Tag Archives: rgpd et site web

  • 0
rgpd et site web

RGPD et site web (vitrine) : petits rappels pour être en conformité avec la loi

Tags : 

Le RGPD (règlement général pour la protection des données) est entré en vigueur le 25 mais 2018 et nécessite de changer quelques-unes de nos habitudes en matière de marketing, surtout en BtoC où le consentement et la traçabilité des données personnelles a été encore renforcé. RGPD et site web doivent faire bon ménage aussi, suite à plusieurs demandes de mes clients, voici un petit tour d’horizon des points à avoir en tête pour se mettre en conformité.

Tout d’abord qu’est-ce que le RGPD (Règlement Général pour la protection des Données)?

Le RGPD est une loi européenne qui vise à renforcer la protection des données personnelles. Il s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu’elle est établie dans l’UE ou qu’elle cible des citoyens européens. La loi concerne également les sous-traitants. Cela signifie que la loi s’applique aussi aux géants américains ou chinois du web, d’où l’avalanche de messages concernant les nouvelles politiques de confidentialité de ces acteurs que vous avez dû recevoir le 25 mai. La loi s’applique également aux données internes de l’entreprise (les données personnelles des collaborateurs par exemple ou des candidats à l’embauche).

Vous allez me dire : qu’est-ce qu’une donnée personnelle ?

Selon la CNIL, « est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu »: son nom, son prénom son adresse mail, son numéro de téléphone, toutes le données démographiques (âge, sexe, profession) ou géographiques (localisation, lieu de naissance ou de travail), mais aussi des données purement techniques comme son adresse IP, son comportement sur le web et même les données qu’il choisit lui-même de partager (les photos sur instagram, les like sur Facebook, etc.). L’identification d’une personne physique peut être réalisée :

  • À partir d’une seule donnée (exemple : numéro de sécurité sociale, téléphone)
  • À partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)

Ce que dit la loi (en général)

Une fois que l’on a compris cela, on peut commencer à comprendre les grands axes de la loi :

  • Le consentement de chaque individu est impératif et doit être explicite lorsque des données personnelles sont collectées (création d’un compte sur un réseau social, enregistrement de l’adresse email pour recevoir une newsletter, remplissage d’un formulaire de contact, etc.)
  • La collecte et donc le traitement des données personnelles doit avoir un objectif (en gros on arrête de collecter des données « au cas où »). A chaque traitement de données doit être assigné un but, qui doit bien évidemment être légal et légitime au regard de l’activité professionnelle (exemple le traitement d’un fichier client qui pour objectif la gestion de la clientèle).
  • Le consentement doit être tracé car l’entreprise doit à tout moment être capable de prouver qu’elle a bien obtenu le consentement de l’individu dont elle détient les données personnelles.
  • Les données personnelles doivent également être tracées et accessibles aux individus concernés. Les entreprises qui stockent des données doivent être en mesure, si l’individu le demande, de retrouver toutes ses données personnelles stockées, de les modifier ou les supprimer. L’internaute a le droit de rectifier, modifier, supprimer ou recueillir ses donnéesà caractère personnel, et ce à tout moment.
  • Le stockage des données est limité dans le temps.
  • La déclaration des fichiers à la CNIL n’est plus nécessaire mais la tenue d’un registre de traitement des données (qui doit être tout le temps à jour) est obligatoire (modèle de registre proposé par la CNIL).
  • Toute atteinte aux données doit être déclarée à la CNIL dans les 72 heures qui suivent l’événement.
  • Dans certains cas, un DPO (Data protection Officer) ou délégué à la protection des données devra être nommé (ce n’est pas systématique car cela dépend de l’activité de l’entreprise et de son contexte de traitement des données).
  • Et bien sûr les sanctions sont assez dissuasives et surtout les amendes puisqu’une entreprise qui ne respecte pas la loi risque une amende qui peut aller jusqu’à 4% de son chiffre d’affaires… (bref vous l’avez compris, ça ne rigole pas !!!).

Tout cela est plutôt une bonne démarche (qui devenait indispensable au vu de la croissance exponentielle des données) car cela oblige à réfléchir sur la collecte des données (pourquoi, quoi et comment ?) avant de stocker des données et de les manipuler. Peut-être, peut-on (enfin) espérer que cela permettra de faire le ménage dans les énoooormes fichiers stockés ces dernières années par les équipes marketing qui sont non seulement obsolètes mais bien pourris ! (… mais ceci est un avis très personnel !).

