Site internet et RGPD : Guide pratique

Comprendre les RGPD : Ce que tout propriétaire de site Internet doit savoir

site internet et RGPD

La collecte et le traitement des données personnelles sont monnaie courante. La protection de la vie privée des utilisateurs est devenue une préoccupation majeure. C’est dans ce contexte que le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018, offrant un cadre juridique robuste pour protéger les données personnelles des individus au sein de l’Union européenne (UE). Pour les propriétaires de sites Internet, comprendre et respecter le RGPD est désormais crucial pour éviter des sanctions sévères et maintenir la confiance des utilisateurs. Voici un guide pour comprendre les aspects essentiels du RGPD et son application obligatoire sur un site Internet.

1- Qu’est-ce que le RGPD ?

Le RGPD est une réglementation de l’Union européenne visant à renforcer la protection des données personnelles des individus. Il accorde aux citoyens un contrôle accru sur leurs informations personnelles tout en imposant aux entreprises des obligations strictes en matière de collecte, de traitement et de stockage des données. Le RGPD s’applique à toutes les entreprises, qu’elles soient établies dans l’UE ou non, dès lors qu’elles traitent des données de résidents de l’UE.

Principes fondamentaux RGPD site internetLes 5 principes fondamentaux du RGPD

  1. Consentement explicite : Les utilisateurs doivent donner leur consentement explicite avant que leurs données personnelles ne soient collectées et traitées. Le consentement doit être libre, spécifique, éclairé et univoque.
  2. Droit à l’information : Les utilisateurs ont le droit d’être informés de manière transparente sur la manière dont leurs données seront utilisées.
  3. Droit d’accès et de rectification : Les utilisateurs ont le droit d’accéder à leurs données personnelles détenues par une entreprise et de demander leur rectification ou leur suppression si nécessaire.
  4. Principe de minimisation des données : Les entreprises ne doivent collecter que les données personnelles nécessaires à des fins spécifiques et légitimes, et elles doivent les conserver uniquement pendant la durée nécessaire à ces fins.
  5. Sécurité des données : Les entreprises sont tenues de mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre tout accès non autorisé, divulgation, altération ou destruction.

Les RGPD obligatoires d’un site internet

  1. Informations sur le responsable du traitement des données : Identifiez clairement l’entité et les coordonnées du responsable du traitement des données.
  2. Finalités du traitement des données : Précisez les raisons pour lesquelles les données personnelles sont collectées et traitées. Par exemple pour fournir des services, gérer les comptes utilisateurs, améliorer le site, etc.
  3. Base juridique du traitement : Indiquez sur quelle base juridique les données sont traitées. Par exemple le consentement de l’utilisateur, l’exécution d’un contrat, etc.
  4. Types de données collectées : Énumérez les types de données personnelles collectées, comme les noms, adresses e-mail, adresses IP, etc.
  5. Droits des utilisateurs : Informez les utilisateurs de leurs droits en matière de protection des données, tels que le droit d’accès, de rectification, de suppression et de portabilité de leurs données personnelles.
  6. Consentement explicite : Expliquez comment obtenir le consentement des utilisateurs pour le traitement de leurs données personnelles, notamment pour les cookies et la newsletter. Les abonnés doivent consentir explicitement à recevoir la newsletter en cochant une case d’opt-in lors de l’inscription. Ce consentement doit être libre, spécifique, éclairé et univoque.
  7. Droit de retrait du consentement : Lors de l’inscription à une newsletter, les abonnés doivent être informés de leur droit de retirer leur consentement à tout moment et de se désabonner de la newsletter. Un lien de désinscription doit être inclus dans chaque e-mail envoyé.
  8. Durée de conservation des données : Indiquez combien de temps les données personnelles sont conservées et les critères utilisés pour déterminer cette durée. Décrivez ainsi que les mesures prises pour supprimer ces données lorsque leur conservation n’est plus nécessaire.
  9. Sécurité des données : Décrivez les mesures de sécurité mises en place pour protéger les données personnelles contre les accès non autorisés, les fuites ou les pertes.
  10. Partage des données : Précisez si les données personnelles sont partagées avec des tiers, tels que des fournisseurs de services d’e-mailing ou des partenaires commerciaux. Il faut indiquer les raisons de ce partage et les mesures prises pour protéger ces données.
  11. Cookies et suivi : Expliquez comment les cookies et autres technologies de suivi sont utilisés sur le site, y compris leurs finalités et la manière dont les utilisateurs peuvent les contrôler.
  12. Transferts internationaux de données : Informez les utilisateurs si les données personnelles sont transférées en dehors de l’Union Européenne et les garanties mises en place pour assurer leur protection.
  13. Mises à jour de la politique de confidentialité : Indiquez comment les utilisateurs seront informés des modifications apportées à la politique de confidentialité et la date de la dernière mise à jour.

