Cette question que l’on pose bien souvent comme celle du prix de la baguette ou d’un autre produit facilement estimable, implique énormément de choses et...
Création de site
Publié le 02 août 2020
/
par Nicolas RIVIERE
Qu’est-ce que le RGPD et comment le mettre en place sur votre site internet ?
Partager l‘article
On entend ce mot partout et pourtant peu de monde sait ce qu’est vraiment le RGPD et ce qu’il implique dans la réalisation de votre / vos sites internet. Pourtant il a un impact important tant dans la conception que dans l’exécution du processus de création de votre site internet. C’est pourquoi je vous propose de faire un tour d’horizon du RGPD et comprendre les actions à mettre en place pour être en conformité.
Qu’est-ce que le RGPD ?
Le RGPD pour “Règlement Général sur la Protection des Données” (ou encore GPDR en anglais) est comme son nom l’indique un règlement destiné à faire respecter certaines règles concernant les données personnelles des utilisateurs de l’Union Européenne. En vigueur depuis le 25 mai 2018, il harmonise les règles en Europe afin d’établir une base unique pour tous les professionnels à l’heure ou l’utilisation des données à caractère personnel étaient utilisées de façon non encadré, créant régulièrement des dérives.
Il “s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant” comme l’indique la CNIL, responsable du respect du règlement en France.
Qui est concerné par le RGPD ?
Ce règlement est vaste et couvre énormément de domaines différents mais s’applique bien évidemment dans le domaine digitale ou de nombreuses données personnelles sont stockées.
En effet, le domaine du web et donc votre site internet n’échappe pas à la règle et vous vous devez donc de respecter les règles établies par le RGPD.
Pour faire simple, toutes les sociétés, qu’importe leur taille ou pays d’implantation et traitant / collectant des données sur des utilisateurs européens se doivent de suivre cette réglementation.
Que vous soyez implanté(e) en France pour vendre des produits dans le monde entier ou que vous soyez hors d’Europe mais vendiez des produits à des utilisateurs européens, vous devez être en mesure de prouver que votre activité est conforme aux attentes du RGPD.
A noter également que ces règles s’appliquent également pour toutes les données interne à votre entreprise.
En tant que sous traitant, suis-je concerné par le RGPD ?
En tant que sous-traitants, il est également de votre responsabilité de respecter les règles du RGPD pour votre propre compte. En effet, la réglementation vous demande d’être conforme aux règles concernant les données personnelles de vos clients.
Si vous êtes une agence ou un développeur indépendant, vous ne pourrez être tenus responsables en cas de non respect du RGPD par l’un de vos clients dès lors que vous avez fait votre devoir de conseil en informant votre client qu’il doit se conformer à la règle et en lui informant que vous pouvez l’accompagner dans la démarche. Cependant, les prestataires se doivent de conseiller et accompagner leurs clients dans cette transition importante.
De plus, je ne saurai que vous conseiller d’être 100% clair avec vos clients concernant les données que vous collectez sur eux. Vous vous devez par exemple de désigner un DPO (Délégué à la protection des données) qui sera en charge du respect de la loi concernant les données personnelles recueillies sur vos clients / employés. Si vous êtes développeur Freelance, le choix est vite fait pour désigner cette personne, c’est vous ?.
Quelles sanctions risquez-vous si vous ne respectez le RGPD sur votre site internet ?
Vous pensez que la CNIL rigole avec les sanctions concernant le RGPD, détrompez-vous.
En cas de non-respect avéré par la CNIL, vous risquez différentes sanctions allant d’un simple rappel à l’ordre et pouvant aller jusqu’à l’amende, celle-ci pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaire de la société concernée.
Il est donc risqué de faire l’impasse sur le RGPD pour votre site internet. Mais pas de panique, je vous explique tout dans la suite de cet article.
Quelles sont les actions à mettre en place pour respecter le RGPD?
Si vous êtes arrivés jusqu’ici c’est que vous êtes concernés par la réglementation comme de nombreux autres personnes et sociétés. Je vais donc tenter de vous fournir les clés pour respecter le RGPD sur votre site internet que vous ayez un site marchant ou un site vitrine.
