ConseilsSe mettre en conformité avec le RGPD

Se mettre en conformité avec le RGPD

 

Le sujet est vaste, très vaste. C’est pourquoi nous allons traiter ici de la mise en conformité au RGPD pour des sites vitrines. Des sites réalisés avec WebAcappella.

Vous trouverez sur le net pléthore d’articles imbuvables à ce sujet et bien souvent qui ne correspondent pas, ou peu à votre activité. Nous avons étudié avec notre partenaire Juriste Web&Ntic ce qu’implique vraiment le RGPD pour les sites vitrines et nous vous apportons une solution que vous pourrez mettre en place pour vous mais aussi pour vos clients.

Avant de commencer, voici une synthèse des points important à retenir sur le RGPD

La conformité au RGPD pour les sites vitrines

Plus que quelques jours avant l’entrée en vigueur du RGPD, le 25 mai 2018 !

Les collectes massives et/ou systématiques et/ou de données sensibles, ainsi que les données collectées par des entreprises de plus de 250 salariés, nécessitent de réaliser une « étude d’impact (ou PIA – Privacy Impact Assessment), et la présence d’un DPO (Data Privacy Officer ou Délégué à la Protection des Données), qui assurera la mise en conformité tant sur le plan juridique que technique.
On te rassure tout de suite Régis, ça ne te concerne pas. Pas de panique ! Pour vous faciliter la tâche sur vos sites vitrines sous WebAcappella, nous allons vous guider vers la conformité au RGPD.

Gagnez le « capital confiance des utilisateurs »

La Politique de Confidentialité doit être la traduction non seulement de votre registre de traitement, mais aussi de l’ensemble de vos actions en matière de collecte de données : elle dit à vos utilisateurs ce que vous collectez et dans quelle conditions, et les informe sur leurs droits. D’où son importance car elle est très représentative de votre état d’esprit sur ce sujet.

Les sanctions de la Cnil, quoi qu’on en dise, finiront par tomber et se généraliser, même si beaucoup d’éléments sont à peser pour évaluer le risque de se faire contrôler, surtout aujourd’hui. En effet, il est bien trop tôt et nous n’avons pas le recul nécessaire, qui permettra de dire si les dangers financiers et juridiques seront gérables et dans quelles proportions. Mais cet état d’esprit est par nature contraire au RGPD et à l’ensemble de la règlementation protégeant les droits de la personne, de même qu’il est en réalité devenu contraire à un bon état d’esprit business !

Le meilleur calcul à faire est celui du respect de la vie privée et de la confidentialité des utilisateurs, afin d’augmenter le « capital confiance » dont vous bénéficiez, et que vous augmenterez encore et encore, à mesure que vous prenez ouvertement en compte leurs droits.

Engagez-vous dans le “privacy by design” et le “privacy by default”

C’est d’ailleurs précisément comme ça que l’on définit le « privacy by design » : la prise en compte de la confidentialité des données personnelles des utilisateurs dès la conception du projet, et durant toutes les phases de sa vie, comme un élément central et non accessoire. D’où découle le second principe, le « privacy by default », en toute logique : celui-ci préconise de ne collecter, par défaut, que les données réellement nécessaires pour remplir la finalité pour laquelle il est prévu de les collecter à la base.

Le nouveau principe est donc que par défaut, rien ne doit être collecté sans que l’utilisateur puisse y avoir consenti. C’est ce qui explique la présence du bandeau informatif à l’entrée des sites web, qui 1/ prévient d’une collecte de données, 2/ recueille le consentement (en cliquant sur ok par exemple) concernant les cookies, et renvoient vers votre Politique de Confidentialité concernant le reste des données collectées.

Pour les sites vitrines qui collectent peu de données, voici comment se mettre en conformité avec le RGPD en 6 étapes !

 

1 – Remplissez un registre de traitement

Dès le 26 mai, plus besoin de déclarer ses fichiers de collecte et de traitement de données personnelles à la Cnil, comme c’était le cas avant. Mais le RGPD a renforcé les obligations des responsables et les droits des personnes sur leurs données personnelles.

Cette responsabilité accrue s’appelle en anglais « accountability » et pourrait se traduire par « responsabilité documentée » : il faut donc désormais pouvoir démontrer avec un document livrable quels traitements de données sont effectués, pourquoi et dans quelles conditions.

La Cnil édite un modèle de registre que vous pouvez télécharger en cliquant ici : www.cnil.fr/fr/RGDP-le-registre…. Il est donc obligatoire, mais surtout très utile car il permet de commencer votre démarche de mise en conformité, sur la base d’un document qui vous aide à « cartographier » les données que vous collectez.

Le registre de traitement est le document « interne » de l’entreprise qui sert de base pour rédiger ensuite la Politique de Confidentialité, publiée sur votre site web pour informer vos utilisateurs.

 

2 – Créez une adresse email dédiée

Créez une adresse email dédiée au traitement de demande afin que les visiteurs de votre site puissent vous contacter et exercer leur droit :

  • Retirer leur consentement
  • Accéder à leurs données
  • Les modifier
  • Demander à les effacer
  • Demander à les transférer vers un tiers (droit à la portabilité)

Choisissez une adresse email qui reflète clairement le but de la démarche comme par exemple : protectiondedonnees@monsiteweb.com.

 

3 – Passer son site en HTTPS

Mettez en place un certificat SSL (Lets Encrypt) pour passer votre site en HTTPS et ainsi sécuriser les échanges de données.

Nous vous renvoyons à ce tutoriel qui vous guidera pas à pas.