Tous ces points, doivent être inscrits dans une politique de confidentialité complète et transparente afin de fournir aux utilisateurs toutes les informations nécessaires sur la collecte, le traitement et la protection de leurs données personnelles sur le site internet, conformément aux exigences du RGPD.

2- Comment appliquer concrètement la mise en conformité RGPD sur un site internet ?

Pour les propriétaires de sites internet, se conformer au RGPD implique la mise en place de plusieurs actions clés.

 

2.1 Politique de confidentialité :

Comme évoqué au point précédent, un site internet doit avoir une politique de confidentialité claire et accessible, expliquant quelles données sont collectées, comment elles sont utilisées et partagées, et quels sont les droits des utilisateurs en matière de protection des données.

Voici des exemples de paragraphe à inclure dans la politique de confidentialité pour 3 types de collecte de données :

Formulaire de Contact :

Lorsque vous utilisez notre formulaire de contact sur notre site Internet, nous collectons votre nom, votre adresse e-mail et toute autre information que vous choisissez de nous fournir. Nous utilisons ces informations uniquement dans le but de répondre à vos demandes, questions ou commentaires, ainsi que pour améliorer nos services. Vos données ne seront pas utilisées à d’autres fins sans votre consentement explicite.

Site E-commerce :

Lorsque vous effectuez un achat sur notre site e-commerce, nous collectons vos informations de facturation, telles que votre nom, votre adresse, votre numéro de téléphone et vos informations de paiement. Ces données sont utilisées pour traiter vos commandes, vous fournir un service clientèle et vous envoyer des mises à jour sur vos commandes. Vos informations de paiement sont traitées de manière sécurisée et ne sont pas stockées sur nos serveurs après la transaction.

Formulaire pour télécharger un fichier :

Si vous choisissez de télécharger un fichier à partir de notre site, nous pouvons collecter des informations telles que votre nom, votre adresse e-mail et des informations démographiques facultatives. Ces données sont utilisées pour améliorer notre contenu, personnaliser votre expérience et vous fournir des informations pertinentes. Nous ne partageons pas ces informations avec des tiers sans votre consentement.

Ces exemples de paragraphes doivent être adaptés à la politique de confidentialité spécifique de votre site Internet, en tenant compte des types de données collectées, des finalités de collecte et des pratiques de traitement des données de votre entreprise.

2.2 Consentement des cookies

Les sites internet doivent obtenir le consentement des utilisateurs avant de placer des cookies sur leurs appareils, sauf pour les cookies strictement nécessaires au fonctionnement du site.

Pour cela une barre de cookie doit être visible lorsque l’on arrive sur votre site internet.

Généralement, elle se positionne en bas

Voici un exemple de barre de cookies pour obtenir le consentement des visiteurs sur un site internet :

exemple barre de cookies site internet

En cliquant sur « Accepter », vous consentez à l’utilisation de TOUS les cookies mentionnés ci-dessus.

Cependant, vous pouvez visiter les préférences pour fournir un consentement contrôlé.

