Si vous avez un site internet, qu’il soit professionnel ou non, vous avez l’obligation légale d’être en conformité avec la loi et notamment de respecter le RGPD (règlement général sur la protection des données). 

Si vous avez un site internet, qu’il soit professionnel ou non, vous avez l’obligation légale d’être en conformité avec la loi et notamment de respecter le RGPD (règlement général sur la protection des données). 

Ce règlement a été mis en place pour protéger les données personnelles des visiteurs de votre site et éviter les mauvaises pratiques commerciales de certaines entreprises qui achètent des adresses emails ou des numéros de téléphone (oui oui les appels toutes la journée pour vous vendre tout et n’importe quoi, ça vient de là, idem pour les spams dans votre boîte mail…). 

Ainsi, les propriétaires de sites ne peuvent plus faire ce qu’ils veulent :

  • Ils ne peuvent pas récolter n’importe quelle information
  • Ils doivent stocker les données personnelles de leurs visiteurs en lieu sûr
  • Ils ne peuvent pas les conserver indéfiniment
  • Ils doivent informer leurs visiteurs de la récolte de leurs données et obtenir leur consentement…

Je vous l’accorde, ce n’est pas forcément la première chose qu’on a envie de faire quand on lance son site internet ou qu’on récolte des adresses email. 

Entre nous, je dois vous avouer que je rédige aussi bien cet article pour vous que pour moi. Même si je respecte l’esprit RGPD en étant transparente avec mes abonnés et en protégeant leurs données, je sais que je ne suis pas en parfaite conformité et que j’ai besoin de me mettre à jour. 

Alors quitte à me plonger dans ce sujet “passionnant”, autant vous faire profiter de mes trouvailles. 

C’est parti !

Pourquoi se mettre en conformité RGPD ? 

Vous devez être en conformité car vous risquez : 

  • Des sanctions
  • Des amendes salées
  • Une perte de confiance de vos visiteurs
  • Une dégradation de votre image de marque et de votre réputation.

Le RGPD, c’est d’abord une question de bon sens et de moralité pour moi. L’objectif du RGPD est d’éviter l’utilisation frauduleuse des données à caractère personnel. Même si je ne suis pas encore en totale conformité RGPD, je ne fais rien qui puisse nuire aux données personnelles de mes abonnés. 

Si vous me laissez votre email, vous pourrez vous désinscrire facilement à tout moment. Je suis parfaitement transparente avec vous sur l’utilisation de vos données.

Néanmoins, la non-conformité avec les règles du RGPD peut vous coûter cher. Vous risquez des amendes administratives pouvant monter jusqu’à 20 millions d’euros (ou 4 % du chiffre d’affaires de l’exercice précédent). Vous retrouverez toute la loi relative à la protection des données sur Legifrance

C’est l’amende maximale pour absence de consentement du traitement des données, non-respect des droits individuels et violation des règles sur le transfert des données notamment. Oui je sais… ça fait mal 😬

L’autre palier prévu est à 10 millions d’euros d’amende (ou 2 % du chiffre d’affaires de l’exercice précédent) pour l’absence de registre de traitement des données personnelles ou encore si vous ne notifiez pas vos visiteurs dans les délais en cas de faille de sécurité entraînant la perte de données…

Pas de panique pour autant, il s’agit là des sanctions maximales. En cas de manquement au RGPD, c’est la CNIL en France (Commission Nationale de l’Informatique et des Libertés) qui établira les circonstances de la violation pour proposer des sanctions adaptées (nature et gravité, nombre de personnes affectées, absence de précédentes condamnations…).

Pour être en conformité totale, je compte rapidement me mettre à jour en suivant les recommandations que je vous donne dans cet article. 

Pour autant, je ne suis pas une professionnelle dans le domaine et lorsque j’ai des questions pointues, je préfère faire appel à des avocats experts en droit de l’internet et de la propriété intellectuelle comme Henri et Jean-Philippe. 

