Peu importe la façon dont vous avez décidé de l'appeler : Règlement Général sur la Protection des Données, aussi connu sous le nom RGPD pour les fans d'acronymes, ou "General Data Protection Regulation" (GDPR) pour les bilingues... la RGPD est devenue l'un des nouveaux cauchemars des entreprises.
Ce règlement a pour objectif d'encadrer le traitement des données personnelles et permet aux citoyens de mieux contrôler l'utilisation qui est faite de leurs données.
Le Règlement Général sur la Protection des Données (RGPD) a été promulgué en 2016 et est entré en vigueur le 25 mai 2018 pour l'ensemble des entreprises et organismes faisant partie de l'Union Européenne.
Si vous êtes déjà plutôt calé(e) sur tout ce qui est données personnelles, transparence et consentement, vous pouvez sauter les quelques paragraphes suivants pour vous rendre directement à la
liste des mentions obligatoires pour mettre votre site en conformité avec la RGPD.
Petit dictionnaire de la RGPD
Donnée personnelle
Selon la
CNIL, une donnée personnelle est "
toute information se rapportant à une personne physique identifiée ou identifiable". Pour faire simple, cela regroupe : un nom, prénom, identifiant (identifiant client, numéro de sécurité sociale...), numéro de téléphone ou encore une donnée biométrique. Là où ça se complique un peu, c'est que certaines informations que vous avez peut-être dans votre base de données marketing comme une adresse, un âge, des centres d'intérêt ou des comportements d'achat peuvent constituer des données personnelles quand elles sont combinées entre elles.
Traitement des données personnelles
Si vous avez un formulaire de contact, un module d'inscription à une newsletter ou encore une boutique en ligne, vous récoltez et traitez forcément des données personnelles. Dès que vous collectez, enregistrez, structurez, consultez ou utilisez ces données personnelles vous procédez à un "traitement de données personnelles". Tout traitement de données doit avoir un objectif clair, légitime et légal comme traiter une commande, répondre à une demande d'information, envoyer une newsletter...
Transparence & consentement : 2 notions au coeur de la RGPD
Le Règlement Général sur la Protection des Données se base sur 2 grands principes : la transparence et le consentement.
Transparence
La RGPD a été créée pour protéger les internautes. Il va donc de soi que les utilisateurs soient informés des données qui sont collectées sur eux ainsi que sur la finalité de cette collecte de données. Ne récoltez que les données qui sont nécessaires à votre stratégie. Oubliez les "au cas-où" et concentrez-vous sur les données vraiment utiles.
Le principe de transparence impose aux utilisateurs :
- de connaître la raison de la collecte de données ;
- de comprendre le traitement fait de ces données ;
- d'assurer la maîtrise de leurs données en facilitant l'exercice de leurs droits.
Consentement
Ne collectez jamais les données de vos internautes sans leur accord. Vous devez obligatoirement recevoir l'accord explicite de l'internaute avant de procéder à toute collecte.
Selon la CNIL, "le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement de ses données personnelles."
L'utilisateur
peut révoquer son consentement à tout moment et vous devez mettre tout en place pour permettre aux internautes d'exercer leurs droits. Pour en savoir plus sur ces droits,
cliquez ici.
Liste des mentions obligatoires pour votre site internet
Pour mettre votre site en conformité avec la RGPD, certaines mentions doivent obligatoirement apparaître sous peine d'amende d'un montant de 1500 €. Ces informations doivent également être facilement accessibles, c'est pourquoi nous vous recommandons de créer un lien dans le footer de votre site permettant d'accéder à vos textes légaux.
Identification & activité
Dénomination ou raison sociale de la société ;
Adresse du siège social ;
Numéro de téléphone & adresse e-mail ;
Forme juridique de la société ;
Montant du capital social ;
Nom du directeur ou co-directeur de la publication ;
Nom, dénomination ou raison sociale, l'adresse et l'email de l'hébergeur;
Pour une activité commerciale :
N° d'inscription au registre du commerce et ses sociétés ;
N° individuel d'identification fiscale ;
Conditions Générales de Vente ;
Ces mentions obligatoires relatives à l'identification et l'activité de votre entreprise peuvent varier selon le type de professionnels et le type d'activités. Pour plus d'informations, consultez le
site du service public.