En cliquant sur « Voir les préférences », vous pouvez accéder aux préférences et activer/désactiver les cookies de statistiques ou de marketing.

préférences barre de cookies

Cookies site internet - Mouse Coach

Sachez qu’il existe 4 types de Cookies :

 

  1. Cookies Essentiels : Ces cookies sont nécessaires au fonctionnement du site et ne peuvent pas être désactivés dans le système. Ils sont généralement définis en réponse à des actions que vous avez effectuées et qui constituent une demande de services, telles que la définition de vos préférences en matière de confidentialité, la connexion ou le remplissage de formulaires.
  2. Cookies de Performance : Ces cookies permettent de compter les visites et les sources de trafic afin de mesurer et d’améliorer les performances du site web. Ils aident à savoir quelles pages sont les plus et les moins populaires et à voir comment les visiteurs naviguent sur le site internet.
  3. Cookies de Fonctionnalité : Ces cookies permettent au site de se souvenir des choix que vous faites (comme votre nom d’utilisateur, votre langue ou la région dans laquelle vous vous trouvez) et fournissent des fonctionnalités améliorées et plus personnelles. Ils peuvent également être utilisés pour fournir des services que vous avez demandés, comme regarder une vidéo ou commenter sur un blog.
  4. Cookies de Publicité : Ces cookies peuvent être définis par des partenaires publicitaires par le biais du site internet. Ils peuvent être utilisés par les entreprises pour créer un profil de vos intérêts et vous montrer des publicités pertinentes sur d’autres sites. Ils ne stockent pas directement des informations personnelles, mais sont basés sur l’identification unique de votre navigateur et de votre appareil Internet.

 

2.3 Formulaires de consentement

Lors de la collecte de données personnelles via des formulaires sur le site, les utilisateurs doivent être clairement informés de l’objectif de la collecte et doivent donner leur consentement explicite.
Voici des exemples concrets de texte à ajouter au niveau des différents formulaires pour se conformer au RGPD

exemple RGPD formulaire de contact

 

 

 

Formulaire de Contact :
Mettre en place une case à cocher spécifique pour le recueil du consentement (ex: «En cliquant sur S’abonner, j’accepte…») puis ajouter une mention d’information (Ex: «les données personnelles collectées vous concernant..»).

⬅ Exemple

 

 

 

 

 

Formulaire de Téléchargement d’un Fichier :
Mettre en place une case à cocher spécifique pour le recueil du consentement puis ajouter une mention d’information.

Inscription à la Newsletter :
Mettre en place une case à cocher spécifique pour le recueil du consentement (ex: «En cliquant sur S’abonner, j’accepte…»), puis ajouter une mention d’information (Ex: «les données personnelles collectées vous concernant..»).

2.4 Droits des utilisateurs

Les utilisateurs doivent avoir un moyen facile d’exercer à leurs droits en matière de protection des données, tels que le droit d’accès, de rectification, de suppression et de portabilité de leurs données.

Droit utilisateurs site internet RGPD - ExempleImaginons le scénario suivant : un utilisateur, nommé Paul, souhaite accéder aux données personnelles que le site web XYZ a collectées à son sujet. Voici comment cela pourrait se passer en pratique :

Paul se rend sur le site web XYZ et recherche la section « Politique de confidentialité » ou « Protection des données personnelles » pour trouver des informations sur la manière dont ses données sont collectées, stockées et utilisées. Dans cette section, il trouve également des détails sur la procédure à suivre pour exercer ses droits en matière de protection des données.

Sur cette page, Paul découvre qu’il a le droit d’accéder à ses données personnelles détenues par le site XYZ. Il trouve des instructions précises sur la façon de faire cette demande, qui peuvent inclure l’envoi d’un e-mail à une adresse spécifique ou le remplissage d’un formulaire en ligne dédié.

Paul choisit la méthode qui lui convient le mieux et envoie sa demande d’accès à ses données personnelles au site XYZ, en fournissant les informations nécessaires pour vérifier son identité et localiser ses données dans le système du site web.

