Depuis le 25 mai 2018, le règlement Général sur la Protection des Données (RGPD) est entré en vigueur.

Voyons ensemble ce qui a été modifié au niveau de la construction et du contenu des sites internet.

À quoi sert le RGPD ?

Le RGPD vise à mieux protéger les données personnelles et la vie privée des individus. C'est une norme unifiant les législations existantes, dans un souci de renforcement et d’unification des mesures de protection des données personnelles dans l’Union européenne.

Quel impact sur la création et la gestion des sites internet ?

La nouvelle réglementation s'applique à tout site internet qui collecte et utilise les données personnelles de ses visiteurs.

Il importe, dès lors, que le site soit le plus transparent possible et d'indiquer clairement aux visiteurs comment leurs données personnelles sont collectées, stockées et utilisées.

Désormais, chaque propriétaire d'un site internet doit mettre en place un plan spécifique concernant la gestion des données et justifier leur traitement par une des six raisons légitimes (le consentement, le contrat, la conformité avec une obligation légale, un intérêt vital, une mission d'ordre public, un intérêt légitime).

Notons que le risque d'un mauvais usage des données est amoindri si la collecte est minime et limitée.

Il importe d'obtenir le consentement des personnes concernées par la collecte, et ce, quel que soit le type d'information.

Concernant, les données personnelles dites "sensibles", le consentement doit être donné de manière explicite.

Le consentement des mineurs doit répondre à des exigences particulières définies par ledit règlement.

Rappelons que, bien que le consentement soit une raison légitime de traitement de données, il n'en demeure pas moins que le RGPD a renforcé les règles concernant son obtention et sa conservation.

Comment rendre un site internet conforme aux exigences du RGPD ?

Il est recommandé de créer ou de mettre à jour la politique de confidentialité devant figurer sur le site et de s'assurer que les services et contenus proposés aux visiteurs soient en conformité avec les dispositions européennes et françaises.

Il importe, dans un premier temps, de déterminer le type de données qui fera l'objet de collecte, et de définir, dans un deuxième temps, les raisons pour lesquelles la collecte est nécessaire.

Toutes ces informations doivent figurer dans la politique de confidentialité.

Par ailleurs, la politique de confidentialité doit être rédigée dans un langage clair, compréhensif, et précis. Elle doit indiquer comment les données seront utilisées, collectées, conservées.

La politique de confidentialité doit indiquer clairement, aux individus concernés par la collecte, comment ils peuvent exercer leurs droits.

Désormais, chaque individu a :

• un droit d'accès (à une copie de ses données collectées par le site) ;

• un droit de modification, s'il estime que les données sont inexactes et incomplètes et demander une mise à jour;

• un droit de suppression ou droit à l'oubli (l'individu peut demander la suppression de ses données personnelles) ;

• un droit de limiter le traitement (évitant, ainsi, la suppression totale des données).

Concernant les cookies qui contiennent des données personnelles, il est essentiel de définir préalablement une raison légitime et spécifique de les utiliser. Une fois défini, il faut clairement l'indiquer sur le site internet via un bandeau.

Doit-on signaler, dans un document distinct, que le site a été mis en conformité ?

Toutes les exigences du RGPD doivent être documentées. L'entreprise doit être en mesure de démontrer qu'elle a adopté les bonnes pratiques de protection des données.

La documentation doit être disponible sur le site et auprès du personnel de l'entreprise qui possède le site, afin de mieux répondre aux besoins et attentes des personnes concernées par le traitement des données.

Précisons qu'à tout moment une autorité de contrôle peut, de manière discrétionnaire, agir et sanctionner tout non-respect des droits accordés aux personnes dont les données sont traitées au moyen d'un arsenal de mesures disciplinaires (amendes administratives et pénales).

À noter que le non-respect de la réglementation, exposera toute entreprise à une amende pouvant s'élever à 4 % de son chiffre d’affaires annuel mondial ou à 20 millions d’euros.

Qu'en est-il des formulaires de contact ?

Il faut modifier les formulaires pour les rendre conformes au RGPD.

Il est essentiel de recueillir le consentement de la personne qui remplira le formulaire et de l'informer de la durée de conservation de ses données. Il faut également, conserver la preuve de son consentement et l'informer de ses droits.

Enfin, le transfert des données personnelles via le formulaire devra être sécurisé.

Les newsletters ... ?

Il est conseillé de mettre en place un double opt-in : un opt-in au moment de remplir le formulaire (en informant sur la raison de la collecte de l'e-mail) et un autre opt-in avec l'e-mail de confirmation dans lequel la personne accepte de recevoir les informations (après avoir coché une case).

Et les campagnes marketing ?

Désormais, pour pouvoir faire des campagnes marketing conformes au RGPD, il faut recueillir le consentement des visiteurs avant d'envoyer des documents de marketing. Par exemple, le consentement pourra être donné en cochant le bouton "s'abonner".

Par ailleurs, les marques, distributeurs ou sous-traitants doivent indiquer à leurs clients à quoi servent les données collectées, à qui elles sont destinées. Ils doivent également informer leurs clients de la durée de conservation, mais aussi leur permettre de modifier, effacer, transférer ou d’accéder à leurs données.

Enfin, les applications ou services tiers déployés sur un site doivent également faire l'objet d'une mise en conformité avec le RGPD (cf. Outils d'analyse de données).