Comme vous le savez, en tant que propriétaire d’application digitale dans l’espace Européen, vous devez vous conformer aux nouvelles réglementations en vigueur. J’ai nommé la RGPD.
Le but de cette réglementation est d’assurer à tout individu le contrôle et la protection de données à caractère personnel.
Avec le bruit de la RGPD dans les médias, vos utilisateurs sont maintenant au courant de leur droits, et ne pas se conformer vous expose d’une part à leur désapprobation, mais également à des amendes prévues par la CNIL.
Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu :
· On peut identifier directement un internaute grâce à son nom, son prénom, mais également son adresse email ou son numéro de téléphone, et tout type de donnée démographique (fonction professionnelle, sexe, âge…) ou géographique (localisation, lieu de travail…).
· Comptent aussi dans ces données à caractère personnel les informations purement numériques d’un internaute (adresse IP), ou ses data comportementales (actions menées sur un site web, comme les visites ou les clics). Même les données partagées de sa propre initiative, comme la mise en ligne d’une photo ou un like, comptent également dans cette définition.
Pour être très concret, le RGPD comporte trois volets importants, qu’il s’agit de prendre en compte :
· L’amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel. Que ce soit via des formulaires, ou bien vis-à-vis des cookies, le visiteur doit être informé qu’il partage ses données, et savoir explicitement à quelles fins.
· La traçabilité et la haute sécurité des données des utilisateurs. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
· Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.
Autant d’éléments qui vont influencer la manière de créer et de gérer un site web.
Le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle.
Si vous collectez, utilisez ou stockez ce type de données, vous êtes pile dans la cible de cette législation (et potentiellement dans le viseur de la CNIL), quels que soient le secteur d’activité ou la taille de votre structure.
1. Mettre à jour les conditions d’utilisation et la politique de confidentialité
Il faut faire apparaître :
· Vos coordonnées, ainsi que l’éditeur du site, et son hébergeur.
· Quel type de données vous récoltez lors de l’inscription ou de la commande sur votre site web : noms, prénoms, email, téléphone, adresse postale, adresse IP…
· Pourquoi vous collectez ces données : communication par newsletters, facturation, suivi du comportement de l’utilisateur sur le site…
· Combien de temps vous stockez ces données : vous pouvez garder les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
· Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données.
Ces éléments doivent apparaître dans une page disponible en pied de page. Cette page doit apparaître à chaque fois que vos utilisateurs partagerons leurs données (formulaires de contacts, téléchargement, cookies…). Il faut donc ajouter par exemple, une case supplémentaire aux formulaires. L’utilisateur doit avoir un consentement clair.
2. Revoir tous les formulaires du site
Les formulaires sont un point clé de contact et de collecte de données avec vos utilisateurs de site. Aussi, il convient de les mettre également en conformité.
Il faut :
· Rajouter une case à cocher indiquant que l’utilisateur consent à partager ses données (“J’autorise l’entreprise X à enregistrer mes données”)
· Spécifier la raison de la récolte des données (“Entrez votre adresse email pour recevoir notre newsletter”)
· Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment
La nouvelle réglementation prévoir également de limiter les informations collectées au strict besoin. Aussi, il sera maintenant interdit de demander un sexe, ou âge pour s’inscrire à une newsletter.
3. Mettre en conformité les commentaires de votre site
Les commentaires sont également un espace ou vos visiteurs laissent des données personnelles. Aussi il convient d’ajouter également un message d’information et de prise de consentement pour la publication de commentaires.
4. Mettre en conformité les plugins
C’est le cas notamment pour tous les formulaires de newsletter, de contact, les commentaires sur votre site, les extensions permettant de traquer les visiteurs, de retargetting, seo, ou leur IP, les plugins de sécurité, jetpack, Disqu,…
Tous les plugins ne disposent pas d’une mise à jour RGPD, aussi il convient de tous les analyser en commençant par les plugins aillant un rapport avec :
· La récolte du consentement et des données de vos utilisateurs : plugins de formulaires, de commentaires, de retargeting…
· L’utilisation de vos données utilisateurs : plugins de personnalisation de contenus, de suivi du comportement des visiteurs, de newsletters, de marketing automatisé, …
Ensuite, il faut faire le point sur tous les autres plugins, et chercher sur les sites officiels, ou dans leur documentation pour savoir ce que les développeurs ont mis à jour, ou prévu pour mettre en conformité les plugins pour la RGPD.
