La Norme RGPD : comment mettre son site à jour ? 

Votée depuis 2016 au parlement européen, la norme RGPD est une mesure salutaire qui vise à protéger les utilisateurs du net contre les abus des sites Web. Ceci est d’autant plus important dans la mesure où le scandale Facebook-Cambridge Analytica a laissé un mauvais souvenir sur les usages que font les entreprises des données personnelles des internautes. À cet effet, depuis l’adoption de cette nouvelle réforme, toutes les entreprises sont invitées à mettre leur site à jour.

La norme RGPD, de quoi s’agit-il ?

La norme RGPD (le Règlement Général sur la Protection des Données) est une nouvelle règlementation votée au parlement européen en 2016. Adoptée en mai 2018, elle vient remplacer la directive sur la protection des données personnelles de 1995. Son principal objectif est de renforcer la transparence sur l’utilisation des données internet. À cet effet, elle accorde davantage de droits aux internautes et responsabilise les entreprises. Ainsi, pour une application de cette nouvelle réforme, des mesures coercitives ont été mises en place. Il s’agit principalement d’amendes qui peuvent atteindre 4 % du chiffre d’affaires ou aller à 20 millions d’euros. 

Afin d’éviter une amende qui risque de ruiner votre entreprise, il est important alors que vous vous mettiez en phase avec le Règlement Général sur la Protection des Données.  

Comment être en phase avec le RGPD ?

On estime en effet que près de 80 % des sites web dans le monde exploitent les données de leurs internautes. Si cela n’est pas proscrit par le nouveau règlement, toute exploitation de données personnelles doit recevoir l’avis préalable de l’internaute. Cette obligation existait déjà dans la loi Informatique et Libertés, mais elle était néanmoins peu suivie. À cet effet ; comment être en phase avec le nouveau règlement ? 

Mettre à jour ou créer une politique de confidentialité de votre site web

La politique de confidentialité de votre plateforme doit informer les internautes sur l’objectif du traitement et de la récupération de leur donnée personnelle. Ceci passe par un texte exprimé de « façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » comme le stipulent les textes de la CNIL. À cet effet, les cookies que vous pouvez confectionnez en cliquant ce lien https://www.cookie-secure.com/fr/accompagnement-rgpd-bandeau-cookie-secure sont les outils les plus représentatifs de cette politique de confidentialité. Ainsi, sur le bandeau cookie, l’internaute doit retrouver un lien de redirection qui le renseigne sur

• le lieu physique de conservation des données collectées ;
• la durée de stockage des données (cette dernière à une durée de validité maximum de 13mois) ;
• les services susceptibles d’accéder à ces données ;
• les différents usages des informations personnelles ;
• la démarche pour la consultation des données traitées ;
• la procédure de modification ou de désabonnement aux services de communication ;
• l’exercice du droit à l’oubli et les orientations pour la suppression des données.

Actualiser les mentions légales de votre site web

En effet, la mention légale est une notion de droit qui impose en conformité avec le RGPD tout site web d’informer l’internaute sur des informations aussi variées que : le nom de son fondateur ; le nom de l’hébergeur et son adresse, le directeur de publication, etc. Elle a été mise en place pour la première fois en 2004 et est l’un des points majeurs du RGPD.

Obtenir le consentement de l’internaute

 D’après le RGPD, « le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ».

À cet effet, les cases précochées proposées aux internautes ou encore les déclarations du genre  « En poursuivant votre navigation, vous acceptez l’utilisation des Cookies »  sont désormais en déphasage avec la nouvelle norme. Il est conseillé lors de la mise à jour de votre plateforme de prévoir deux boutons : l’un « Autoriser »  et l’autre   »Refuser » . Cela a pour avantage de permettre aux visiteurs de votre site web de donner librement leur consentement et par ailleurs vous protège de toutes poursuites pénales. Ainsi, en cas d’acceptation, vous avez l’obligation d’enregistrer et de conserver la preuve afin de la faire valoir au moment opportun. En outre, en cas de refus, le RGPD impose aux entreprises de désactiver tous les services de collecte des données présents sur leur site. Il peut s’agir à cet effet d’outils comme Adsense, Google Analytics ou encore les vignettes interactives. 

Pour une plus grande sécurisation des données, le RGPD oblige par ailleurs les sites web à permettre aux internautes le libre accès de leurs informations. Ils ont ainsi le droit de renoncer à leur précédent consentement et on parle alors du droit à l’oubli. Le formulaire de demande de suppression de Google est d’ailleurs un exemple dont vous pouvez vous inspirer pour votre site. 

Mettre en place un système de protection des données de l’utilisateur

Si votre adresse de site commence par HTTP, alors vous avez du pain sous la planche. En effet, les plateformes web qui exploitent les informations ci-dessous mentionnées ont le devoir de se mettre à jour en utilisant un serveur HTTPS : 

• nom et prénom ;
• adresse : IP, courriel ou postale ;
• données de localisation;
• numéro de téléphone,
• d’identification ou mot de passe ;
• de données sensibles comme les données sur le physique des personnes ;
• etc. 

Il est important de rappeler à cet effet que le protocole HTTPS est un correctif de HTTP en plus du cryptage en SSL. Sa mise en place permet d’assurer la protection maximale des données des internautes. Pour ce faire, ce protocole crée une sorte de canal sécurisé entre l’utilisateur et le serveur. À cet effet, l’ensemble des données qu’ils échangent est crypté et n’est décodable que par les deux acteurs.

Une certification RGPD, existe-t-elle ? 

Délivrée par la Commission nationale de l’informatique et des libertés (CNIL), la certification RGPD est devenue une réalité depuis octobre 2018. Le DPO ou Data Protection Officer est le nom du certificat qui reconnait que le délégué à la protection des données est en conformité avec le RGPD. 

Obtenir le DPO exige d’avoir de nombreuses compétences

L’obtention du certificat RGPD même s’il n’est pas obligatoire est conditionnée à un certain nombre de critères. À cet effet, tout prétendant au fameux DPO doit justifier au moins de deux ans d’expérience et avoir suivie au minimum 35 heures de cours sur la protection des données. En outre, il doit également passer un test (un QCM de 100 questions) avant d’être jugé apte à pourvoir rentré en possession de son précieux sésame. Rappelons à cet effet que la durée de validité du DPO est de trois ans.  

Quels sont les avantages des sites web à se mettre en conformité avec la norme RGPD ?

Le Règlement Général sur la Protection des Données a certes pour premier objectif de protéger les internautes, mais elle bénéficie également aux plateformes web. Il faut d’ailleurs reconnaitre qu’au départ ces derniers voyaient d’un mauvais œil cette nouvelle réforme de l’UE. Néanmoins, outre les avantages qu’ils en tirent en mettant en place de bonnes pratiques de sécurité, la conformité avec le RGPD est pour eux désormais une façon de regagner la confiance de leurs consommateurs. En outre, c’est une opportunité pour optimiser davantage leur stratégie marketing pour mieux faire face à la concurrence.