Le site XYZ reçoit la demande de Paul et commence à traiter sa demande conformément aux exigences du RGPD. Le site confirme la réception de la demande et informe Paul du délai dans lequel il recevra une réponse, conformément aux délais légaux spécifiés par la réglementation sur la protection des données.

L’équipe chargée de la protection des données du site XYZ accède aux données personnelles de Paul, les compile et les prépare pour l’envoi. Ils s’assurent également de supprimer toute information sensible ou confidentielle concernant d’autres utilisateurs qui pourrait être incluse dans les données.

Une fois que les données de Paul ont été rassemblées et vérifiées, le site XYZ les envoie à Paul dans un format lisible et compréhensible, généralement par e-mail ou par le biais d’un espace sécurisé sur le site.

Paul reçoit ses données personnelles et peut les examiner pour vérifier leur exactitude et s’assurer qu’elles sont traitées conformément à la politique de confidentialité du site XYZ. S’il découvre des inexactitudes ou des préoccupations concernant le traitement de ses données, il peut contacter le site pour demander des corrections ou des clarifications supplémentaires.

Ce cas concret démontre comment un utilisateur, en l’occurrence Paul, peut exercer son droit d’accès à ses données personnelles conformément au RGPD. Ce processus garantit que les utilisateurs ont un contrôle accru sur leurs informations et peuvent s’assurer qu’elles sont traitées de manière transparente et conforme à la réglementation sur la protection des données.

3- Conséquences du non-respect

Sanctions non respect RGPD - Mouse CoachLe non-respect du RGPD peut entraîner des amendes sévères pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé. De plus, les entreprises risquent des dommages irréparables pour leur réputation et la perte de confiance des utilisateurs.

Au cours des dernières années, plusieurs entreprises ont été sanctionnées pour non-respect ou mauvaise gestion des règles du RGPD.

Voici quelques exemples notables :

  1. Google : En 2019, la Commission nationale de l’informatique et des libertés (CNIL) française a infligé une amende de 50 millions d’euros à Google pour manque de transparence, information insatisfaisante et absence de consentement valable concernant la publicité personnalisée.
  2. British Airways : En 2019, l’Autorité britannique de protection des données (ICO) a annoncé son intention d’infliger une amende record de 183,39 millions de livres sterling à British Airways pour une violation de données affectant les informations de carte de crédit de 500 000 clients.
  3. Marriott International : En 2019, l’ICO a également annoncé une amende de 99 millions de livres sterling à Marriott International pour une violation de données impliquant le vol de millions de données de clients, dont des informations personnelles telles que les noms, les adresses e-mail, les numéros de passeport et les données de carte de crédit.
  4. Facebook : En 2018, l’ICO a annoncé une amende de 500 000 livres sterling à Facebook pour son rôle dans le scandale de Cambridge Analytica, où les données personnelles de millions d’utilisateurs ont été partagées sans leur consentement.
  5. H&M : En 2020, l’autorité de protection des données allemande a infligé une amende de 35,3 millions d’euros à H&M pour avoir illégalement collecté et stocké des données personnelles sur ses employés.

Le RGPD constitue un élément essentiel de la réglementation sur la protection des données, et son respect est une obligation légale pour tout propriétaire de site Internet. En adoptant des pratiques de collecte et de traitement des données conformes au RGPD, les entreprises peuvent non seulement éviter les sanctions, mais également renforcer la confiance des utilisateurs et garantir une protection adéquate des données personnelles.

Besoin d’un expert RGPD pour votre entreprise. Je vous conseille Lock-T.

Vous souhaitez des conseils RGPD sur votre site internet, nous vous accompagnons aussi sur ce point crucial lors de la création ou la refonte de votre site internet.

Cet article vous a plu, partagez-le

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Le temps imparti est dépassé. Merci de saisir de nouveau le CAPTCHA.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.