A noter : différence entre BtoB et BtoC

Pour le marketing BtoB, il y a finalement peu de changements par rapport aux lois précédentes car ce marketing ne s’adresse pas à une personne en tant que particulier (ou individu) mais à une personne qui représente une fonction dans l’entreprise. La règle de l’opt-out reste de mise (à savoir, le destinataire d’une action de marketing direct peut demander à sortir d’une liste de diffusion ou d’un fichier mais son consentement pour y rentrer n’est pas nécessaire). Pour les particuliers, c’est la règle de l’opt-in qui prévaut (le particulier doit donner son consentement pour que ses données soient collectées) et qui a été renforcée.

rgpd et site web 2RGPD et site web : comment être en conformité avec la loi ?

Si on applique les grands principes du RGPD à un site web vitrine, voici les évolutions à mettre en place sur votre site web :

1.     Je mets à jour les conditions d’utilisation et la politique de confidentialité (ou j’en crée une si j’avais zappé)

La page de politique de confidentialité, généralement située dans le pied de page, doit expliquer très précisément l’utilisation qui va être faite des données. Il faut donc y faire apparaitre :

  • Vos coordonnées, ainsi que l’éditeur du site, son hébergeur et la personne morale ou physique qui se charge de sa maintenance
  • Le type de données collectées sur le site web : noms, prénom, email, téléphone, adresse postale, adresse IP…
  • L’objectif de collecte des données personnelles: newsletters, facturation, cookies, suivi du comportement de l’utilisateur sur le site, etc.
  • La durée de stockage des données (au maximum 3 ans pour les données marketing et 6 ans pour les données qui touchent à la facturation)
  • Les mesures de sécurité mises en place pour assurer la protection des données
  • La procédure à utiliser pour les internautes pour exercer leur droit de modification ou de suppression

2.     Je revois tous les formulaires de mon site web (et au passage je les améliore)

Les informations citées dans le paragraphe précédent doivent apparaître dans une page dédiée (de type mentions légale sou politique de confidentialité en bas de page) mais aussi à chaque fois que vous allez solliciter les internautes pour collecter leurs données personnelles (en gros sur tous les formulaires de contact ou de téléchargement).

C’est là que la case à cocher est votre meilleur ami !  Car pour intégrer les mentions légales dans les formulaires, il suffit d’ajouter une case à cocher supplémentaire dans les formulaires. Cette case, assez courante, permet que l’internaute confirme qu’il a bien pris connaissances des conditions et de mettre un lien URL vers la page dédiée à ce sujet. Exemple : « J’ai lu et accepte la politique de confidentialité de ce site ».

Vous devrez également :

  • Ajouter une case à cocher indiquant que l’utilisateur consent à partager ses données (« J’autorise l’entreprise X à enregistrer mes données »)
  • Préciser la raison de la récolte des données(« saisissez votre adresse email pour recevoir notre newsletter »)
  • Mettre à la disposition des utilisateurs une procédure pour se désinscrire ou accéder à leurs données aisément et à tout moment (voir point 4)

3.     Je fais un point sur mes extensions (WordPress ou autre) ou je demande à mon prestataire de le faire !

Listez (ou demandez à votre prestataire de le faire) toutes vos extensions qui pourraient avoir un rapport avec :

  • La récolte du consentement et des données de vos utilisateurs: formulaires, commentaires, retargeting, etc.
  • L’utilisation des données utilisateurs: personnalisation de contenus, suivi du comportement des visiteurs, newsletters, marketing automation, …

Ensuite, effectuez une recherche pour valider que ces extensions ont été mises à jour et sont conformes au RGPD.

Petit conseil au passage : si une extension n’est pas conforme, cherchez rapidement une solution alternative… Cela ne sera pas un long fleuve tranquille mais c’est indispensable…

4.     Je mets en place un processus de sécurité et de modification des données « aux petits oignons »

La sécurité et la traçabilité des données est un point essentiel de la loi. Vous êtes responsable des données que vous collectez et que vous traitez. Il faut donc donner les moyens aux internautes d’accéder à leurs données et garantir la sécurité de ces mêmes bases.