Bon nombre des plugins maintenus, se sont mis à jour. Néanmoins, pour les autres, il faut impérativement trouver et mettre en place une solution de remplacement rapidement.
5. Renforcer la sécurité des données
Il est maintenant formellement consigné que la responsabilité des données est du fait de celui qui les détient, et a lui de les sécuriser. Il est également interdit de conserver les données inutilisées au delà de 3ans.
Mais le RGPD prévoit aussi que vous devez informer tout utilisateur, avant qu’il ne vous partage ses données, qu’il est en droit de retirer à tout moment son consentement. Et par-dessus le marché, la législation spécifie que cela doit se faire aisément pour l’utilisateur !
Il va donc vous falloir mettre en place une procédure simple qui permette à vos utilisateurs de :
· Retirer leur consentement
· Accéder à leurs données
· Les modifier
· Demander à les effacer
· Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)
Il est ainsi conseillé de créer une page spécifique dédiée à cette procédure sur votre site, contenant un formulaire de demande précis.
Incluez cette page non seulement à votre pied de page, mais à tous les points de contact où vos utilisateurs sont susceptibles de vouloir retirer leur consentement. Cela comprend également les newsletters, les bandeaux de signalement de cookies, bannières publicitaires ….
Il faut également veiller à créer une boite email spécifique pour pouvoir récupérer toutes les demandes. A la réception de chaque demande, il convient de permettre à tout utilisateur :
· De retrait de consentement, il vous faudra supprimer ou modifier les données personnelles de l’internaute au plus vite et sur l’ensemble de vos lieux de stockage (y compris dans les fichiers de sauvegarde de votre site WordPress).
· De portabilité des données, vous devrez exporter toutes les données que vous possédez dans un format lisible par une machine, afin que la personne puisse transmettre ses données à une autre entité sans avoir à les ressaisir. Le format n’étant pas défini, ni la structure, tout est à ce jour possible… (cela dit il y a de grandes chances pour le format CSV soit celui qui soit privilégié).
Au niveau de la sécurisation des données, cela devient un peu plus complexe. Il convient en effet de garantir la sécurité des données à caractère personnel des visiteurs.
Il faut donc à présent et de manière obligatoire :
· Il est nécessaire de mettre en place des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la data, pseudonymisation, cryptage… Vos process internes doivent être clairs à ce sujet.
· Il vous faudra informer la CNIL dans les 72 heures en cas de faille de sécurité. Dans certains cas, il vous faudra même informer l’utilisateur concerné, notamment si la faille est susceptible d’engendrer un risque élevé pour ses droits et libertés.
6. Tenir un registre interne de traitement des données
La nouvelle réglementation prévoit également la tenue d’un registre interne de traitement des données pour les sites récoltant plus de 50 contacts par mois. Un modèle est disponible sur le site de la CNIL. Celui-ci doit être perpétuellement tenu à jour.
Un nouveau rôle doit être également nommé : Le Délégué à la protection des données (DPO). Celui-ci sera en charge de contrôler le respect du RGPD et coopérer avec la CNIL.
Attention, celui-ci ne doit pas être un responsable marketing car celui-ci peut être débouté car son avis peut être biaisé sur l’utilisation des données.
En tant que client, vous bénéficier d’un accompagnement gratuit pour vous conformer à cette réglementation. Un forfait est disponible comprenant les principaux changements à mettre en place sur votre site.
Néanmoins, il peut s’avérer dans 30% des cas, que nous ayons besoin de plus de temps pour mettre en conformité votre site Web. Pour ce faire, au delà du forfait, nous vous communiquerons, avant toute intervention, le surcout et les prestations comprises dans ce prix.