Pour se faire, il est important de commencer par les bases, en rappelant ce qu’est une donnée personnelle et donc quelles données sont concernées par le RGPD.
Qu’est-ce que sont des données à caractère personnel ?
Une donnée est considérée personnelle à partir du moment où elle permet d’identifier une personne de façon directe ou indirecte. La liste est longue et concerne bon nombre de données comme le Nom, Prénom, la date de naissance mais aussi certaines données indirectes comme la localisation, votre adresse email, votre adresse IP ou le nom de votre chien. Sans oublier toutes les données concernant votre comportement sur un site internet (clics, visites de pages…) ou les données statistiques.
Pour faire simple, toutes les données recueillies depuis votre site et concernant l’utilisateur doivent êtres considérées comme personnelles même si elles ne le semblent pas pour vous.
Concernant ces données, vous devez informer votre utilisateur de leur stockage ainsi que les traitements de données par vous ou l’un de vos partenaires et lui permette de les supprimer ou modifier à tout moment si il le souhaite.
1. Politique de confidentialité
Pour faire suite à cela, la réglementation demande à tous les sites de fournir une politique de confidentialité claire et accessible sur leur site internet afin d’informer leurs utilisateurs de la collecte et du traitement des données. Vous devez également indiquer ce que vous faites de ces données et à quelle fin celles-ci sont collectées.
Vous devez également expliquer à vos utilisateurs comment ils peuvent modifier, supprimer ou demander la liste des informations les concernant. Je vous explique plus tard comment traiter cette partie.
2. Consentement au stockage des données
De manière générale, vous êtes dans l’obligation de toujours demander à vos utilisateurs si vous pouvez collecter et stocker ses données mais également les informer en cas de partage avec l’un de vos partenaires.
Vous devez donc veiller à ajouter une case à cocher sur chacun de vos formulaires recueillant de la donnée avec comme label une phrase ressemblant à “En cochant cette case, j’accepte la politique de confidentialité” avec un lien vers votre politique de confidentialité. Si les données sont stockées sur un service externe, je pense par exemple aux services de newsletter (Mailchimp, Mailjet, Sarbacane…), vous devez également le préciser.
Cette optin est très importante car elle vous couvre en cas de contrôle de la CNIL, sans cela, vous n’êtes plus en conformité.
Attention, elle ne doit pas être cochée par défaut, la CNIL considérerait alors cette action comme non conforme puisque l’utilisateur n’effectue pas d’action implicite.
Quelques bons et mauvais exemples de mise en place du RGPD sur vos formulaires de récolte de données personnelles :
3. Le cas des cookies
Les cookies sont des données informatiques stockées sur le navigateur de l’utilisateur et destinés à stocker des morceaux d’informations pour le bon fonctionnement du site, pour le tracking d’un utilisateur (pub) ou à des fins statistiques.
Ils conservent de la données et vous devez donc obtenir le consentement de l’utilisateur avant de les apposer sur le navigateur. Pour se faire, vous devez mettre en place une bannière ou une popin à l’arrivée sur votre site pour informer les utilisateurs du stockage de cookies depuis le site et leur permettre de refuser le dépôt de ceux-ci. Sans cet accord, vous ne devez pas déposer de cookie sur son navigateur dès lors qu’ils contiennent des données personnelles.
Voici un exemple de bannière cookie :
A noter que le dépôt de cookie ne doit être initié qu’à partir du moment ou l’utilisateur à donner son consentement de façon implicite (clic sur un bouton). Vous ne devez pas lui imposer le dépôt des cookies (au changement de page par exemple).
Vous devez également fournir à l’utilisateur, la liste des cookies présents sur le site et expliquer pour chacun, quelle est son utilité. Le visiteur doit également être en capacité de choisir quel cookie il veut voir déposer sur son navigateur et quel cookie il ne souhaite pas voir déposer. Vous pouvez par exemple mettre cette liste sur votre politique de confidentialité. Je vous laisse prendre exemple sur ma propre page relative aux cookies.
Google Analytics est un bon exemple, il dépose des cookies sur votre navigateur lorsqu’il est mis en place sur votre site internet. Cependant son utilisation doit donc être consentit par l’utilisateur car il stocke des informations le concernant.
4. Droit à l’oubli
L’utilisateur doit pouvoir demander la suppression, la modification / rectification, la portabilité ainsi que la récupération des données le concernant. En effet, même après le consentement, un utilisateur doit rester propriétaire de ses données et il peut avoir l’envie de voir supprimer l’intégralité des informations le concernant.
Vous pouvez donc mettre en place un formulaire pour permettre à vos visiteurs de demander la suppression de leurs données ou simplement informer vos utilisateurs qu’ils peuvent envoyer un mail sur une adresse dédiée.
5. Durée de stockage des données personnelles
Ajouter à cela que les données utilisateurs ne doivent pas être stockées “Ad vitam æternam”. La durée maximum de conservation de données personnelles d’un utilisateur inactif est de 36 mois soit 3 ans. Au delà de cette durée, vous devez supprimer toutes traces de l’utilisateur de vos stockages de données. Cette durée de conservation est bien-sûr valable uniquement dans le cas où l’utilisateur ne ferait pas de demande de suppression avant.
Attention, il ne s’agit pas ici d’archiver la donnée autre part, mais bien de suppression pure et simple.
6. Sécurisation des données
Le RGPD ne vous oblige pas uniquement à demander le consentement d’un utilisateur pour collecter de la donnée le concernant mais également de veiller à ce qu’elle soit suffisamment sécurisée pour ne pas être dérobée par un ou des internautes malveillants.
Cette réglementation est bien évidemment relativement vague et il est difficile de savoir quelles sont les actions à mettre en place pour être en conformité avec la protection des données personnelles.
Ce que je peux vous conseiller cependant, c’est de toujours être vigilant lorsque vous traitez de la donnée utilisateur, pensez toujours à la sécurité avant tout, mettez en place du chiffrement sur vos sites (le HTTPS étant un essentiel) et ne confiez pas votre site à n’importe qui.
7. Obligation en cas de piratage
De plus, en cas de faille de sécurité détectée par vos soins ou un tier, ou si vous vous retrouvez face à un piratage de votre site internet, vous êtes dans l’obligation de prévenir la CNIL (Commission nationale de l’informatique et des libertés) dans les 72h à compter de la détection de la faille ou du piratage.
Si cette faille est susceptible de porter atteinte à l’un de vos utilisateurs, vous devez également informer la personne concernée le plus rapidement possible (c’est la moindre des choses de toute façon ?).
Concernant les sites e-commerce, comment respecter le RGPD ?
La mise en conformité d’un site vitrine ou e-commerce est relativement similaire, je reviens cependant sur certains fondamentaux pour être sûr que votre site respecte scrupuleusement le RGPD.
1. Conditions générales de vente
Vous n’êtes surement pas sans savoir que les Conditions générales de vente sont obligatoires lorsque vous vendez des produits en ligne au même titre que les Mentions légales. Assurez-vous donc que celles-ci soient en conformité avec le RGPD et n’hésitez pas à les faire relire par un avocat spécialisé, on ne le dira jamais assez, mais il ne faut pas hésitez à faire appel à un professionnel quand c’est nécessaire.
2. Consentement au stockage des données dans le tunnel d’achat
De la même façon que pour un site vitrine, vous devez demander le consentement de vos utilisateurs à chaque fois que vous récoltez de la donnée, que ce soit pour recueillir une mail destiné à une newsletter ou dans le tunnel d’achat.
Il vous faudra donc mettre en place une case à cocher dans le tunnel d’achat, avant la validation de la commande sur laquelle vous pourriez mettre le texte suivant “J’ai lu et j’accepte la politique de confidentialité” avec un lien vers votre politique de confidentialité bien évidemment.
Pensez également à ajouter cette optin sur le formulaire de création de compte ainsi que le formulaire d’ajout d’avis client, si bien-sûr votre site en dispose d’un.
Vous devrez également veiller à être en conformité avec le RGPD à tous les endroits de votre site susceptibles de recueillir de la donnée client de façon directe ou indirecte (newsletter, relance panier, retargeting…)
3. Suppression de l’historique commandes après 3ans
Tout comme un site vitrine, un e-commerce doit conserver les données personnelles de ses clients pour une durée maximum de 3 ans y compris l’historique de commandes.
