La mise en conformité de votre site internet avec le RGPD

Partager

Les données personnelles, quesaco ?

Selon la CNIL, une donnée personnelle représente toute information permettant d’identifier directement ou indirectement une personne physique (un nom, un numéro d’immatriculation, un numéro de téléphone, une photographie, …).

Toutes les entreprises stockent des données personnelles, que ce soit par leur outil d’e-mailing, leur CRM, leur logiciel de ventes, … Souvent, les données des utilisateurs peuvent être récupérées à leur insu, par la vente de fichiers entre entreprises ou par le biais de sociétés spécialisées dans ce domaine.

Pour l’internaute ou le client, son problème est qu’il court le risque de voir ses données et informations personnelles stockées au sein d’entreprises ou d’organismes pour lesquelles ce stockage n’est pas nécessaire, ou bien avec lesquelles il n’a plus ou jamais eu de relation commerciale.

Le RGPD vient en aide aux citoyens pour garder le contrôle sur leurs données personnelles

Entré en vigueur le 25 mai 2018, le RGPD, Règlement Général pour la Protection des Données personnelles (ou GDPR, General Data Protection Regulation en anglais) vise à rendre le stockage de données plus transparent et à améliorer le contrôle des informations d’un client sur ses données. En outre, chaque personne dont les données sont stockées dans une base de données peut à présent demander d’accéder à ses informations ainsi que d’en demander la suppression définitive.

Que faut-il faire pour se conformer à la réglementation RGDP ?

Déclaration d'un délégué à la protection des données auprès de la CNIL

Auparavant, chaque entreprise travaillant sur des données personnelles devait déclarer ce traitement et le fichier correspondant à la CNIL. Depuis le RGPD, cette procédure est supprimée.

En contrepartie, chaque entreprise ou organisation devra désigner un délégué à la protection des données (DPO). Cette procédure déclarative ce réalise directement en ligne sur le site internet de la CNIL.
En outre, pour compléter cette déclaration, il sera nécessaire d’indiquer l’URL de la page de son site internet contenant la politique de confidentialité des données de l’entreprise.

Informer les utilisateurs

Les actions de mise en conformité peuvent être catégorisées en deux parties : informer du traitement des données et la mise à disposition de ces données personnelles.

L’objectif du RGPD est que tous les utilisateurs puissent accéder de manière claire et limpide aux données personnelles qu’une entreprise possède à son sujet. Elle oblige également les entreprises à stocker des données personnelles dans un but bien précis. De ce fait, chaque entreprise doit tenir informer chaque objectif des éléments suivants :

  • Quelles sont les données qui sont stockées (cookies, e-mail, téléphone…)
  • Quelles sont les finalités du stockage
  • La période de stockage (notamment celle des cookies, limitée à 13 mois maximum)
  • Un droit à l’oubli
  • La possibilité de s’opposer au stockage de ses données
  • Pour toute première visite sur un site internet, l’utilisateur doit recevoir un message lui informant l’utilisation de cookies et leur finalité.

Toutes ces informations sont à spécifier dans votre Politique de confidentialité.

Acquisition de l’information et durée de conservation

Il peut vous être demandé de prouver que les données personnelles acquises l’ont été légalement. Vous devez également être capable, techniquement et administrativement, de supprimer définitivement des données après un laps de temps défini ou sur demande de la personne concernée par ces données.

Pour cela, il est donc nécessaire de :

  • Prouver que tel utilisateur a donné son consentement au stockage des données personnelles
  • Conserver les données de navigation au maximum 13 mois après le passage de l’internaute sur le site
  • Conserver les données personnelles durant 5 ans maximum après la dernière commande, ou 3 ans pour un abonné inactif à une newsletter
  • Supprimer les données personnelles si un objectif a été atteint et qu’il signifie la fin de la relation commerciale
  • Supprimer les données des utilisateurs qui ont demandées à ne plus être contactés

Comment mettre votre site internet WordPress en conformité avec la réglementation RGPD ?