Données personnelles
Coordonnées du Délégué à la Protection des Données (DPO) s'il existe ou un contact (une adresse email dédiée) pour la gestion des données personnelles ;
Nommer un DPO n'est pas une obligation sauf pour les autorités publiques et certains organismes qui manipulent des données sensibles (assurance, banque, opérateur téléphonique, fournisseur internet...).
Finalités de traitement des données récoltées (exemples : expédier une commande, répondre aux demandes de contact, réaliser des statistiques...) ;
La base légale du traitement des données (exemples : consentement préalable des personnes concernées, respect d'une obligation prescrite par la loi) ;
Caractère obligatoire ou facultatif de la collecte des données et les conséquences pour l'internaute ;
Destinataires ou catégories de destinataires des données : sous-traitants, prestataires, personnels internes habilités ;
Rappel des droits des internautes ;
Droit d'accès : droit de demander au responsable de traitement d'accéder à ses données personnelles et de vérifier les données détenues sur soi ;
Droit de rectification : droit de demander la rectification ou l'effacement de ses données ;
Droit d'effacement : droit de retirer son consentement à tout moment (dans le cas où la collecte est fondée sur la base du consentement) ;
Droit d'opposition : droit de s'opposer, pour des motifs légitimes, au traitement de ses données ;
Droit de limitation : droit de demander la limitation du traitement de ses données ;
Droit de portabilité : droit de récupérer vos données personnelles pour un usage personnel ou pour les transférer à un autre organisme.
Spécifiez les transferts de données à l'extérieur de l'Union Européenne (prestataires, sous-traitants...) s'ils existent ;
Mention du droit de soumettre une réclamation auprès de la CNIL.
Cookies
Informer de manière claire l'utilisateur du dépôt de cookies et cookies tiers sur son terminal ainsi que leur finalité ;
Récolter le consentement préalable de l'utilisateur pour pouvoir déposer des cookies sur son terminal ;
Donner la possibilité à l'internaute de modifier et retirer son consentement à tout moment.
Bon, on vous avoue que la dernière partie sur les cookies peut paraître un peu vague et opaque... Pas de panique ! On détaille juste en dessous comment faire concrètement pour répondre aux exigences de la RGPD en matière de cookies.
Les cookies : comment se mettre en conformité concrètement ?
Ils ont beau porter un joli nom et vous verrez peut-être certains sites utiliser une image de biscuit pour en parler, les cookies qui nous occupent n'ont pas de quoi mettre l'eau à la bouche.
Un peu de vocabulaire d'abord
Un cookie est "un petit fichier déposé et lu sur votre terminal (ordinateur, tablette, smartphone) lorsque vous consultez un site internet ou installez une application mobile par exemple."
Ces
petits fichiers peuvent être déposés par vous ou par d'autres services comme vos prestataires ou sous-traitants : on les appelle alors les
cookies tiers. Avant de déposer des cookies sur le terminal de votre internaute, vous devez
obligatoirement recueillir son consentement de manière claire et non équivoque.
Cliquez ici pour en savoir plus sur le consentement.
La CNIL
recommande la suppression des cookies au bout de 13 mois.
Les différents types de cookies et leurs finalités
Cookies techniques (ou fonctionnels)
Ces cookies permettent de faciliter la navigation sur un site internet, ainsi que l'accès à différents produits, services ou fonctionnalités. Ce sont des cookies dits "essentiels". Ces cookies ne sont généralement pas configurables, car le refus de ceux-ci rendrait votre site inaccessible ou réduirait le confort d'utilisation et l'expérience utilisateur.
Cookies de performance et de mesure d'audience
Ces cookies permettent de réaliser des statistiques du site comme le nombre de visites, les pages les plus consultées, les sources de trafic pour mesurer et améliorer les performances du site. Si vous utilisez un outil comme Google Analytics, vous déposez forcément ce type de cookies. Ces cookies sont configurables et l'internaute peut les refuser.
Cookies de ciblage ou publicitaires
Ces cookies peuvent être installés sur votre site par vous ou vos partenaires publicitaires. Ils permettent par exemple de mettre en place votre stratégie de remarketing : les cookies de ciblage sont utilisés pour créer un profil des intérêts de vos internautes pour leur montrer des publicités pertinentes de vos produits sur d'autres sites. Tout comme les cookies de performance, ces cookies sont configurables.