Même si ça peut sembler contraignant de supprimer les factures et historique de commandes de vos clients, il est cependant formellement interdit de conserver les données au delà de cette durée réglementaire de 36 mois.
Focus sur WordPress et la mise en conformité RGPD
Étant spécialisé WordPress, je ne peux m’empêcher d’écrire un chapitre sur la mise en conformité du RGPD pour les site utilisant le CMS n°1 du web.
Voici donc quelques recommandations et astuces pour la mise en conformité de votre site internet sous WordPress.
1. La gestion des cookies sur WordPress
Pour la gestion des cookies sur mes sites WordPress, j’utilise un module développé par mes propres soins et me permettant de respecter le RGPD. Cependant je n’ai pas encore pris le temps de le rendre accessible au grand public alors je vais tenter de vous conseiller quelques autres extensions publiques et disponibles sur le catalogue d’extensions WordPress.
Surement le plus connu, ce plugin sera probablement votre meilleur allié pour résoudre les réglementations liées à la gestion des cookies. Il vous permettra d’ajouter une bannière de consentement du dépôt des cookies que vous pourrez customiser à votre sauce et il permettra de fournir à l’utilisateur une liste des cookies présents sur votre site internet.
Autres modules
Il existe de nombreux autres plugins tels que Complianz ou Beautiful Cookie Consent Banner. A vous de choisir le plugin qui vous correspond le mieux.
Il existe également d’autres alternatives externes comme Cookiebot qui permet d’être intégré à tous les sites, peu importe la solution choisie.
2. Consentement préalable au stockage des données personnelles
Concernant l’ajout d’optin sur vos formulaires recueillant de la donnée comme le formulaire de contact ou encore l’ajout de commentaires sur vos articles de blog, c’est à vous de faire le nécessaire pour être en conformité car cela dépendra de la solution que vous utilisez pour chacune de ces fonctionnalités.
Si vous utilisez Contact Form 7 par exemple, vous devez ajouter une case à cocher depuis l’administration du site, cependant si votre site a été construit de façon sur-mesure, il faudra probablement mettre les mains dans le cambouie pour ajouter ce genre d’optin ou faire appel à un professionnel du développement WordPress.
Pour mettre en place une case à cocher pour votre formulaire d’ajout de commentaires (dans le cas ou vous utilisez le comportement natif prévu par WordPress), vous pourriez par exemple utiliser le filtre suivant comment_form_default_fields et ajouter un peu de JavaScript pour interdire la soumission avant que l’utilisateur n’ai coché la case.
3. Vérifiez que vos extensions sont RGPD friendly
Vous êtes responsables de votre site et donc des extensions que vous ajoutez sur votre site internet WordPress, il est donc de votre responsabilité de vérifier la conformité de vos plugins avec le RGPD.
Vous devez vous assurer que chacun des modules respecte scrupuleusement le réglement concernant la récolte et le stockage des données personnelles de vos visiteurs et bien évidemment la gestion du consentement. Portez une attention toute particulière aux plugins liés au marketing ainsi que ceux liés au retargeting.
Conclusion
Vous l’aurez compris, le RGPD n’est pas une mince affaire et nécessite de nombreuses modifications sur votre site internet pour le rendre conforme.
Il nécessite de repenser votre façon de récolter / stocker et traiter les données personnelles de vos visiteurs et vous oblige à être transparent quant à l’utilisation de celles-ci.
Il vous faudra donc constamment réfléchir aux impacts du RGPD sur vos fonctionnalités actuelles et futures afin de toujours être en conformité avec cette nouvelle réglementation parfois contraignante mais nécessaire.
Article rédigé par
Nicolas RIVIERE
Expert WordPress
Expert WordPress
La mise en place des actions liées au RGPD vous donne des boutons ?
Vous êtes perdu(e)s ou ne souhaitez pas mettre en place ces nouvelles réglementations par manque de temps ou de compétences techniques ? Je peux vous aider et/ou réaliser pour vous un premier audit de votre site internet afin de déterminer quelles actions mettre en place dans l’optique d’une conformité avec le RGPD.