Accueil A la une Comment respecter le RGPD sur un site web ?

Comment respecter le RGPD sur un site web ?

par Rashel Réguigne

Dernière mise à jour

RGPD et cookies sur les sites WordPress

Depuis Mai 2018, un tsunami juridique a fait son apparition faisant naître avec son arrivée bon nombre de débats plus ou moins complexes touchant la quasi-totalité des sites internet.

Vous l’aurez peut-être compris, nous parlons bien évidemment du célèbre Règlement Général sur la Protection des Données, ou plus simplement RGPD.

Dans un premier temps, revoyons les bases…

RGPD le règlement européenCe « nouveau » Règlement a pour principal sujet les données personnelles sur internet, et plus précisément le traitement de ces dernières.

Il est important de ne pas se méprendre d’entrée de jeu, et de ne considérer comme données personnelles uniquement celles recensant par exemple un nom de famille.

En effet, cette notion de « personnelle » est à prendre au sens très large, et englobe en réalité « toute information se rapportant à une personne physique identifiée ou identifiable ». Dès lors nous avons 2 cas possibles pour identifier une personne :

  • Soit la personne est directement identifiable : comme dit précédemment, à l’aide d’un nom et d’un prénom par exemple
  • Soit la personne est indirectement identifiable : par le biais d’un numéro de téléphone, d’un identifiant client ou encore des éléments spécifiques relatifs à l’identité physique de la personne…

De plus, cette identification peut se faire à partir d’une seule donnée ou bien par le biais d’un croisement de données (par exemple : une femme habite dans telle rue, elle a tel âge et possède tels animaux…) ce qui laisse donc une possibilité assez large pour qu’une donnée soit considérée comme personnelle.

En ce qui concerne la notion de traitement d’informations personnelles, cette dernière inclut aussi bon nombre de choses : collecte, enregistrement, conservation, modification, consultation, utilisation, mise à disposition… Quelle que soit la démarche effectuée, le traitement de données nécessitera toujours un objectif, une finalité qui viendra justifier votre recueil d’information auprès de l’internaute. Vous ne pouvez pas simplement collecter des données « au cas où ».

Quelles sont les obligations légales sur un site web pour éviter d’avoir des ennuis ?

Pour être totalement dans les clous vis-à-vis du RGPD, il y a plus d’une règle à respecter. Tout d’abord, il est obligatoire d’avertir l’internaute du fait que vous recueillez des informations personnelles qui lui sont liées, et ce à deux niveaux :

  • Dans un premier temps, il faut le faire au cas par cas, c’est-à-dire à chaque endroit où vous collectez des données (formulaire d’inscription, de commande, programme de fidélité…) sans oublier la page d’accueil de votre site, où vous déposez directement – la plupart du temps – des cookies.
  • Aussi, il vous faudra récapituler au sein d’une même page – qui se doit d’être facilement accessible – l’ensemble des collectes et traitements réalisés sur votre site, dans une politique de confidentialité (on peut aussi appeler cette page “Conditions générales d’utilisation, soit CGU).

Dans un cas comme dans l’autre, il vous sera aussi nécessaire d’avertir vos utilisateurs en précisant certaines choses concernant ces collectes et traitements de données, à savoir :

  • La nature des données collectées : il est également nécessaire de préciser exactement les données personnelles que vous comptez collecter. Le RGPD implique que vous ne collectiez uniquement des données nécessaires à la finalité préalablement explicitée.
  • La finalité de la collecte : comme dit précédemment, chaque recueil d’informations doit être justifié par une finalité, qui elle-même doit être clairement explicitée auprès de l’utilisateur.
  • La durée de conservation des données personnelles : à chaque finalité sa durée de conservation, cependant vous devez essentiellement retenir trois chiffres :
    • 1 mois : avec l’arrivée du RGPD, les droits des personnes se sont vus renforcés pour que ces derniers puissent garder la maîtrise de leurs données, ils ont désormais un pouvoir de droit à l’information, d’opposition ou encore de rectification. Dès lors qu’une telle demande est effectuée, l’entreprise a 1 mois pour l’exécuter.
    • 13 mois : tous les 13 mois, il vous sera nécessaire de redemander le
      consentement des visiteurs de votre site web pour le traitement des cookies.
    • 36 mois : au bout de 3 ans d’inactivité de la part d’un utilisateur, il vous faudra supprimer ses données personnelles de votre BDD. Ce n’est ni plus ni moins que le droit à l’oubli. Cependant, si besoin est, vous pouvez anonymiser ces données pour les conserver pour leur valeur statistique.
  • Les sous-traitants : annoncer de manière transparente les sous-traitants qui auront accès à ces données personnelles collectées. Que ce soit les sociétés partenaires ou les logiciels externes que vous utilisez, il faudra le préciser.

Avertir n’est pas la seule tâche à effectuer, il y a aussi des obligations concernant les cookies ! Nous connaissons  malheureusement  tous ces encarts intrusifs qui nous sautent au visage dès notre premier clic effectué sur un site, et tout ça au nom du « respect de notre vie privée ». Cependant il s’avère que ces derniers, si nombreux soient-ils, ne respectent pas forcément les règles du RGPD.

Comment gérer les cookies sur un site web ?