Donc, pour faire court, vous devez créer un processus d’effacement ou de modification des données en interne (la durée de stockage des données est limitée) et informer l’internaute qu’il peut retirer à tout moment son consentement, accéder à ses données, les modifier, demander à les effacer ou les transférer à un tiers. Le tout avec une procédure simple que vous allez devoir mettre en place (le site de la CNIL vous renseignera très bien sur ce point). Il est recommandé de créer une page spécifique dédiée à cette procédure sur le site web avec un formulaire de demande. Comme la page concernant la politique de confidentialité, ajoutez là en bas de page et dans tous les formulaires mais aussi dans les newsletters les bandeaux de signalement des cookies, les bannières publicitaires tec…

Astuce : créer une boite mail spécifique dédiée à la protection des données pour mieux suivre les demandes (exemple : rgpd@nomdusite.com ou protectiondonnées@nomdusite.fr )

Bien sûr, à chaque demande d’un internaute, vous devez effectuer le traitement demandé dans vos bases de données :

  • Demande de retrait de consentement : supprimez ou modifiez les données personnelles sur tous les lieux de stockage (n’oubliez pas les fichiers de sauvegarde de votre site web).
  • Demande de portabilité des données : exportez toutes les données possédées dans un format lisible et qui peut être transmis à une autre entité sans devoir faire une ressaisie (pas de format défini à priori mais le CSV devrait faire l’affaire).

En parallèle pour garantir la sécurité des données (là on sort un peu du sujet purement du site web) nous devez mettre en place des procédures internes pour garantir le niveau de sécurité des données et informer la CNIL dès qu’il y a une défaillance.

5.     Je n’oublie pas les cookies

Les internautes doivent être informés et donner leur consentement préalablement à l’insertion ou la lecture de cookies ou autres traceurs.

Le terme de cookies  couvre l’ensemble des traceurs déposés et/ou lus (consultation d’un site internet, lecture d’un courrier électronique, installation d’un logiciel ou application mobile, etc.). Les cookies permettent de tracer les internautes (et donc de collecter des données personnelles sur leur comportement de consommation par exemple) afin de leur proposer des publicités ou des offres personnalisées. Avant de déposer ou lire un cookie, vous devez également informer les internautes, obtenir le consentement et leur donner les moyens de refuser (validité du consentement 13 mois maximum) via un bandeau. Certains cookies sont dispensés du recueil de ce consentement lorsque ce sont des cookies liés à la fourniture d’un service demandé par l’utilisateur (panier d’achat, identifiants de session, authentification, personnalisation de la langue, analytics, etc.).

Comment gérer mes opérations marketing classiques avec le RGPD ?

Le site web sert souvent pour collecter des données qui seront ensuite exploitées dans des actions marketing ciblées : prospection de nouveaux clients, mails de fidélisation à vos clients existants, retargeting pour récupérer des visiteurs qui n’ont pas été convertis en clients ou contacts, etc. Voici une liste rapide d’actions marketing qui requièrent votre attention et aussi le consentement des destinataires !

  • L’envoi d’emails (mais aussi newsletters marketing, emails de prospection bref toutes les mailing lists)
  • Le profilage (toute action qui effectue un suivi du comportement des internautes comme un historique d’achat ou le temps passé en lecture de page)
  • Le retargeting(qui consiste à cibler un individu qui a visité un site Internet pour lui proposer des publicités lors de sa navigation internet, des offres spéciales, etc.)

La plupart des professionnels du site web et les éditeurs de solutions CMS et autres extensions ainsi que les hébergeurs ont déjà fait une grosse partie du travail en matière de mise en conformité. Il ne vous reste qu’à mettre à jour votre site web avec ces quelques éléments.

En revanche, s’il s’agit de la démarche RGPD dans sa globalité, je ne saurai que vous recommander de contacter des cabinets conseils spécialisés.

 

Pour vous documenter n’hésitez pas à aller sur le site de la CNIL qui est très bien fait et très clair et qui propose des guides sur les différents sujets :

https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

https://www.cnil.fr/fr/cookies-comment-mettre-mon-site-web-en-conformite

https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

Lire également ce livre blanc édité par ITS Group sur le sujet de la valeur ajoutée du RGPD pour l’entreprise :

https://www.leslivresblancs.fr/livre/informatique-et-logiciels/rgpd-gdpr/5-bonnes-raisons-de-ne-pas-considerer-le-rgpd-comme-une

 


AJEM Consultants est certifié Qualiopi au titre des actions de formations. Vous êtes à la recherche d'une formation sur mesure, adaptée à vos besoins ?