Mise en conformité RGPD : recenser l’ensemble des données traitées

Pour y voir plus clair et faire l’état des lieux de votre site concernant le RGPD, la CNIL recommande d’établir une cartographie de l’ensemble des données traitées dans un registre regroupant plusieurs informations :

  • L’objectif poursuivi : pourquoi recueillez-vous des données ? La plupart du temps dans le cadre d’une vente en ligne, les données servent à la prospection commerciale, à la fidélisation de votre clientèle ou encore à l’analyse du parcours client (avec les cookies par exemple).
  • La catégorie des données utilisées : que recueillez-vous comme information ? L’adresse email, le nom, le prénom, la date de naissance, le numéro de téléphone, l’adresse postale…
  • Les personnes ayant accès à ces données : êtes-vous la seule personne à y avoir accès ? Y a-t-il d’autres personnes de votre entreprise à avoir accès à ces informations ? Faites-vous appel à un sous-traitant externe ?
  • La durée de conservation des données : combien de semaines, de mois ou d’années conservez-vous les données de vos utilisateurs ?

Selon le niveau de développement de votre entreprise, ça peut être un travail fastidieux mais vous y verrez plus clair une fois que ce sera fait.

Le recensement des données traitées vous servira également à créer le registre des traitements, document obligatoire et demandé en cas de contrôle.

Se mettre en conformité RGPD : faire le tri dans les données

Une fois toutes les données recensées, la CNIL vous recommande de procéder à une phase de vérification et de faire le tri si nécessaire :

  • Les données traitées sont-elles nécessaires à votre activité ? Sous-entendu, vous servez-vous de toutes les données récoltées pour exercer votre activité ? Le plus simple est encore d’éliminer toutes les données inutiles. Par exemple, si vous recueillez des adresses emails en échange d’un ebook ou d’une formation gratuite, vous n’avez besoin que du prénom de la personne et de son adresse email. Ne demandez pas son adresse postale, son numéro de téléphone et sa date de naissance.
  • Traitez-vous des données sensibles ? En avez-vous le droit ? Les données sensibles sont les informations liées à l’origine ethnique, aux opinions politiques, aux convictions religieuses, à l’appartenance syndicale, aux données génétiques, concernant la santé ou l’orientation sexuelle d’une personne… En règle générale, vous n’avez pas le droit de détenir ces informations sauf si la personne donne clairement son consentement (de manière écrite, claire et explicite). Il y a d’autres cas mais vous n’êtes pas concerné en tant que vendeur ou formateur en ligne.
  • Les personnes ayant accès à ces données sont-elles bien identifiées ? Dans la mesure du possible, je vous conseille de limiter le nombre de personnes ayant accès aux données personnelles des internautes. 
  • Les données sont-elles bien détruites après la durée définie ? Chaque donnée doit être conservée un certain laps de temps et détruite ensuite. Par exemple, les données personnelles de prospect doivent être conservées 3 ans maximum si le prospect ne répond à aucune sollicitation depuis au moins 3 ans (délibération de la CNIL n°2016-264 du 21 juillet 2016). Pour les cookies, les données peuvent être conservées 13 mois après un premier dépôt sur l’appareil de la personne concernée (ordinateur, smartphone, tablette). Il faudra ensuite renouveler son consentement pour continuer de traiter ses données.

Mise en conformité RGPD : informer les visiteurs

La prochaine étape est d’informer vos visiteurs de la récolte de certaines données personnelles. 

Depuis le 1er juin 2019, la loi du 6 janvier 1978 dite Informatique et Libertés est en vigueur et a notamment renforcé l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (pour le RGPD).

Concrètement, cela signifie que vous devez obtenir le consentement explicite des visiteurs de votre site pour recueillir leurs données (cookies et données personnelles). Par exemple, les bandeaux s’affichant pour autoriser l’utilisation de cookies ne peuvent plus être fermés sans effectuer un clic pour autoriser, paramétrer son choix ou refuser.

Vous pouvez donner un premier niveau d’information en fin de formulaire (dans le cas d’un recueil d’email) ou dans le bandeau pour les cookies et renvoyer vers votre politique de confidentialité, vos mentions légales ou vos conditions générales de vente (CGV) pour plus de détails.

Utilisation des données personnelles et RGPD

Voici les mentions d’information obligatoires à faire apparaître :

  • La finalité : pourquoi collectez-vous ces données ? A quoi vont-elles servir ? 
  • Le consentement : la personne doit clairement vous donner son consentement et vous ne devez pas le supposer. Le bandeau pour les cookies ne devrait pas disparaître sans que l’internaute ait fait un choix. De plus, vous n’avez pas le droit d’inscrire d’office un visiteur à votre newsletter s’il n’a pas clairement coché une case vous autorisant à lui envoyer.
  • Les personnes ayant accès aux données : leur nom doit clairement apparaître dans les mentions légales du site. 
  • La durée de conservation des données : rappelez-vous, légalement les cookies se conservent 13 mois et les données personnelles à des fins de prospection se gardent 3 ans maximum. Pour le reste, s’il n’y a pas d’obligation légale, vous devrez définir une durée de conservation vous-même et la faire apparaître soit dans votre politique de confidentialité, soit dans vos mentions légales ou soit dans vos CGV.
  • Les modalités : comment les personnes peuvent-elles exercer leurs droits ? A tout moment, une personne peut demander à ce que ses données personnelles soient effacées. Vous devez donner la marche à suivre pour demander l’effacement des données personnelles.  

Bon à savoir : si vous transférez des données hors de l’Union Européenne, vous devez le préciser à vos visiteurs.

Se mettre en conformité RGPD : permettre à vos visiteurs d’exercer leurs droits facilement

En plus d’informer vos visiteurs sur les données récoltées, vous devez leur permettre d’exercer leurs droits sur ces données facilement. 

En effet, les personnes dont vous traitez les données ont des droits sur celles-ci : un droit d’accès, de rectification, d’opposition, d’effacement, de portabilité ou encore de limitation de traitement.

Vous êtes dans l’obligation de leur permettre d’exercer leurs droits à l’aide d’un formulaire spécifique, d’un numéro de téléphone ou d’une adresse email dédiée.

Je vous recommande de traiter ces demandes dans un délai court afin de sécuriser la relation client, d’éviter les soucis avec la CNIL ou l’affichage sur les réseaux sociaux. Si ce n’est pas simple pour le visiteur ou que vous ne répondez pas, vous prenez des risques à la fois pour votre réputation mais aussi auprès de la CNIL (et les sanctions sont assez dissuasives…). 

Par exemple :

  • Sur votre site, le bandeau récoltant les données pour Google Analytics et les cookies publicitaires doit s’afficher clairement et ne pas disparaître sans obtenir le consentement du visiteur. Chaque personne doit pouvoir refuser facilement les cookies.
  • Dans chacune de vos newsletters, le bouton de désinscription doit être clairement visible en fin d’email.

Conformité RGPD : sécuriser les données

Dernière étape : les données que vous récoltez doivent être en sécurité. 

Sur internet, le risque zéro n’existe pas et vous pouvez toujours vous faire pirater. Pourtant, les données que vous récoltez doivent être en sécurité.

  • Veillez à mettre votre site à jour régulièrement pour éviter les failles de sécurité.
  • Installez un antivirus sur votre site et votre ordinateur.
  • Utilisez des mots de passe complexes avec des chiffres, des lettres, des majuscules et des caractères spéciaux. La CNIL peut vous aider à choisir un mot de passe complexe mais facile à retenir à l’aide de son générateur de mots de passe.
  • Chiffrez les données lorsque c’est nécessaire. Vous pouvez le faire gratuitement à l’aide de 7-zip.
  • Faites des sauvegardes régulières pour pouvoir récupérer les données en cas d’incident.
  • Prévenez immédiatement les personnes dont vous traitez les données en cas de piratage.

En résumé

Se mettre en conformité peut paraître complexe au premier abord, mais au final, avec un peu de méthodologie, c’est faisable (même si ça prend du temps) :

  • Rassembler les informations pour créer le registre des traitements de données.
  • Trier les données et supprimer celles qui ne sont pas obligatoires pour exercer votre activité.
  • Informer les visiteurs de la récolte de leurs données personnelles.
  • Permettre aux visiteurs d’exercer leurs droits facilement.
  • Sécuriser les données personnelles que vous récoltez. 

Un conseil : plus vous commencerez tôt, plus il sera simple d’être en conformité avec la législation. 

Je sais que ce n’est pas toujours facile de s’y retrouver dans les méandres juridiques. Heureusement, Henri et Jean-Philippe, deux avocats experts sur le sujet, vous donnent la méthode gratuite à suivre pas à pas pour mettre votre business en conformité avec la loi. 

Dans leur masterclass gratuite, vous découvrirez aussi :

  • Les risques juridiques que vous encourez en cas d’illégalité
  • Les 5 (+1) documents obligatoires pour vendre en ligne légalement
  • Les 3 erreurs à éviter pour établir vos documents juridiques.

Ces articles pourraient également vous intéresser :

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Cet article t’a plu ?
Partage-le sur Pinterest

>