Bandeau prévenant les internautes de la présence de cookies sur un site web

Dorénavant, un encart/bandeau plus enclin avec les nouvelles règles amenées jouerait sur :

  • La temporisation : nul besoin d’agresser l’internaute dès son arrivée sur le site, l’encart peut se déclencher après une certaine durée restée sur le site en question.
  • La transparence : expliquer la raison de la présence de ces cookies, sans besoin pour l’utilisateur de cliquer sur X boutons avant de trouver la réponse à sa question.
  • La granularité : loin d’avoir une manière de penser manichéenne, l’internaute doit être en mesure de pouvoir accepter tout ou partie, ou encore refuser les cookies, et tout cela avec la même facilité et sans que son choix ait un impact sur son expérience client sur le site.

Tous ces éléments permettent d’entrer dans ce que l’on appelle le « permission marketing » que beaucoup voient comme le marketing de demain. Ce dernier consiste, pour faire simple, à demander l’autorisation de l’utilisateur avant de lui envoyer quoi que ce soit qu’il n’aurait pas désiré, ce qui est bien évidemment très apprécié de la part des internautes.

Qu’est-ce que le Privacy by Design ?

RGPD et Privacy by design

Enfin, pour rentrer plus en détail sur un point précédemment abordé qui est celui des mentions légales, il est important de comprendre et appliquer la notion de Privacy by Design :

Pour faire simple, ces trois petits mots signifient que, dès la conception d’une application, d’un produit ou d’un service traitant des informations personnelles, ce dernier doit être initialement pensé de sorte que la sécurité des informations et la protection de la vie privée des futurs utilisateurs soit maximale. Cela demande donc de prendre des mesures proactives et préventives de la part de l’entreprise, pour assurer une protection implicite et automatique. En effectuant toutes ces tâches qui peuvent certes paraître laborieuses au premier abord, vous bénéficierez surtout d’une bonne réputation de marque.

Les internautes, plus avertis que jamais depuis l’arrivée du RGPD en 2018, ne se veulent plus victimes d’erreurs pouvant nuire à leur vie privée. De fait et à raison, ils sont plus exigeants sur les actions mises en place par les entreprises pour veiller au bon traitement de leurs données personnelles, alors si de votre côté, vous avez effectué les tâches précédemment citées, vous pouvez être sûrs que vos démarches ne seront pas vaines mais au contraire remarquées et appréciées de la part de l’utilisateur.

Néanmoins, cela reste très compliqué de s’adonner à cette mise en conformité seul, pour la plupart des entreprises, c’est un chantier colossal et très chronophage. C’est pour cela qu’il existe de nombreuses solutions sur le marché qui ont pour but de vous faciliter les choses à ce niveau-là.

En ce qui me concerne sur le Blog de Geekette, mais aussi à StudioXine (ma petite agence de communication), j’ai déniché récemment une solution qui m’a semblé sortir du lot, et j’ai décidé de vous la présenter aujourd’hui. Alors, sans plus attendre, voici …

La solution d’Axeptio

Solution de cookies AxeptioAvant tout, il faut savoir qu’Axeptio est une solution clé-en-main, ce qui signifie que vous n’aurez quasiment rien à faire, car cette dernière est prête à être installée telle qu’elle, ce qui est un premier bon point qui nous fait gagner un temps précieux. L’équipe derrière ce logiciel est composée, entre autres, d’un avocat qui est aussi leur DPO, ce qui vous assure de surcroît un logiciel en totale conformité avec le nouveau règlement, pas de mauvaise surprise à ce niveau-là !

Les différentes fonctionnalités que propose cette solution

Bandeau Cookies AxeptioExemple de bandeau cookies RGPDTout d’abord, force est de constaté qu’Axeptio mise sur l’originalité, avec une approche textuelle et graphique innovante qui ne passe pas inaperçue ! Ici, le ton léger et humoristique sont des facteurs qui peuvent faire jouer le recueil d’informations en votre faveur. Personnellement, j’adore !

En revanche, il est possible que cette approche ne soit pas du goût de tout le monde, mais pas de panique : leurs petits encarts sont pleinement personnalisables, non seulement au niveau des textes, mais aussi des couleurs, des images, des polices .. Bref, vous avez la main mise sur tout pour rendre cet encart en parfaite harmonie avec la charte graphique de votre site !

Voici un autre exemple d’encart customisé, ce qui donne un ton très différent.

Axeptio est une solution user-oriented et donc en accord avec les règles imposées par le RGPD. Plus haut, nous évoquions la temporisation, la transparence ou encore la granularité, des facteurs clés pour une solution respectueuse des internautes. Pour cocher tous ces critères, cette solution  répond encore présent : avec un système de temporisation intégré vous permettant de ne pas agresser vos utilisateurs (ils vous en remercieront !) et en annonçant clairement la situation. En effet, rien ne sert de cacher les choses, tout se sait un jour, et comme nous l’avons dit  précédemment, les internautes aiment que nous soyons transparents avec eux !

Oui mais mon site, c’est un WordPress. Alors je fais comment ?

Pas de panique, c’est possible d’utiliser Axeptio avec WordPress, et voici comment faire. Vous trouverez également plus de détail sur cette page.

Bien évidemment, ce ne sont pas les seules fonctionnalités que proposent Axeptio, mais celles qui j’apprécie le plus et que je souhaitais vous faire découvrir ! Pour en connaître davantage sur cette solution, je vous invite à passer faire un tour sur leur site. Vous y trouverez toutes les réponses à vos questions. Et moi, je vous laisse entre de bonnes mains !

Article rédigé avec l’aide d’Axeptio,

Related Articles

Ce site utilise les cookies (sans OGM) pour améliorer votre navigation. Accepter En savoir plus