 

4 – Mettre en place un bandeau d’information à l’ouverture du site

Un bandeau d’information sur les cookies et votre politique de confidentialité doit apparaitre à l’arrivé d’un visiteur sur votre site. Ce bandeau doit, à minima, offrir la possibilité au visiteur de consulter votre politique de confidentialité et de l’accepter en cliquant sur un bouton clairement identifié.

 

5 – Mettre à jour ses formulaires de contact

Concernant le formulaire de contact, il devra être simplifié au maximum, ne collectez pas de données qui ne vous sont pas utiles. Pourquoi le visiteur entre-t-il en contact avec vous, quel est l’objectif ?

  • Une question au sujet de mon entreprise ou service, une demande de devis, une demande d’être recontacté par téléphone. (ces trois demandes peuvent être proposées dans un menu déroulant).
  • Une inscription à votre newsletter
  • Une inscription à votre newsletter contenant des sollicitations ou offres commerciales

Pour chaque objectif, il vous faudra mettre en place un formulaire distinct. Normalement un bouton « radio » devrait être affiché en bas du formulaire invitant le visiteur à valider votre politique de confidentialité en expliquant clairement pourquoi vous collectez les données demandées. Si ce bouton n’est pas coché, il ne devrait pas pouvoir vous envoyer de message et donc vous ne collecterez pas ses données.

Pour l’instant cette fonctionnalité n’est que partiellement disponible dans WebAcappella (la case à cocher est disponible depuis peu, mais il n’est pas encore possible de paramétrer le champ obligatoire ou de créer un lien hypertexte dans le libellé) mais l’équipe d’Intuisphère qui développe le logiciel nous a assuré que de nouvelles fonctionnalités concernant le formulaire de contact devraient être apportées prochainement.

En attendant cette mise à jour, vous devrez indiquer simplement en bas du formulaire la mention suivante :

  • Pour la prise de contact, demande de devis ou demande de rappel : « J’ai lu et j’accepte la politique de confidentialité de ce site internet et accepte d’être recontacté « 
  • Pour une inscription à votre newsletter sans offre commerciale :  » Vous serez inscrit à notre liste de diffusion et recevrez régulièrement des actualités concernant notre entreprise. Vous aurez la possibilité de vous désinscrire à tout moment. Pour plus d’information, consultez notre politique de confidentialité « 
  • Pour une inscription à votre newsletter contenant des sollicitations ou offres commerciales :  » Vous serez inscrit à notre liste de diffusion et recevrez régulièrement des actualités concernant notre entreprise ainsi que des offres commerciales. Vous aurez la possibilité de vous désinscrire à tout moment. Pour plus d’information, consultez notre politique de confidentialité « 

La mention légale doit comporter un lien vers votre page de politique de confidentialité.

 

6 – Google Analytics ?

Vous mettrez certainement en place un Google Analytics sur votre site afin d’analyser votre trafic. Là aussi, il y a une manipulation à faire pour être au norme.

La démarche à suivre est très simple, connectez vous à votre compte Google Analytics et rendez vous sur l’onglet Administration, puis dans la colonne Propriété

 

Cliquez sur Informations de suivi => Conservation des données.

Se mettre en conformité avec le RGPD

Conservation des données sur les utilisateurs : sélectionnez 14 mois

 

Un kit complet pour les sites vitrines

Lorsqu’on ne collecte que peu de données et que notre site web est une vitrine, qui sert à valoriser son expertise et à augmenter les chances d’être contactés, on y installe moins de fonctionnalités et on collecte moins de données. Concrètement, un formulaire de contact servant à apporter des prospects et des potentiels clients, un ou des widgets de réseaux sociaux pour favoriser le partage et l’interaction, et un appel à l’action pour encourager les utilisateurs à s’inscrire à votre newsletter, seront vos trois fonctionnalités moteurs pour un site web efficace.

Pour les cadrer, Tonton du Web et Juriste Web&Ntic ont conçu un kit juridique fiable, adaptable et facile, qui vous permet de rapidement cadrer votre site vitrine du point de vue des données personnelles collectées.

Le kit RGPD contient les documents obligatoires suivants :

– Une politique de confidentialité
– Un modèle de mentions légales
– Des conditions générales d’utilisation
– Un bandeau d’information

Accompagnés d’une notice qui vous guide pas à pas pour adapter vos documents et les publier en toute sécurité. Ce kit de conformité au RGPD est la solution parfaite des sites vitrines pour être rapidement et vraiment conforme au RGPD !

Attention : le pack proposé correspond à une situation standard que nous avons décrite dans cet article et peut être adaptable à votre cas. Mais si vous n’en êtes pas sûrs, vous aurez peut-être besoin de conseil ou d’accompagnement pour votre mise en conformité avec le RGPD et le cadre juridique de votre site web.

Si, sur votre site, vous avez : des appels à l’action multiples, des scénarios marketing à mettre en place, des transferts de données hors de l’Union Européenne, des partenaires et/ou des sous-traitants à qui vous allez au moins en partie transférer des données, vous aurez besoin pour une mise en conformité complète de poursuivre votre démarche juridique et technique plus en avant, afin d’éviter les mauvaises surprises en cas de contrôle, et surtout des litiges avec des utilisateurs/clients mécontents de votre utilisation de leurs données personnelles.

Dans tous ces cas, ne restez pas seuls !

Prenez rendez-vous en ligne directement avec Juriste Web&Ntic, en cliquant ici.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée Champs requis marqués avec *

Publier un commentaire