Vous n’avez pas pu la rater, elle est sur toutes les lèvres depuis le 25 mai 2018, la loi sur la Protection des données personnelles, ou RGPD, a causé un grand bouleversement dans la façon dont les données sont collectées et sur la sécurité des sites internet.

Si vous possédez un site web, il est fort probable que vous collectiez les données personnelles de vos visiteurs. Peut-être collectez-vous les adresses emails pour l’inscription à votre newsletter ou que vous utilisez des outils pour connaître les statistiques de visites sur votre site ? Si c’est le cas, alors vous êtes concerné par cette nouvelle législation.

Mais rassurez-vous, il n’est pas trop tard pour se conformer au RGPD. Dans cet article, nous vous aidons à y voir plus clair.

 

Le RGPD, qu’est-ce que c’est ?

Le Règlement Général pour la Protection des Données est une réglementation européenne qui a pour but d’assurer à chaque individu le contrôle et la protection de ses données à caractère personnel.

Une donnée personnelle, c’est quoi concrètement ?

Une donnée personnelle correspond à une information qui permet d’identifier directement ou indirectement un individu. Tout ce qui est publié sur internet est une donnée personnelle, et ce, même si l’information est publique.

On peut identifier directement un internaute grâce à son nom, son adresse email, son téléphone, son adresse IP ainsi que toutes informations démographiques (sexe, âge, niveau d’étude…) ou géographiques.
Sont également incluses, les données comportementales liées à des actions menées sur un site internet (pages visitées, clics sur des liens…), et sur internet en général (partage d’une photo, like d’une publication Facebook, etc.)

Mon entreprise est-elle concernée par le RGPD ?

Si vous collectez, utilisez ou stockez des données personnelles, alors oui, vous êtes concernés par le RGPD, peu importe la taille de votre entreprise et votre secteur d’activité. Et ne vous y trompez pas, la Suisse ne fait pas exception à la règle.

 

Que dois-je changer sur mon site internet ?

Informer sur la collecte de données

Depuis le 25 mai, vous devez clairement informer les visiteurs de la nature des données que vous collectez sur votre site ainsi que l’utilisation que vous en faites.

Les données collectées sont le sont le plus souvent par le biais de formulaires (contact, demande de devis…) mais peuvent également l’être par des outils tiers de tracking (Google Analytics par exemple) ou des plugins dans le cas de l’utilisation d’un CMS (Wordpress, Drupal, Magento…) pour votre site.

Avant de débuter toute action sur votre site, nous vous proposons de vous poser deux questions :

  • « A quoi servent les formulaires sur mon site internet ? »
  • « Qu’est-ce que je fais des données que je récolte ? »

La réponse sera probablement « Elles me servent à répondre aux demandes des personnes qui me contactent ». Cela constitue la finalité de votre traitement de données. Si en répondant à ces questions vous constatez que vous récoltez des données qui ne sont pas pertinentes pour cette finalité, c’est que vous ne devriez pas le faire. En effet, le RGPD vous oblige à ne collecter que des données pertinentes et strictement nécessaires.

Pour chaque formulaire, il vous faut ainsi préciser :

  • Les données collectées
  • La finalité de la collecte
  • La durée de conservation des données (qui ne peut pas excéder 13 mois)

Cela peut être fait directement sous chaque formulaire, ou plus simplement sur une page de Politique de confidentialité. Cette page doit être accessible facilement et regroupera toutes ces informations. Elle vous permettra également d’informer l’internaute de son droit d’accès à ses données et la manière dont il peut les faire supprimer.

Obtenir un consentement explicite

L’un des points essentiels du Règlement sur la Protection des Données est le consentement explicite de l’internaute. Cela signifie que ce dernier doit avoir clairement le choix d’accepter ou de refuser la collecte de ses données sur votre site internet.

Cela se traduit par plusieurs modifications au niveau de votre site :

  • Ajout de boutons « J’accepte / Je refuse » dans un bandeau d’information sur les cookies. Dans le cas d’un refus, les cookies ne devront bien entendu pas être activés. Il est conseillé de mettre un lien vers la page de Politique de confidentialité dans le bandeau.
  • Ajout d’une case en bas de chaque formulaire que l’utilisateur doit cocher pour confirmer qu’il accepte que ses données soient collectées pour traiter sa demande.

Exemple de message informant que les données soumises seront utilisées pour traiter la demande, et rien d'autre. La case d'inscription à la newsletter n'est pas cochée par défaut pour ne pas obliger l'internaute à s'inscrire.

L’annulation du consentement précédemment donné par un internaute doit être simple pour lui et il doit pouvoir le faire à tout moment. Il est conseillé de le mentionner directement dans la page de Politique de confidentialité. Dans le cadre d’une newsletter, un lien de désinscription doit être mis en évidence en bas de chaque email envoyé.

 

Et l’inscription à ma newsletter dans tout ça ?

Comme annoncé plus haut, le consentement de l’internaute doit être explicite. Cela signifie qu’il n’est désormais plus possible d’inscrire automatiquement une personne à une newsletter. Il faut que cette inscription soit faite explicitement par l’internaute en cochant une case sous un formulaire par exemple.

De plus, le double opt-in devra être mis en place. Cela signifie que la demande d’inscription sera suivie par un email avec un lien de validation. Si l’internaute ne valide pas son inscription, l’adresse ne pourra être ajoutée à votre liste d’emails.

Lien de désinscription en bas de nos newsletters.

 

Sécuriser son site et protéger les données transmises

En récoltant des informations personnelles, vous devez assurer aux internautes qu’elles l’ont été en toute sécurité. C’est pourquoi votre site doit donc être protégé par un certificat SSL et être HTTPS et non HTTP.

Afin de sécuriser encore plus votre système, vous pouvez entreprendre ces deux modifications basiques :

  • Renommer le compte administrateur de votre CMS si le login est trop commun (par exemple « admin »).
  • Modifier le mot de passe de votre compte administrateur pour quelque chose de plus complexe avec des chiffres, des lettres majuscules et des caractères spéciaux.

 

Comment modifier votre site pour respecter le RGPD ?

Il est recommandé de vous rapprocher de professionnels du digital pour vous aider à mettre votre site en conformité avec le RGPD.

Selon la technologie utilisée, nous proposons des prestations forfaitaires ou sur mesure pour vous aider. N’hésitez pas à prendre contact avec notre équipe d’experts.

Cet article vous a plu ? Partagez-le !

Ces articles peuvent vous intéresser

Abonnez-vous à notre newsletter