Tous les jours, les internautes partagent des informations sur eux sans forcément en avoir conscience. Nom et prénom, adresse mail ou postale, et même leurs coordonnées bancaires. En tant que propriétaire de site, vous devez vous assurer de traiter et recueillir ces données dans les normes exigées par la loi. D’autant plus avec la régulation RGPD (Règlement Général sur la Protection des Données) qui sera mise en application le 25 mai 2018 !

La régulation de la protection des données est essentielle pour renforcer la sécurité et la transparence sur Internet, autant pour les utilisateurs que pour vous, en tant que TPE gérant un site web. Cet article expliquera les éléments les plus importants au sujet de cette régulation 2018, et comment vous mettre en conformité à leur sujet.

 

 

Qu’est-ce que le RGPD et en quoi cela est important pour vous ?

Le Règlement Général sur la Protection des Données a été conçu en 2015. Il vise à protéger les droits des citoyens européens vis-à-vis de leurs données personnelles. Ratifié en 2016, ce règlement remplace la Direction 95/46/CE sur la protection des données personnelles existant depuis 1995, et prendra complètement effet le 25 mai 2018.

Ce Règlement Général régule la façon de collecter des données personnelles sur les utilisateurs de votre site. Cela concerne notamment les adresses mail, les noms, les adresses IP ; des informations que de nombreux sites récupèrent.

Par exemple, même si vous possédez un site WordPress des plus basiques, vous avez de grandes chances d’utiliser des cookies. Lesquels sont concernés par la législation sur la protection des données. Cet exemple démontre que vous n’avez pas forcément besoin d’un module d’inscription sur votre site pour collecter des informations sur vos internautes. Si vous utilisez un CMS moderne (Système de gestion de contenu) comme WordPress, vous récupérer des données que vous le vouliez ou non. D’où l’importance de vous tenir au courant de la législation à ce sujet.

Côté utilisateurs, inutile de préciser l’importance de la chose. Pour citer 2 raisons majeures :

  • Un utilisateur partage sûrement bien plus d’informations qu’il ne le croit. Les réseaux sociaux sont un excellent exemple de cette “fuite” des informations.
  • Et, en même temps, voudra protéger sa vie privée. Dans l’idéal, il devrait pouvoir vérifier et contrôler les informations qu’un site possède sur lui.

Une fois qu’une information est sur la toile, un site peut l’utiliser et la vendre à un service third-party. Ceux qui ont de mauvaises intentions peuvent même accéder à ces données en les piratant.
Autrement dit, en tant que gérant d’un site web, vous avez l’obligation de sécuriser votre site et d’être transparent sur les données que vous récoltées. Les utilisateurs ont le droit de savoir ce que l’on fait de ces informations.

 

Que prévoit cette réglementation, concrètement ?

Globalement, le RGPD comprend 3 actions importantes :

  • Améliorer le consentement de l’internaute. Quand un site récolte des données personnelles sur lui (formulaires, cookis, etc.), il doit être informé qu’il partage ces données et savoir dans quels objectifs elles sont partagées.
  • Mieux tracer et sécuriser les données de l’utilisateur. Les lois existantes sur les failles de sécurité sont durcies et l’entreprise devient responsable des données qu’elle récolte et de leur protection.
  • Faciliter le droit de rectifier, modifier, supprimer ou recueillir ses données à l’internaute.

Le RGPD s’applique à toute personne, physique ou morale, qui approcherait, de près ou de loin, pour des raisons professionnelles, des données personnelles sur un citoyen de l’Union Européenne.

Autrement dit : cela concerne toute entreprise qui collecte, utilise et stocke ce type de données (et cela concerne la plupart d’entre elles, comme nous l’avons vu avec l’exemple des cookies).

Fait important : cette réglementation concerne aussi les données internes d’une entreprise : toute information récoltée sur un employé est concernée.

Autre aspect important : même si vous êtes basés, ou stockez vos données, en dehors de l’UE, vous êtes concerné par ce règlement. La législation se base en effet sur l’internaute : s’il réside dans un pays membre de l’UE, le RGPD s’applique.

 

Quels risques encourez-vous si vous allez à l’encontre du RGPD ?

Déjà avant la mise en place de ce dispositif, la loi française prévoyait des sanctions pénales pour tout site enfreignant les règles sur les données personnelles. Concrètement, ces lois étaient rarement appliquées et, quand elles l’étaient, les amendes s’avéraient relativement faibles.

Le RGPD renforce ce système de sanctions déjà existant. À présent, les amendes administratives pourront atteindre jusqu’à 2, voire 4% du chiffre d’affaires de l’entreprise concernée, et jusqu’à 20 millions d’euros dans les cas les plus graves.

 

Comment m’assurer d’avoir un site aux normes ?

 

1. Mettre à jour votre politique de confidentialité

Faites apparaître sur votre site des mentions claires et transparentes à ce sujet. Concrètement, vous devez ajouter (si ces mentions n’existent pas déjà) des explications claires sur l’usage que vous comptez faire des données récoltées.

Récapitulons les informations à faire apparaître sur cette page :

  • Vos coordonnées, l’éditeur du site et son hébergeur.
  • Le type de données que vous récoltez (à l’inscription ou durant la commande) : nom, prénom, adresse mail, adresse postale, adresse IP, téléphone, etc.
  • La raison de cette récolte de données : pour envoyer des newsletters, réaliser vos facturations, suivre le comportement des utilisateurs du site, etc.
  • Le temps de stockage de ces données : les données marketing peuvent être conservées jusqu’à 3 ans. Pour les données de facturation, vous pouvez les garder jusqu’à 6 ans après commande.
  • Les mesures mises en place pour sécuriser ces données : et la façon dont l’internaute peut vérifier, modifier, supprimer ces données.

Ces informations doivent apparaître sur la page dédiée, qui apparaîtra en pied de page de votre site, mais aussi à tout endroit où vous demanderiez des informations sur un internaute.

Par exemple, en accompagnement d’un formulaire de contact ou de téléchargement. Cela se retranscrit concrètement par une simple case à cocher supplémentaire : “J’ai lu et j’accepte la politique de confidentialité de ce site” (avec lien vers la page de ladite politique de confidentialité).
Attention ! Cette case ne devra pas être pré-cochée. C’est l’utilisateur qui doit consentir clairement en la cochant par lui-même.

 

2. Mettre à jour vos Conditions générales d’utilisation ou de vente

Il est conseillé d’ajouter dans votre page des CGU ou CGV, votre politique de confidentialité telle que décrite à l’instant.

C’est aussi simple que ça. Et si vous jugez la chose inutile, pensez que les internautes sont de plus en plus au courant de leurs droits. Le RGPD n’est même pas encore instauré et pourtant, on en entend parler depuis déjà des mois ! De là, vous pouvez facilement tomber sur des visiteurs soucieux de leurs données privées, qui vont vérifier si votre site est bien en normes (et vous signaler à la CNIL le cas échéant).

Ce changement est simple à faire : c’est donc une excellente opportunité pour installer un climat de confiance avec vos internautes et vous éviter des désagréments qui peuvent facilement vous êtes coûteux.

 

3. Revoir les formulaires de votre site

Entre une prise de contact, une inscription à une newsletter ou un téléchargement de fichier, les formulaires peuvent être nombreux sur un site.

Vérifiez, pour chaque formulaire, que vous pouvez :

  • Ajouter une case à cocher “J’autorise l’entreprise à enregistrer mes données
  • Préciser la raison de cette récolte de données (par exemple : “Renseignez votre mail pour recevoir nos newsletters”)
  • Permettre à l’internaute de se désinscrire ou de modifier ses données facilement (“Vous pouvez vous désinscrire à tout moment en nous contactant à l’adresse xxx ou via nos liens de désinscription”).

Précision : vous ne pouvez plus demander une information si elle n’a pas de lien avec l’action concernée. Concrètement, pour une inscription à une newsletter, vous ne pouvez plus demander l’âge de l’internaute, par exemple.

Pour un formulaire de contact, pensez aussi à ajouter la case à cocher “En cochant cette case, j’accepte la politique de confidentialité de l’entreprise” (avec lien vers la page concernée).

Un exemple en image, qui nous vient du blog du Codeur, pour y voir plus clair :

4. Assurer la conformité des commentaires WordPress

Vous avez 2 possibilités à ce sujet :

  • Autoriser un internaute à poster un commentaire que lorsqu’il est connecté à son compte WordPress : auquel cas, cochez l’option “Un utilisateur doit être enregistré et connecté pour publier des commentaires” dans le panneau de réglages WordPress.

Qu’est-ce qui vous attend avec le RGPD (et comment faire pour que votre site soit en conformité avec les nouvelles normes)

  • Ou placer un message de consentement (“J’ai lu et accepte la politique de confidentialité de ce site”) dans la partie Commentaires. Pour cela, le plugin WP Comment Policy Checkbox sera votre ami ! Il ajoutera une case à cocher adéquate à côté du bouton “Envoyer le commentaire”.

 

5. Vérifier vos extensions WordPress

Comment faire pour les plugins sur votre site ? Ceux dont vous ne contrôlez pas le fonctionnement interne ?

Commencez par lister toutes les extensions sur votre site qui sont liées de près ou de loin avec :

  • la récolte de données personnelles (outils de retargeting, formulaires, partie commentaire, etc.)
  • l’utilisation de ces données (suivi, newsletters, marketing automatisé, etc.)

Pour chaque plugin concerné, vérifiez sur leur site officiel s’ils sont aux nomes selon le RGPD. Vous pouvez chercher directement sur google “nom du plugin RGPD” ou “nom du plugin GDPR” pour la version anglaise.

De nombreuses extensions ont déjà fait le nécessaire pour être aux normes ; il vous suffira donc de les mettre à jour. Pour un plugin qui ne serait pas aux normes, le mieux est de trouver un autre plugin, équivalent, qui le sera, dans les plus brefs délais.

 

6. Instaurer un processus de sécurisation des données

Cette partie comprend en fait 2 aspects.

 

Mettre en place un processus d’effacement et de modification des données

Comme nous l’avons vu, toute donnée récoltée a une durée de vie légale, après laquelle vous devez la supprimer. Pour rappel, 3 ans pour une donnée marketing, 6 pour une donnée liée à une facturation.

Vous devez aussi expliquer à chaque internaute, avant même la récolte des données, son droit de retirer son consentement à tout instant.

Vous devrez donc lui permettre de facilement :

  • Retirer son consentement
  • Accéder aux données qui le concernent
  • Pouvoir les modifier
  • Demander leur effacement
  • Demander leur transfert vers un tiers

Nous vous conseillons donc de concevoir une page dédiée à cet effet, contenant un formulaire précis pour faire ces demandes.

Ajoutez cette page à vos pieds de page et dans tous les points de contact existants sur votre site. Mais aussi dans vos newsletter, votre bandeau de signalement de cookies ou encore vos encarts publicitaires.

Vous pouvez créer une adresse mail spécifique pour cet aspect. Ainsi, pour chaque mail reçu à ce sujet, vous serez en mesure de :
Supprimer ou modifier les données concernées au plus vite, selon la demande de l’internaute, autant de vos lieux de stockage que de vos fichiers de sauvegarde.
Exporter les données en format lisible pour que l’internaute puisse le transmettre à un tiers sans avoir à les renseigner à nouveau.

 

Assurer la sécurité des données

Vous devez instaurer des méthodes et mesures pour garantir un niveau de sécurité optimale pour les données de vos internautes (chiffrement de data, cryptage, pseudonymisation, etc.).

De plus, dans le cas d’une faille de sécurité, vous êtes tenu d’informer la CNIL dans les 72 heures. Dans le cas d’une faille à haut risque, vous serez peut-être aussi tenu d’en informer les utilisateurs concernés.

 

7. Mettre en place un registre interne de traitement des données

Avant, une entreprise qui traitait des données personnelles devait les signaler via un système de déclaration et d’autorisation. Avec le RGPD, la donne va changer le 25 mai 2018.

Dorénavant, vous devrez instaurer en internet une documentation complète prouvant votre conformité au RGPD. La CNIL met à votre disposition un modèle pour réaliser un tel fichier. Ce registre devra répondre à 3 questions :

  • Qui ? Qui, en interne ou en sous-traitance, traite les données ?
  • Quoi ? Quel type de données, dans quels objectifs ? Sont-elles obtenues avec consentement de l’internaute ? etc.
  • Comment ? Comment les donnée sont-elles traitées (transfert, hébergement, archivage, suppression, etc. ? Et quelles mesures de sécurité internes sont-elles mises en place ?

Pour réussir à tenir à jour ce registre, en permanence, vous aurez sans doute besoin de l’aide d’un Délégué à la Protection des Données. Remplaçant du Correspondant Informatique et Libertés actuel, il aura pour mission de faire respecter le RGPD. Ce rôle peut être tenu par un poste en interne ou en sous-traitance (consultants, etc.).

A noter que seules les entreprises exploitant des données à grande échelle sont concernées par ce dernier point. Pour un blog à trafic moyen, un site vitrine réalisant moins de 50 contacts par mois ou un petit e-commerce, il n’y a pas d’obligation à tenir un tel registre.

 

Et pour un site e-commerce WooCommerce ?

Pour les sites e-commerce, quelques éléments supplémentaires sont à prendre en compte.

 

1. Adapter les Conditions générales de Vente

Comme vu plus tôt, ces conditions sont obligatoires et doivent être notifiées sur une page dédiée accessible en bas de page de votre site.

Dans votre plugin WooCommerce, cliquez sur l’onglet Réglages, puis Commande. Dans la partie Page commande, sélectionnez votre page CGV dans le champ Conditions générales de vente.

Qu’est-ce qui vous attend avec le RGPD (et comment faire pour que votre site soit en conformité avec les nouvelles normes)

Sur votre page de commande, l’utilisateur aura alors une case à cocher qui atteste qu’il a bien lu ces conditions et qu’il accepte de les suivre.

 

2. Faire apparaître votre politique de confidentialité sur une page de commande

Votre politique de confidentialité devra figurer dans vos formulaires de commande.

Là encore, il faudra donc ajouter la case à cocher “J’ai lu et j’accepte la politique de confidentialité de ce site”.

 

3. Assurer des formulaires d’inscription WooCommerce aux normes

WooCommerce donne la possibilité à un utilisateur de s’inscrire à la page commande d’un produit, mais vous pouvez aussi permettre cela depuis la page Mon compte.

Qu’est-ce qui vous attend avec le RGPD (et comment faire pour que votre site soit en conformité avec les nouvelles normes)

Si cette option est cochée sur votre site, vous devrez préciser dans un texte que toute personne s’inscrivant a pris connaissance et accepté votre politique de confidentialité.

 

4. Assurer des avis clients aux normes

Montrer des avis clients est une pratique de communication répandues. Avec le RGPD, vous devrez avoir le consentement desdits clients au préalable.

Pour faire cela, c’est plutôt simple. Vous avez seulement besoin de n’autoriser la publication d’un avis que lorsque la personne a acheté votre produit (Onglet Produits du plugin WooCommerce). En effet, en ayant déjà procédé à un achat, la personne a forcément accepté votre politique de confidentialité, et donc donné son accord).

Qu’est-ce qui vous attend avec le RGPD (et comment faire pour que votre site soit en conformité avec les nouvelles normes)

 

5. Penser à votre plugin d’abandon de panier

Un plugin d’abandon de panier est pratique : il permet de conserver le panier pour un client qui n’aurait pas finalisé sa commande. Là encore, le RGPD vient changer la donne.

Car un abandon de panier peut supposer que l’internaute n’a pas encore coché la case sur les Conditions générale de ventes. Pourtant, vous avez forcément besoin de données sur lui pour conserver son panier (Cookies).

Pour contourner le problème, en attendant que les plugins d’abandon de panier se mettent aux normes : ajoutez un texte court qui invite l’utilisateur à lire votre Politique de confidentialité sous le champ où il doit renseigner son adresse mail.

 

Et pour les données que vous possédez déjà ? Les internautes qui ont déjà accepté de recevoir vos newsletters ?

Que faire pour vos données actuelles ? Des internautes qui ont déjà accepté de recevoir vos newsletters ou de s’inscrire sur votre forum ?
Vous devrez leur re-demander leur consentement explicite pour ne pas être considéré comme hors-la-loi.

Pour cela, préparez un email clair, simple et transparent sur le sujet. Ce sera l’occasion de leur montrer votre bonne volonté, voire de renouer le contact avec certains utilisateurs.

 

Pour résumer…

Qu’est-ce qui vous attend avec le RGPD (et comment faire pour que votre site soit en conformité avec les nouvelles normes)

 


Cette nouvelle législation peut paraître contraignante du point de vue technique, mais c’est aussi une occasion de repenser votre rapport à votre clientèle. Nous espérons que ces explications vous aideront déjà à y voir un peu plus clair dans les chamboulements que supposent cette nouvelle réglementation.

Cédric P.

Cédric met en œuvre son expertise en rédaction web et en Community management pour aider les TPE à émerger sur le web. Il est spécialisé en Content marketing et possède la certification Inbound marketing.

Restons en contact

Restons en contact

Des infos pertinentes, des idées, pas de spam, laissez nous votre mail.

Inscription confirmée, merci!