site web pour son utilisation de Google Analytics.

Google Analytics 4 n’est toujours pas conforme au RGPD.

Pour la CNIL, il n’y a que deux solutions pour être en conformité avec le RGPD : 

👉 Proxifier Google Analytics

👉 Choisir une solution alternative.

Pour bénéficier des mêmes services avec une solution propre, open-source et auto-hébergée vous pouvez utiliser Matomo.

Demandez un conseil !

Rencontrez notre administrateur réseau pour répondre à toutes vos questions sur votre serveur web.

Conclusion sur la mise en place du RGPD

Le RGPD a une double fonction. Il protège et sensibilise les acteurs du web sur les traitements des données personnelles et leurs impacts. La donnée est une nouvelle matière première. Elle est précieuse et doit être protégée face aux nouveaux enjeux stratégiques de demain.

La mise en conformité RGPD est une tâche importante et est souvent extrêmement lourde pour la plupart des organisations. Avant d’entamer des développements sur votre site web, vous devez cartographier les différents prélèvements, identifier les traitements pour mesurer les risques et l’ampleur de la tâche. La qualité de cette documentation facilitera la planification et l’exécution de la mise en conformité.

L’important pour votre projet web et plus largement dans votre entreprise, c’est de prouver que vous avez pris conscience de l’importance de vous mettre en conformité.

J’espère que ce dossier vous aura permis d’avoir plus de visibilité tant sur l’importance de protéger les données personnelles que sur la mise en place d’une stratégie de mise en conformité. Si vous avez besoin d’un complément d’information, contactez-moi : carole.lavocat@wexample.com.

Carole LAVOCAT

Ce sujet vous a plu, mais vous avez encore des questions sans réponses. N’hésitez pas à commenter cet article, je serai ravie de vous répondre.

Vous pouvez également adhérer à notre association et rejoindre notre ChatGPT vivant 😁

Newsletter !

Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations.

Étiquettes:

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *