RGPD :
Quelles obligations pour votre site webAvec l’entrée en vigueur du RGPD en mai 2018 (on va finir par le savoir !), les entreprises – ou collectivités, qui manipulent des données personnelles (ou professionnelles) doivent renforcer la sécurité liée à la conservation et l’utilisation de ces données. Si pour sécuriser votre système IT et notamment mettre en place les procédures d’anonymisation ou pseudonymisation, nous ne saurions que trop vous conseiller de vous adresser à un professionnel, pour ce qui est de votre site web, vous pouvez d’ores et déjà vous pencher sur le sujet tout seul.
Encore faut-il se poser les bonnes questions. Et pour ceux qui croiraient que ce n’est qu’une réglementation mise en place pour (ou contre…) les GAFAM, je vous renvoie avec notre interview d’Alexandra Barberis, du cabinet d’avocat @lex.
RGPD et site web : Que dit le texte ?
Difficile d’en faire un résumé mais en gros, les grandes thématiques sont :
- Qu’allez-vous faire des données collectées par vos soins ?
- Y a-t-il des données collectées sous forme de coockie par des tiers ?
- Comment allez-vous sécuriser ces données ?
- Quelle procédure mettre en place en cas de fuite (sachant que le RGPD vous oblige à prévenir vos clients sous 72h).
Une fois que vous aurez répondu à ces questions, tout ira assez vite, encore faut-il avoir les bons outils.
Enfin, si vous voulez savoir si votre site web est conforme au RGPD, nous vous invitons à faire le test sur le site suivant : https://www.immuniweb.com/websec
En ce qui concerne ReachOut, c’est tout bon ?
RGPD : la partie facile
- Sécuriser le site
Sécuriser votre site web signifie acheter un certificat SSL. Un certificat SSL ? Hein ? Qu’est-ce que c’est ? SSL (secure sockets layer) est un protocole de chiffrement TCP/IP. « Un certificat SSL sert de preuve d’identité contraignante ». En outre, le certificat contient souvent des informations avec lesquelles le navigateur et le serveur peuvent établir un cryptage.
En savoir plus sur le sujet : https://www.ionos.fr/digitalguide/sites-internet/creation-de-sites-internet/certificat-ssl/
En installant un certificat SSL, l’objectif est de rendre votre site accessible à l’adresse https://www.monsite.fr (et non plus http://www.monsite.fr). Une différence de taille, déjà parce qu’en https vous donnez à vos clients, prospects, lecteurs, internautes, la garantie que toutes les données qu’ils renseignent (dans un formulaire par exemple) sont cryptées.
D’autre part, parce que Google ne va pas tarder à ne plus référencer les sites qui ne sont pas sécurisés : dans la mesure où la manipulation n’est pas très compliquée, ce serait dommage de s’en priver.
Comment faire pour passer votre site en https ?
Il existe déjà beaucoup de littérature sur le sujet (tapez simplement cette phrase dans Google et vous verrez) : nous ne saurions que trop vous y renvoyer. Sinon il existe des plugins, pour ceux d’entre vous qui sont en WordPress tout au moins, qui organisent les redirections assez facilement.
2. RGPD : le consentement éclairé dans les formulaires
Plus question de proposer une case cochée qu’on ira décocher si on y pense un jour ! Le consentement éclairé est précisément défini dans le RGPD : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Traduction : il faut une action volontaire quelconque pour donner son consentement.
Ce consentement n’est pas obligatoire : il est donc officiellement interdit d’obliger à donner ce consentement pour valider un formulaire. Notez que, en BTB, dans la mesure où le but du formulaire est souvent de se faire rappeler pour être informé d’une offre, il est difficile pour l’internaute de refuser de cocher la case.
Comment faire ?
Rajouter une phrase avec une case à cocher sur chaque formulaire. Vous pouvez décliner l’utilisation des données en plusieurs thèmes (newsletter du site, newsletter des partenaires) ou globaliser l’action (« vous consentez à être contacté »).