Depuis la mise à jour 4.9.6, WordPress est compatible avec la règlementation RGPD. Le CMS propose notamment un modèle de texte compatible RGPD pour la mise en place de votre page de Politique de confidentialité.

Via le menu Outils / Exporter les données, WordPress offre également la possibilité d’envoyer par mail à un internaute qui le demanderait toutes les données stockées sur votre site et qui sont liées à son adresse mail :

Néanmoins, cette mise à jour ne fait pas tout. En effet, chaque site internet ayant une finalité différente, chaque site a besoin également d’une stratégie RGPD qui lui est propre.

Après une période de flottement depuis le 25 mai 2018, des plugins WordPress ont fait leur apparition, vous permettant une mise en conformité théoriquement en quelques clics mais il reste nécessaire d’être vigilant à certains modules ou applications qui ne sont pas pris en compte dans ces modules génériques et qui ne pourront vous garantir une totale mise en conformité.

La création d’une page Politique de Confidentialité ou la mise à jour des Mentions Légales

Si tout va bien, et cela devrait vraiment être le cas, vous disposez d’ores et déjà d’une page Mentions Légales, accessible depuis toutes les pages de votre site internet, contenant des informations légales liées à l’éditeur du site internet ou encore à la propriété intellectuelle.

Pour la RGPD, il est nécessaire de mettre à jour vos Mentions Légales, ou bien de créer une nouvelle page consacrée à la Politique de Confidentialité. Cette page inclura des mentions liées à :

  • L’identification du responsable des données
  • L’utilisation faite de ces données personnelles
  • La gestion des commentaires et des médias
  • Les formulaires de contact
  • Les cookies
  • Ou encore la transmission de vos données personnelles et bien d’autres choses

La modification des formulaires de contact

Les formulaires eux aussi devront être modifiés pour être conformes à la nouvelle réglementation européenne. Il s’agira de clarifier l’acte de consentement, avec une formulation positive obligatoire.

Par exemple, cela se caractérise par l’ajout d’une case obligatoire à cocher, indiquant que l’internaute est en accord avec la transmission des données personnelles envoyées via ce formulaire pour permettre le traitement de sa demande.

La sécurité de votre site internet pour la protection des données

La notion de protection des données avec la RGPD inclut également le fait de mettre en œuvre les moyens nécessaires permettant de protéger les données personnelles hébergées sur votre serveur web. Pour WordPress, on conseillera un module protégeant contre les attaques XSS, le piratage par force brute ou encore une protection contre les injections SQL.

Configurer Google Analytics pour la RGPD

Le règlement européen apportant de nouvelles restrictions concernant le stockage de données, Google Analytics se retrouve donc fortement impacté, celui-ci récupérant de nombreuses informations liées à la navigation sur un site internet, comme les données démographiques, la localisation, le comportement de navigation, …

Pour les comptes existants avant mai 2018, Google Analytics vous propose de vous conformer automatiquement à cette nouvelle réglementation. Pour cela, chaque propriétaire de compte devra accepter un avenant relatif au traitement des données dans la partie Administration / Paramètres du compte / Consulter l’avenant.

Une stratégie RGPD devra se faire au cas par cas en fonction de la nature de votre site internet

Les modules WordPress étant pléthore, il reviendra à chaque responsable de site internet d’identifier quels plugins sont amenés à récolter les données personnelles des internautes pour ensuite en adapter le comportement.
De la même manière, tout site internet bâti avec un autre CMS ou par un développement personnalisé devra prendre en compte les nouveaux principes apportés par la RGPD : le consentement et le contrôle des données des internautes.

Nous avons pu aborder par cet article les grands principes de la protection des données grâce au règlement européen du RGPD. Néanmoins, il est important de garder à l’esprit que chaque site internet devra adopter son propre plan de mise en oeuvre de protection des données.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *