Depuis le 25 mai 2018, un nouveau règlement au niveau européen vient encadrer la collecte et le traitement des données personnelles auprès des utilisateurs : le RGPD.
Si ce règlement s’applique à différents niveaux dans une entreprise, les sites Internet sont particulièrement impactés, car la collecte des données s’y fait très facilement. Que vous possédiez un site E-commerce ou un simple site web vitrine, vous traitez forcément des données personnelles, ne serait-ce qu’avec un simple formulaire de contact.
Il faut donc procéder à des ajustements pour que cet outil continue à fonctionner dans le respect des nouvelles règles sur les données.
Qu’est-ce que le RGPD ?
Cette législation européenne sur la protection des données est un texte dont l’objectif est de régir la collecte et l’utilisation des informations personnelles sur le territoire Européen (voir décret ici).
Si votre site web se trouve en dehors de l’Europe et que vos visiteurs ne sont pas situés dans cette zone, vous n’êtes théoriquement pas concerné. En revanche, si votre site web est situé hors d’Europe mais que vos utilisateurs sont européens, votre site web doit automatiquement se conformer à ces règles.
Il est à noter qu’il s’applique essentiellement aux consommateurs particuliers. Par exemple il est tout à fait possible de récupérer l’adresse e-mail d’une entreprise sur son site Internet pour lui envoyer un e-mail promotionnel dans un cadre B2B (entre professionnels).
Que dit le RGPD sur la protection des données ?
Cette nouvelle réglementation établit plusieurs nouveaux principes, le principal était celui du consentement explicite. Ainsi, vous n’avez aujourd’hui plus le droit de récupérer une donnée personnelle sans qu’un client, un visiteur de votre site Internet ou même un prospect vous ai d’abord donné son autorisation. Le terme explicite n’est pas choisi au hasard puisqu’il faut une action concrète et volontaire de la part de ces derniers pour que votre collecte soit considérée comme valide.
Il n’est donc plus autorisé par exemple :
- D’envoyer un e-mail de type newsletter, promotions… même à vos clients sans avoir demandé l’autorisation de le faire au préalable.
- De revendre ou de partager les données avec des partenaires ou des tiers sans l’accord de l’utilisateur.
- De collecter de manière générale toute donnée à caractère personnel sans accord.
Évidemment cela complexifie le processus pour beaucoup d’entreprises qui vont potentiellement collecter moins de données exploitables pour améliorer leur produit ou service.
Le RGPD met également en place d’autres obligations comme :
- Détailler quelles sont les données collectées
- Comment sont-elles utilisées, à quelles fins
- La durée de conservation de celles-ci.
- L’utilisateur doit clairement savoir à quoi s’attendre avant de faire son choix.
Enfin, sachez que le RGPD vous oblige à nommer, au sein de votre entreprise, une personne responsable de la gestion et du traitement des données à caractère personnel (ou Data Protection Officer – DPO).
Comment rendre son site internet conforme au RGPD ?
Pour commencer, il convient d’identifier sur son site Internet tous les éléments qui collectent des données afin de les mettre en conformité avec cette loi. Saviez-vous par exemple qu’une simple carte Google Map installée sur votre site collectait des données personnelles ? En effet, à partir du moment où vous appelez un contenu externe (voir plus bas), il y a des chances que le site source cherche à récupérer des données.
Ces informations peuvent être généralement collectées de 3 manières :
- Directement, avec par exemple un ou plusieurs formulaires de contact.
- De manière indirecte en déposant un cookie sur l’ordinateur du visiteur, par exemple avec une solution de mesure statistique comme Google Analytics ou Matomo.
- En affichant des contenus dit « embarqués » : une carte Google map, un mur Facebook, un fil twitter, une vidéo YouTube….
Ce ne sont ici que des exemples et en fonction du type de site que vous possédez, la liste peut être plus large.
Si vous ne savez pas si votre site est actuellement bien configuré sur cet aspect, vous pouvez utiliser l’outil Cookie Metrix pour vérifier :
Cet outil vous permettra également de détecter tous les cookies déposés sur l’ordinateur du visiteur sans son consentement, un bon moyen d’identifier les fonctionnalités à reconfigurer.
Il est à noter que seuls les cookies marketing sont concernés. Les cookies dits fonctionnels qui ne collectent pas de données personnelles, mais servent au fonctionnement du site peuvent être activés par défaut et sans accord de l’utilisateur.
Passons maintenant en revue les actions à mener pour rendre notre site web conforme.
Demander le consentement du visiteur sur les formulaires de contact
Probablement la fonctionnalité la plus simple à configurer pour le règlement. Il suffit simplement d’ajouter une action à réaliser par l’internaute afin qu’il donne son consentement pour que vos formulaires ne posent plus de soucis. Cela permet dans un même temps de respecter l’obligation d’information.
Pour cela, vous pouvez opter pour une simple case à cocher comme notre exemple ci-dessous :
Il est à noter deux choses concernant cette case à cocher :
- Elle doit être obligatoire. Dans notre exemple, impossible d’envoyer le formulaire sans l’avoir cochée.
- Le consentement devant être explicite, vous ne pouvez pas précocher la case, même dans l’esprit de faciliter la tâche de l’internaute.
Bloquer l’installation de cookies tiers sur l’ordinateur de l’internaute par défaut
La plupart des sites Internet utilisent aujourd’hui la technologie de cookies pour assurer leur fonctionnement.
Mais concrètement qu’est-ce qu’un cookie et à quoi ça sert ?
Un cookie, c’est tout simplement un petit fichier que le site web va déposer sur votre ordinateur pour effectuer certaines actions ou enregistrer des informations. Par exemple lorsque vous vous connectez à n’importe quel site avec un identifiant et un mot de passe, un cookie est déposé sur votre ordinateur, ce qui vous permet de rester identifié.
Autre exemple, les outils de statistiques tels que Google Analytics vont déposer un cookie sur l’ordinateur du visiteur pour tracer tout ce que fait celui-ci sur le site.
Et c’est justement ce que vous devez empêcher sans que l’utilisateur ait donné son accord.
Il existe, au regard des recommandations de la CNIL deux types de cookies :
- Les cookies nécessaires et fonctionnels, comme ceux d’identification ou ceux qui permettent d’enregistrer le contenu d’un panier sur un site E-commerce.
- Les cookies « tiers » et non obligatoires : statistiques, affichage de contenus externes…
Il n’est en revanche pas requis de demander un consentement pour les cookies fonctionnels, ces derniers étant considérés comme essentiels pour une le bon fonctionnement du site.
Vous allez donc devoir offrir une interface ou un panneau au visiteur afin qu’il puisse faire un choix. C’est le fameux bandeau cookies que vous croisez sur presque chaque site que vous visitez.
Il y a néanmoins plusieurs consignes édictées par la CNIL qu’il convient de respecter. Ainsi, les informations qui s’y trouvent et les options proposées sont bien décrites dans leur document, à savoir :
- Un texte décrivant clairement la finalité.
- Un bouton « tout accepter ».
- Un bouton « tout refuser ».
- Un bouton « configurer » ou « personnaliser ».
- Une indication sur la durée de conservation de la valeur du consentement. Le délai recommandé par la CNIL à ce jour est de 6 mois. Cela signifie que vous devrez réinterroger un utilisateur tous les 6 mois, peu importe qu’il ait refusé ou accepté auparavant.
- Une liste des « partenaires » ou des outils tiers vers lesquels les données sont renvoyées (exemple : Google pour Analytics ou Map).
- Un lien vers la politique de confidentialité.
Vous voyez ici qu’il est important, à travers les 3 boutons de choix, de laisser toute liberté aux visiteurs : ils ont le droit de pouvoir accepter l’ensemble des cookies, de refuser l’ensemble ou de personnaliser son choix pour chaque type de cookies.
L’exemple ci-dessous nous montre un bandeau de gestion de cookies parfaitement conforme à ces demandes :
Sachez également que vous ne pouvez pas conditionner l’accès à votre site Internet et à son contenu à l’acceptation des cookies.
Informer vos visiteurs avec une politique de confidentialité
C’est l’une des obligations découlant de la mise en place du RGPD. Vous avez l’obligation d’informer le visiteur de toute collecte de données sur votre site. On retrouve ainsi aujourd’hui presque partout une page de politique de confidentialité, destiné à mettre à disposition ces informations.
On retrouve sur cette page plusieurs informations et parmi lesquelles :
- Quelles sont les données collectées et par quel biais.
- Comment sont utilisées les données, quel est la finalité.
- Celles-ci sont-elles partagées avec des partenaires tiers ?
- Les informations de contact dans le cadre des droits d’accès et/ou de suppression des données collectées.
- Votre politique de sécurité en matière de gestion des données.
- Quelle est la procédure en cas de fuite des données.
Si cela peut paraître fastidieux à rédiger, vous pouvez utiliser des sites en ligne qui permettent de générer facilement une politique de confidentialité. Il faudra compléter et adapter en fonction de votre situation et de votre site web.
Sachez aussi que vous avez l’obligation de préciser dans cette dernière : les options de sécurité mises en place sur le site et quelle action vous entreprenez dans le cadre d’une fuite de données. Légalement, vous êtes tenus d’informer la CNIL ainsi que l’ensemble des clients impactés.
Ce principe s’applique néanmoins dès que le visiteur arrive sur votre site et sans qu’il ait à se rendre sur cette page. C’est pour cette raison que vous voyez partout des « bandeaux cookies ».
Quelles sanctions en cas de non-respect du RGPD ?
Sachez bien évidemment que des sanctions sont prévues pour les entreprises qui ne respecterait pas les règles de conformité. Elles font suite à une plainte ou à un contrôle effectué par la CNIL.
Il existe deux niveaux de sanctions.
Le premier consiste en un rappel à l’ordre, une mise en demeure de régularisation, voire à une limitation temporaire de traitement des données.
Dans les cas les plus durs, cela peut aller jusqu’à une amende comprise entre 2 & 45% du chiffre d’affaires annuel de l’entreprise concernée.
Mieux vaut donc faire le nécessaire pour être conforme à la réglementation européenne, les enjeux en termes de marketing et de financier étant trop élevés. Si vous n’êtes pas sûr de pouvoir le faire vous-même, nous vous conseillons de faire appel à une agence qui pourrait vous aider à vous conformer à cette loi.
Les alternatives aux services collectant des données personnelles
Si vous souhaitez être un peu plus respectueux de la vie privée, il existe des solutions alternatives aux outils classiques tels que Google Map, Google Analytics, ReCaptcha et qui permettent de rester en conformité.
- Pour les outils statistiques, on peut citer Matomo ou encore Piano Analytics.
- Pour Google Map, vous pouvez opter pour OpenStreetMap, une solution gratuite pour affiche une carte sur une page.
- Pour ReCaptcha, remplacez simplement ce dernier par un challenge sur vos formulaires : calcul mathématique, clic sur une image… Vous protégerez ainsi ces derniers sans collecter de données personnelles, même indirectement.
Enfin, le plus simple est aussi de se demander si vous avez vraiment besoin de collecter des données sur vos utilisateurs ou du moins, faire une cartographie complète des données marketing que vous collectez pour optimiser / réduire le flux.