Les points clés et conseils
Aujourd’hui, ne pas avoir de site internet pour une entreprise n’est pas concevable et les enjeux business liés aux sites internet sont colossaux : acquisition de nouveaux clients, e-commerce, réputation… Les sites internet sont les vitrines des entreprises, un socle essentiel pour le développement commercial d’une marque. Alors, quelles sont les actions de base à mettre en place pour respecter le RGPD ? Comment rassurer ses prospects grâce à la protection des données ?
S’ils sont essentiels pour l’activité, les sites internet sont l’un des principaux points de collecte et de traitement des données des utilisateurs et doivent donc faire l’objet d’une attention toute particulière au regard du RGPD. Les entreprises sont parfois tentées de collecter un maximum d’informations sur les utilisateurs et consommateurs sur leur site internet pour des besoins stratégiques (par exemple, créer un compte client et connaître leurs préférences, leur transmettre de la communication commerciale, etc…) Les sites internet sont également les points de dépôts de cookies et traceurs qui permettent ensuite de faire de la publicité en ligne, de mieux cibler les comportements des utilisateurs, de relancer des visiteurs déjà venus sur le site internet, etc.
Ne pas mettre son site en conformité au RGPD peut être passible d’une amende de 20 millions d’euros ou de 4% du chiffre d’affaires annuel si l’autorité nationale de protection des données (en France, la « CNIL ») estime, par exemple, que les droits des personnes concernées ne sont pas respectés, ou encore qu’un transfert de données hors UE est réalisé sans respecter les formalités nécessaires. Au-delà de la sanction financière, une sanction ou ne serait-ce qu’une mise en demeure rendue publique pourrait entacher l’image de marque de l’entreprise et affecter sa compétitivité. Des entreprises ont d’ailleurs déjà été sanctionnées comme ce fût le cas de l’entreprise Spartoo suite à plusieurs manquements.
Par ailleurs, l’autorité de protection pouvant contrôler les sites internet à distance, sans avertir son éditeur, le rendre conforme au RGPD est donc primordial.
Quelques principes simples permettent de vérifier que votre site internet est en conformité au RGPD.
Vérifiez que vous collectez le consentement des utilisateurs correctement
Le dépôt de cookies et de traceurs est un des points les plus importants pour la conformité RGPD de votre site et est l’un des manquements les plus sanctionnés par la CNIL ces deux dernières années. Les CMP permettent à l’utilisateur de donner son accord pour la collecte et le traitement de ses données et de savoir à qui sont transmises ses données (outil de CRM, réseaux sociaux, outils analytiques…).
Afin de collecter le consentement de vos utilisateurs, vous pouvez utiliser une solution dite de « Consent Manager Platform » (ou « CMP) qui permet d’intégrer un widget sur votre site qui va informer les utilisateurs sur les cookies et traceurs déposés, et leur permettre de consentir à leur dépôt (lorsque nécessaire). Le widget de consentement doit détailler à quoi vont servir les cookies et traceurs déposés, et permettre au visiteur de sélectionner lesquels il accepte, et lesquels il refuse. Ce widget doit être accompagné d’une « cookie policy » qui détaille les cookies déposés, et leurs propriétaires.
Les entreprises ont, d’ailleurs, bien compris l’importance de mettre en conformité leur gestion des cookies car près de 67% des entreprises interrogées dans le cadre du Baromètre RGPD 2022 de Data Legal Drive ont intégrés une Consent Management Platform à leurs sites internet.
Vérifiez votre politique de confidentialité
La politique de confidentialité de votre site est souvent considérée comme la carte d’identité de la conformité RPGD de votre entreprise et de votre site Internet.
Cette politique répond au droit à l’information des utilisateurs sur leurs données et doit être claire, tacite, transparente et accessible.
Elle est l’expression des traitements que vous réalisez, de leurs modalités (catégories de données, destinataires, durées de conservations, etc.) ainsi que des droits qu’ont les utilisateurs sur leurs données. La politique de confidentialité n’est pas un document fixe et intemporel. Il faut la publier sur son site, faire preuve de transparence et alimenter ainsi la relation de confiance avec vos prospects et vos clients.