Notre recommandation : listez tous les cookies et cookies tiers déposés sur votre site (YouTube, Google Analytics, Google Tag Manager etc). La loi n'exige pas de lister dans le détail tous les cookies, mais de les rassembler par grandes catégories (fonctionnels, statistiques, marketing ...). Pour les cookies tiers, n'hésitez pas à renvoyer les internautes vers les politiques de cookies et de confidentialité des services tiers en question.
Cookies : comment recueillir le consentement de vos internautes ?
Dès la première visite de l'internaute sur votre site, vous devez obtenir son consentement pour le dépôt des cookies sur son terminal. Ce consentement doit être clair, non équivoque et se fait dès l'arrivée de l'internaute sur votre site.
Oubliez l'adage "qui ne dit mot consent" ! La récolte du consentement se fait généralement par une case à cocher ou le clic sur un bouton. Attention : le défilement de la page, les cases cochées par défaut et l'inactivité ne valent pas consentement.
La bannière cookies
Pour récolter le consentement de l'internaute, vous pouvez mettre en place une bannière de consentement dans laquelle vous :
Informez l'utilisateur du dépôt de cookies et cookies tiers sur son terminal ;
Renvoyez vers le texte légal qui détaille les types de cookies déposés et leurs finalités ;
Proposez des boutons de consentement :
Un bouton "Accepter" ou "Tout accepter" qui permet à l'internaute d'accepter tous les cookies sans exception : fonctionnels, statistiques, marketing...
Un bouton "Paramétrer" qui permet à l'internaute de désélectionner certaines catégories de cookies notamment les cookies statistiques et marketing.
Optionnel : Un bouton "Tout refuser" qui aura pour conséquence de forcer l'internaute à quitter votre site.
Exemple de bannière de consentement
Exemple de fenêtre de paramétrage en fonction des types de cookies
Vous devez également donner la possibilité à l'internaute de retirer son consentement à tout moment. Cela peut passer par l'intégration d'un bouton dans vos textes légaux renvoyant vers le panneau de configuration de cookies.
Données personnelles : comment recueillir le consentement ?
Les cookies ne sont pas les seuls à faire l'objet d'un consentement. Il vous faut aussi obtenir le consentement des internautes lors de la collecte de leurs données personnelles.
Par exemple, quand les visiteurs soumettent une demande via votre formulaire de contact ou s'inscrivent à votre newsletter, vous devez les informer clairement que leurs données sont collectées et la finalité de cette collecte. Le consentement se récolte en général par une case obligatoire à cocher :
Exemple de demande de consentement | Formulaire de contact
Notre recommandation RGPD : créer 3 textes distincts pour plus de transparence
Pour plus de lisibilité, et bien que cela ne soit pas obligatoire, nous vous recommandons de rédiger trois textes distincts :
Des Conditions Générales d'Utilisation comprenant les mentions relatives à l'identification et l'activité ;
Si les Conditions Générales d'Utilisation (CGU) ne sont pas une obligation légale, la rédaction de ces dernières permet d'encadrer l'utilisation de votre site, informer les utilisateurs sur les fonctionnalités proposées tout en rappelant que tous les éléments du site (textes, vidéos, photos, logos...) sont protégés par la propriété intellectuelle. Oui, parce que si on se doute que vous avez sûrement autre chose à faire que de rédiger des CGU que peu de personnes liront, n'oublions pas qu'en plus d'un rôle d'information à destination des utilisateurs, les CGU sont comme un "contrat" passé entre vous et les utilisateurs. Les CGU ont aussi pour but de vous protéger en tant qu'éditeur du site.
Une Politique de Confidentialité reprenant toutes les mentions liées aux données personnelles et au traitement de celles-ci ;
Une Politique de Cookies comportant les éléments liés au dépôt de cookies et à leur gestion.
Pour aller plus loin...
On espère que cet article vous aura aidé à y voir un peu plus clair. Toutefois, la mise en conformité de votre site internet n'est que la partie visible de l'iceberg RGPD. Il vous faudra aussi vous poser la question de l'archivage des données, la sécurisation de celles-ci ou encore leur destruction.
Pour plus d'informations, vous pouvez consulter le
site officiel de la CNIL. Si vous êtes plutôt vidéo, vous pouvez suivre la
formation en ligne proposée par la CNIL.
