Comment mettre son site web aux normes RGPD

Si vous êtes professionnel et avez un site internet, il est important de vous conformer à certaines normes européennes en matière de traitement des données personnelles que vous collectez. La loi européenne RGPD est une mesure qui est entrée en application depuis le 25 mai 2018 et vise à protéger les données personnelles que vous collectez dans votre activité. Cette loi doit être respectée aussi bien au sein de votre entreprise physique que sur la toile et sur vos supports de communication en général. Suivez le guide « comment mettre son site web aux normes RGPD »

La loi RGPD, c’est quoi ?

Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. (Source cnil.fr)

La loi RGPD a pour objectifs de garantir la protection des données personnelles reçues, et ce, afin de renforcer les droits des usagers et responsabiliser les différents acteurs bénéficiant de ces données.

Par donnée personnelle est considérée selon la CNIL  « toute information se rapportant à une personne physique identifiée ou identifiable ». Il existe alors 2 types de données :

• à identification directe (nom, prénom etc.)
• à identification indirecte (identifiant, numéro etc.).

L’identification d’une personne physique peut être réalisée à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)   ou à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)(Source cnil.fr)

Qui est concerné par la loi RGPD ?

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

• qu’elle est établie sur le territoire de l’Union européenne,
• ou que son activité cible directement des résidents européens.
• quelque soit son domaine d’activité et quelle que soit sa taille,
• concerne également les sous-traitants.

A partir du moment où votre organisation traite des données personnelles, pour vous ou pour une autre entité, vous devez garantir la protection des données que vous recevez.

Se mettre en conformité RGPD

Afin de garantir la bonne mise en conformité RGPD de votre organisation, vous devez suivre plusieurs étapes que vous devez mettre à jour dans le temps pour être efficace.

1 . Etape 1 : constituer un registre de traitements de données

Le registre de traitement de données est un fichier recensant les différentes sources recevant des données personnelles. Ici, il s’agira d’identifier les différentes activités de votre entreprise qui collectent des données et d’indiquer pour chacune :

• l’objectif de traitement de ces données
• le type de données collectées (nom, prénom, âge, mail etc)
• leur durée de conservation
• les personnes ayant accès à ces données

Vous pouvez trouver un modèle de registre sur le site de la CNIL. Un simple tableau excel peut suffire pour recenser les différentes sources de collecte de données personnelles.

2 . Etape 2 :Trier ses données dans vos données (ne collectez que les données vraiment nécessaires)

Avec une vue d’ensemble des données personnelles que vous recevez et leur différentes sources, faites le tri. Ne gardez que les informations qui vous sont vraiment nécessaires. Pour les données dites sensibles, demandez-vous si vous avez réellement le droit de les collecter.

3. Etape 3 : Informer, respecter le droit de consultation, de rectification ou de suppression des données

Vous devez respecter une obligation de transparence lors de la collecte des données personnelles d’un utilisateur. Quelque soit la manière dont vous collectez des données, quelque soit le support, vous avez l’obligation de lui énoncer :

• Le but de collecte de ces données
• Ce qui vous autorise à traiter ces données
• Qui a accès aux données ?
• Combien de temps vous les conservez
• Les modalités de consultation, rectification et suppression des données
• Si vous transférez des données hors de l’UE

4. Sécuriser les données

Lorsque vous collectez des données personnelles, il est important de mettre en place un système pour les protéger. Certaines données sont plus ou moins sensibles et nécessiteront un degré différent de sécurité, néanmoins, il est de votre obligation de mettre en place des mesures visant à sécuriser ces données. Pour cela, il est important de connaître de quelles façons seront sauvegardées ces données et d’y associer les bonnes pratiques pour garantir leur sécurité. En savoir plus.

Comment mettre son site web en conformité avec le RGPD ?

La loi RGPD s’applique aussi bien au sein de votre entreprise que sur internet. C’est pourquoi il est important de bien suivre les étapes précédemment citées et de contacter son webmaster pour la mise aux normes de son site au RGPD.  Pour plus de clarté, je vous propose ci-dessous une étude de cas en prenant mon propre site en référence.

Mon site est un site vitrine, qui collecte des données personnelles via 3 biais : le formulaire de contact, le formulaire d’avis et les commentaires de mon blog.

En premier lieu, je remplis mon registre de traitement de données pour la partie web. Pour chaque collecte de données, je détermine son objectif, son type, sa durée de conservation et qui peut y avoir accès.

Ensuite, pour chaque type de données, je mesure la pertinence des informations collectées (Si par exemple je demandais le sexe et l’âge dans les commentaires, y aurait t-il une vraie nécessité d’obtenir ces données pour l’objectif que je veux en faire ? NON, de ce fait, je supprimer tous les types de données non nécessaires à mon objectif et passe ensuite à la suite des étapes « informer, respecter le droit de consultation, de rectification ou de suppression des données » et « sécuriser les données ».

Les actions mises en place :

Ajout d’une barre de cookies avec information, possibilité de consentement /refus.

Ajout de case à cocher obligatoire sur les formulaires pour obtenir le consentement de la personne avec lien vers mentions CNIL

Ajout de case à cocher obligatoire sur les commentaires de blog pour obtenir le consentement de la personne avec lien vers mentions CNIL

Mise en place d’une sécurité HTTPS sur mon site

Ajout de mentions CNIL et d’une politique de confidentialité à mon site.

Il peut être compliqué de se conformer à la loi RGPD. Cet article vous permet d’y voir un peu plus clair, je l’espère. N’hésitez pas également à vous renseigner auprès de la CNIL ou d’un avocat spécialisé en droit numérique pour plus d’informations.

Les commentaires sont soumis à modération avant publication. En commentant cet article, vous acceptez la politique de confidentialité de ce site