Le RGPD : Avoir un site vitrine conforme au règlement

Site vitrine Conformité au RGPD

Dans l’épisode précédent de la saison 1 de notre série IZI TRICKS, nous avons passé en revue quelques notions fondamentales relatives au RGPD. Dans l’épisode de cette semaine nous vous proposons une liste (non exhaustive) d’actions et de points de vigilance à mettre en place dans le cadre de la mise en conformité d’un site internet vitrine.

Le site vitrine a pour objectif de présenter l’entreprise et ses activités et/ou ses produits. Pour cette raison, en général le site vitrine engendrera peu de traitements de données personnelles. Néanmoins, il est nécessaire de prendre certaines précautions pour rendre le site conforme aux dispositions du RGPD.

Informer le visiteur du site

Le RGPD pose pour le responsable du traitement une obligation d’information envers la personne concernée. L’information fournie doit être claire et précise; l’objectif étant de permettre à la personne concernée de comprendre les raisons du traitement et le traitement obligation d'information RGPD site vitrinede ses données personnelles, et de pouvoir exercer ses droits (droits d’accès, de rectification, etc.).

Actions à mener sur votre site vitrine

  • Sur votre site vitrine, vous pouvez prévoir une page portant les informations nécessaires relatives aux données personnelles. Ces informations peuvent être portées à l’attention du visiteur du site sur la page “mentions légales” et/ou ”politique de confidentialité”.
  • La page devra être accessible facilement et devra, obligatoirement, comporter l’identité du responsable du traitement, expliquer le traitement mis en oeuvre, ses finalités et expliquer les droits des personnes ainsi que la procédure mise en place pour pouvoir exercer lesdits droits.

 

Obtenir le consentement du visiteur du site avant un dépôt de cookies

Dans un premier temps, le responsable du traitement est tenu d’informer le visiteur du site de l’usage de cookies ou autres traceurs le cas échéant. Afin de se conformer à l’obligation d’information mentionnée ci-dessus, il devra préciser la raison pour laquelle les cookies sont utilisés.
Dans un second temps, Il doit obtenir le consentement explicite de la personne concernée avant de poser lesdits traceurs. Cela suppose que l’internaute doit pouvoir exprimer son acceptation ou son refus du dépôt de cookies sur son terminal avant le dépôt.
La durée de vie des cookies préconisée par la CNIL est de 13 mois. Au delà de cette période, le consentement de l’internaute devra de nouveau être recueilli.

Actions à mener sur votre site vitrine

  • Vous devez prévoir un bandeau d’information sur l’usage de cookies sur le site, le cas échéant avec la possibilité pour le visiteur du site de donner ou non son consentement.
  • Le bandeau doit figurer sur la page jusqu'à ce que l’internaute accepte ou refuse le dépôt de cookies ou continue sa navigation sur le site.

Cas des formulaires

Les sites vitrines peuvent comporter des formulaires (de contact, de demande de devis, etc.). Dans ce cas, il est nécessaire d’adapter le(s) formulaire(s) pour respecter les obligations d’information et de recueil de consentement.

Actions à mener sur votre site vitrine

  • En bas du formulaire, vous pouvez intégrer un texte explicatif reprenant succintement le traitement qui sera fait des informations personnelles collectées dans le formulaire et renvoyer à la page du site qui explique plus en détail l’usage fait des données personnelles collectées, en général, ainsi que l’exercice des droits des personnes.
  • Vous pouvez recueillir le consentement de la personne concernée via une case à cocher.

Avoir un site internet sécurisé

Il revient au responsable du traitement de s’assurer que le site vitrine est suffisamment sécurisé pour les utilisateurs, conformément au Principe de sécurité RGPD site vitrine principe d’intégrité et de confidentialité.

Actions à mener sur votre site vitrine

  • Vous devez vous assurer que votre site est bien doté du protocole HTTPS (protocole de sécurité).
  • Vous devez veiller à ce que vos collaborateurs (hébergeurs, développeurs, etc.) ayant accès à des données personnelles, respectent les dispositions du règlement.
  • Vous devez également vous assurer que les CMS (système de gestion de contenus à l’instar de Wordpress, Drupal, etc.) utilisés, le cas échéant, sont à jour et conformes.

Se responsabiliser

L’une des grandes nouveautés apportées par le RGPD est le principe de l’accountability. Il impose au responsable du traitement de prendre les mesures nécessaires afin de pouvoir démontrer qu’il est en conformité avec les dispositions du règlement.

Actions à mener sur votre site vitrine

  • Vous devez réaliser un inventaire des traitements mis en oeuvre sur votre site.
  • Vous devez cartographier les mesures prises pour un traitement conforme; la cartographie constituera un élément de preuve de conformité en cas de contrôle.

A découvrir dans le prochain épisode

La semaine prochaine, nous vous proposerons une liste de points de vigilance et d'actions à mettre en oeuvre pour un site e-commerce en conformité avec le RGPD.