Téléchargez le modèle de politique de confidentialité personnalisable rédigé par Data Legal Drive.
Lors d’une collecte de données, qu’elle soit directe ou indirecte, l’utilisateur doit en être informé et vous devez garantir un niveau d’informations suffisant.
En plus de leur droit à l’information, les utilisateurs de votre site ont d’autres droits associés à leurs données : droit d’accès, droit de rectification, droit à l’oubli, droit de portabilité et droit d’opposition. Pour pouvoir exercer ces droits, vous devez donner la possibilité aux utilisateurs de vous contacter via une adresse email ou par courrier ou encore via un formulaire de contact dédié.
Bien qu’il soit tentant de collecter un maximum de données pour des besoins analytiques, il est important de ne collecter que les données strictement nécessaires, Cela répond au principe de minimisation de la collecte de données qui est l’une des pierres angulaires du RGPD.
Mettre son site en conformité au RGPD est essentiel et est l’un des manquements les plus sanctionnés en volume ces dernières années.
Les sites internet des entreprises sont également un des moyens pour les autorités nationales de contrôle de vérifier les premiers éléments de votre conformité RGPD. En effet, si votre site est la vitrine de votre entreprise aux yeux de vos consommateurs, il est également un moyen fréquemment utilisé pour les autorités de vérifier votre sensibilité au RGPD. Une des pratiques les plus courantes des agents des autorités de contrôle est de tester l’intégralité d’un parcours client afin de voir si vous êtes en conformité. Il est donc essentiel de respecter ces quelques principes clés.
Hébergez vos données en Europe
Privilégiez l’hébergement des données collectées sur votre site Internet et de vos serveurs en Europe vous permet de vous assurer d’un niveau de protection plus important pour les données personnelles et vous épargne des formalités juridiques supplémentaires En effet, votre prestataire d’hébergement européen est contraint règlementairement de respecter les standards de protection européen et notamment le RGPD. Il est recommandé de réaliser une évaluation de son prestataire d’hébergement préalablement à son recours afin de vous assurer que le niveau de conformité au RGPD qu’il fournit est suffisant et vous permet, par extension, de protéger les données de vos utilisateurs.
Vérifiez la sécurité de votre site internet
La conformité au RGPD doit être associée à un niveau de sécurité web irréprochable. La sécurité d’un site Internet passe, par exemple, par la réalisation d’une analyse de vulnérabilité et de tests d’intrusion afin d’identifier les points faibles de la sécurité informatique, du point de vue réseau ou dans les systèmes d’information.
Il est également nécessaire, lorsqu’il est possible de se connecter à un compte client, que les accès soient protégés, par un identifiant et mot de passe suffisamment robuste.
RGPD et cybersécurité sont intimement liés. En effet, les sites internet peuvent être victimes de cyberattaques et celles-ci sont des sources de violations de données. Ces violations de données peuvent devoir être notifiées à la CNIL en fonction de leur ampleur et du type de données concerné et les titulaires des données faisant l’objet de la violation de données doivent dans certains cas être également avertis. Ne pas assurer un niveau de sécurité suffisant met donc en péril votre conformité au RGPD mais également la confiance que les utilisateurs ont en votre entreprise, vos produits et vos services.
Se mettre en conformité au RGPD peut sembler coûteux et contraignant mais au même titre que votre site internet est votre vitrine commerciale, il est également un gage de confiance pour les utilisateurs qui sont de plus en plus sensibilisés et attentifs à l’utilisation faite de leurs données. Assurer un niveau de conformité au RGPD satisfaisant ne doit donc pas être vu comme une contrainte mais bel et bien comme un avantage concurrentiel et un levier de confiance.
Article rédigé par les équipes de Data Legal Drive
Data Legal Drive est le Leader des logiciels de Compliance.
N°1 français des logiciels de conformité RGPD, il permet à toutes les entreprises et collectivités de protéger facilement leurs données personnelles tout en respectant les règlementations européennes.