Pour en savoir plus sur le consentement éclairé, nous vous renvoyons vers le livre blanc sur le RGPD réalisé par la commission LegalInTech de Medinsoft.
- Des mentions légales claires
Cette page n’est pas très compliquée à mettre à jour. Vous n’en avez pas sur votre site ? Pas de panique, il existe plusieurs exemples sur le web, si jamais vous n’êtes pas inspirés.
RGPD, le moins facile : se préoccuper des données
On peut dire qu’on entre ici dans le vif du sujet.
Si vous avez déjà fait un grand pas en utilisant un certificat SSL pour crypter le transfert des données collectées, il vous faut savoir ce que vont devenir vos données.
Comment les données sont-elles sécurisées ? Avez-vous des systèmes de pare-feu, d’anti-virus, et autres solutions de sécurité permettant la bonne conservation des données (pas d’altération) et la non-intrusion de tiers malveillants. A ce sujet, en termes de cybersécurité, nous vous renvoyons vers un article du cabinet d’assurances GRCA, spécialiste du sujet, ou sur celui de Kevin Polizzi, Jaguar Network, si vos données sont stockées dans le cloud.
Qui accède aux données ? Déjà, au sein de votre société est-ce la Direction, le marketing, les commerciaux ? De plus, lorsque vous intégrez des plugins permettant de partager les nouvelles sur les réseaux sociaux, sachez que vous envoyez des informations qui sont récupérées par cookies par Facebook et autres Google. Quel que soit l’utilisateur des données (interne ou externe), il faut en avertir l’internaute.
Quelle utilisation allez-vous faire des données ? Utilisation à des fins de prospections par vos commerciaux ? Newsletter avec des thématiques personnalisées ? Transmission de fichier des tiers ? Et combien de temps allez-vous garder ces données ? Comment seront-elles détruites si vous ne les gardez pas ad vitam aeternam ?
Comment allez-vous procéder en cas de fuite ? Si jamais vous subissez une attaque qui entraîne une fuite des données, vous avez 72h pour prévenir vos clients de la fuite. Nous ne saurions que trop vous conseiller de garder un fichier spare de vos internautes et de prévoir un mail type dans votre système d’emailing préféré qui partira en seul click.
- Politique de confidentialité
Une fois que toutes ces questions ont trouvé leur réponse, il devient assez simple d’écrire votre politique de confidentialité qui devra être accessible facilement sur votre site (sur chaque formulaire, dans le footer…).
En revanche, n’oubliez pas que certains paragraphes de votre politique de confidentialité nécessitent des actions !
- Bandeau sur la politique de cookies
Vous en voyez de plus en plus chaque fois que vous entrez sur un site : les bandeaux qui vous expliquent que les données relatives à votre navigation sur le site peuvent être utilisées à des fins commerciales. C’est comme ça qu’après avoir regardé un bracelet hermès sur Vestiaire Collective, vous vous retrouvez avec des pubs pour ledit site et ledit bracelet sur chaque site incluant de la pub où vous vous baladez. Quoi, ça sent le vécu ? C’est aussi valable pour une chambre d’hôtel sur Booking ou une paire d’enjoliveurs sur Oscaro.com.
Mettre en place un tel bandeau n’est pas très compliqué : là aussi il existe des plugins capables de le faire à votre place. Encore faut-il avoir conscience de tout ce qui peut être récupéré sur votre site !!
Si vous voulez en savoir plus d’un point de vue légal sur la mise en conformité de votre site web, nous vous invitons à consulter un avocat. Pour mettre d’ores et déjà votre site en conformité, n’hésitez pas à nous contacter !
Restons en contact !
REACHOUT COMMUNICATION
33 bd Aimé Boissy
13004 Marseille
+33.6 70.44.05.91
Ca aussi c’est important…
Ginkolea,
Conseil et communication en développement durable
Chronique du délire ordinaire
il est beau mon bouquin, il est beau !