Nous sommes régulièrement sollicités par des entreprises qui se questionnent sur la mise en conformité RGPD de leur(s) site(s). Bien que ce texte européen soit entré en vigueur le 25 mai 2018, beaucoup de structures ne se sont pas encore penchées dessus, au risque d’être sanctionnées en cas de contrôle. Dans cet article, nous vous présentons 3 points clés que vous devez absolument mettre en place sur votre site. L’idée est de vous aider à initier la démarche si vous êtes un peu perdu.e.s à ce sujet.

• Un bandeau de consentement conforme
• Comment obtenir un bandeau de cookies conforme ?
• Une politique de confidentialité publiée sur le site
• Que doit contenir votre politique de confidentialité ?
• Une coche de consentement pour vos formulaires

Un bandeau de consentement conforme

Le premier point sur lequel il faut être rigoureux en matière de RGPD, c’est le bandeau de cookies (à condition d’en utiliser bien sûr). Si vous avez recours aux cookies, alors vous devez impérativement informer les visiteurs de cela, mais surtout leur demander s’ils sont d’accord avec le dépôt de ces cookies sur leur appareil.

Malheureusement, si beaucoup de sites intègrent aujourd’hui ce bandeau de cookies, on remarque que de nombreux bandeaux ne sont pas conformes. En effet, le bandeau de cookies doit permettre d’accepter ou de refuser avec la même facilité d’accès aux deux options. En d’autres termes, refuser les cookies doit être aussi simple pour le visiteur que les accepter. Or, en analysant rapidement les bandeaux de cookies disponibles sur les sites web, il est fréquent que l’option de refus des cookies soit indisponible, soit masquée de prime abord.

Au-delà de l’acceptation ou du refus, le bandeau doit présenter le plus clairement possible l’utilité de chaque type de cookies (fonctionnels, marketing, réseaux sociaux…) et les conséquences de l’acceptation ou du refus de leur utilisation.

Comment obtenir un bandeau de cookies conforme ?

Si votre site fonctionne grâce à WordPress, il existe différents plugins qui permettent de générer un bandeau de cookies relativement facilement. Voici les noms de ceux qui ont fait leur preuve et que nous utilisons régulièrement dans le cadre de nos activités d’agence web :

• CookieBot
• Complianz
• Axeptio
• OneTrust

Une politique de confidentialité publiée sur le site

La deuxième tâche sur laquelle vous pencher en matière de RGPD, c’est la publication d’une politique de confidentialité sur votre site, dès lors que vous collectez et traitez des données personnelles permettant d’identifier une personne. L’objectif de cette page est de mettre en visibilité de vos internautes la typologie de données que vous recueillez, ainsi que les processus que vous effectuez avec ces données :

• collecte,
• classement,
• traitement,
• publication et suppression.

Vous devez faire en sorte que cette politique de confidentialité soit compréhensible par tout un chacun. Inutile de noyer les internautes dans un long texte juridique que personne n’aura envie de lire. Il est également très important que cette politique de confidentialité soit facilement accessible depuis n’importe quelle page du site web. Un lien dans le footer est ainsi employé la plupart du temps.

Que doit contenir votre politique de confidentialité ?

Les instances de contrôle européennes ont défini différentes mentions obligatoires à faire figurer dans votre politique de confidentialité :

• l’identité et les coordonnées de votre structure
• l’identité et les coordonnées de votre DPO (délégué à la protection des données)
• le but de la collecte de données
• les bases légales de traitement : qu’est-ce qui justifie légalement que vous exploitiez ces données ?
• les destinataires des données : qui a accès aux données collectées et traitées ? Y a-t-il un transfert vers un pays hors Union Européenne ?
• le stockage de données : où est-il fait ?
• le délais de conservation des données
• les droits des utilisateurs concernant leurs données et les droits de réclamation auprès de la CNIL
• le caractère obligatoire ou facultatif du recueil de données personnelles et les conséquences d’un éventuel refus de l’utilisateur

Dernière étape de la mise en conformité RGPD : une coche de consentement pour vos formulaires

Dernière étape essentielle pour initier votre mise en conformité RGPD : l’ajout de coches de consentement pour vos formulaires de contact. Lorsque qu’un visiteur de votre site web entreprend l’action de remplir un formulaire, quel qu’il soit, vous devez recueillir son consentement quant au traitement qui va être fait avec les données personnelles saisies et envoyées. En d’autres termes, le visiteur doit confirmer via cette coche qu’il confie ses données personnelles de manière libre et éclairée, et qu’il est d’accord avec l’utilisation qui va en être faite ensuite par le.s destinataire.s.

Pour une transparence maximale, nous vous recommandons de placer dans le texte accompagnant la coche un lien vers la politique de confidentialité que vous aurez préalablement rédigée et publiée.

En conclusion, notez que le RGPD est un vaste sujet, loin de se limiter à votre site Internet. Il concerne l’intégralité des services de votre entreprise et doit être pris très au sérieux. Les 3 actions présentées dans cet article sont à considérer comme le B.A.ba. pour la mise en conformité RGPD du site. Mais elles sont loin d’être suffisantes pour être RGPD-compliant.

Pour vous assurer d’être conforme, nous vous encourageons à désigner au sein de votre équipe un délégué à la protection des données, et à le faire accompagner par un professionnel qui le conseillera sur toutes les actions à entreprendre à tous les niveaux de l’entreprise.