fbpx

RGPD : 4 règles à connaître pour un site Internet conforme

Si vous envisagez de créer un site Internet, il y a une problématique fondamentale à laquelle vous ne pouvez pas échapper : la protection des données.

Depuis 2018, le Règlement européen de la protection des données (RGPD) encadre strictement la collecte et l’usage des informations personnelles des internautes. En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui est chargée de faire respecter le RGPD. 

Jusqu’à présent, la CNIL s’en tenait à de simples avertissements faits aux sites Internet qui ne respectaient pas le RGPD. Il existait, en effet, un délai de carence, qui a pris fin en 2021. Désormais, les entreprises qui ne sont pas « RGPD compliant » s’exposent à de lourdes sanctions. L’amende peut représenter jusqu’à 4 % du chiffre d’affaires annuel, voire atteindre les 20 millions d’euros !

Le RGPD n’est donc pas à prendre à la légère. Pour vous aider à suivre ses principes, nous vous partageons les 4 grandes règles à connaître pour un site e-commerce conforme. 

Mais, avant cela, revenons sur les notions clés liées aux RGPD. 

RGPD : les grands principes 

Le RGPD (ou GDPR en anglais) encadre la collecte et traitement des données personnelles des internautes dans l’Union européenne. 

Ces données personnelles sont toutes les informations qui peuvent servir à l’identification d’une personne. Il peut s’agir d’un identifiant, d’un nom, d’un numéro ou d’une géolocalisation, par exemple.

Le RGPD oblige ainsi les entreprises à demander leur consentement aux propriétaires des données afin de les collecter et de les utiliser à des fins marketing. Cela s’applique aux informations récoltées via un formulaire de contact, un avis client ou la création d’un compte sur votre site Internet. 

Le RGPD concerne également les cookies. Ce sont de petits fichiers stockés sur votre terminal de navigation, associés à un nom de domaine. Ils servent, par exemple, à : 

  • Mémoriser un identifiant client, 
  • Sauvegarder le contenu d’un panier d’achat sur un site e-commerce,
  • Suivre la navigation d’un internaute afin de réaliser des statistiques, etc. 

Vos obligations vis-à-vis du RGPD 

En tant que responsable éditorial·e du site Internet, vous êtes soumis à certaines obligations pour vous assurer d’être en conformité avec le RGPD.

Vous devez notamment : 

  • Vous assurer que le consentement de l’internaute soit éclairé, univoque et explicite
  • Sécuriser les données des internautes : vous assurez l’intégrité et la protection des données collectées, tout en minimisant les risques en cas de perte (dans le cadre d’un piratage, par exemple) ; 
  • Tenir un registre de données : celui-ci permet de prouver que vous avez obtenu le consentement des internautes, et à quel moment (la CNIL fournit un exemple ici) ; 
  • Garantir le droit au retrait : un internaute peut réclamer à tout moment de ne plus converser et utiliser ses données personnelles, même s’il a préalablement donné son consentement. 
  • Informer les internautes : ils doivent savoir quelles données vous collectez, ainsi que quand et comment, ce que vous en faites (traitement, stockage) et si, éventuellement, des tierces parties y ont accès.

Ce dernier point est important. Vous devez obligatoirement informer les internautes si leurs données sont transmises à des partenaires ou des sous-traitants. Eux aussi sont soumis à la réglementation sur la protection des données. 

Enfin, malgré toutes vos précautions, il se peut que vous soyez victime d’un acte malveillant. Le risque zéro n’existe pas. C’est justement à cause de la multiplication des services en ligne, et de l’utilisation frauduleuse de données, que le RGPD a été instauré. Par conséquent, en cas de violation de données, il est impératif de le signaler à la CNIL, directement sur leur site Internet.

Conformité RGPD : 4 règles à appliquer à votre site Internet

  1. Obtenir le consentement aux cookies 

C’est désormais la première chose que l’on voit apparaître lorsqu’on navigue sur un site Internet : le bandeau pour accepter ou refuser les cookies. Celui-ci est obligatoire depuis l’entrée en vigueur du RGPD en 2018. 

Mais, sa seule présence ne suffit pas. Pour que votre site Internet soit conforme à la réglementation, le bandeau de consentement aux cookies doit d’abord présenter les boutons « Accepter » et « Refuser » au même niveau et avec la même visibilité. Cela signifie que vous ne devez pas inciter l’utilisateur à choisir l’un plus que l’autre.

L’internaute doit aussi avoir accès aux boutons « En savoir plus » et « Personnaliser ». Le premier lui permet d’obtenir plus d’informations sur les cookies, ainsi que votre politique en la matière. Le second sert à personnaliser ses préférences de consentement : l’internaute peut choisir d’accepter certains paramètres, mais d’en refuser d’autres.

Ces quatre boutons sont indispensables pour respecter le RGPD en France. Notez, par ailleurs, que ce consentement doit être renouvelé tous les 13 mois

Popup de cookie conforme RGPD
Exemple de bandeau de consentement aux cookie sur le site e-commerce de showroomprive.com 
  1. Demander le consentement pour toutes les informations collectées 

Les cookies ne sont pas les seuls moyens de récolter de l’information sur les visiteurs de votre site Internet. Vous pouvez aussi collecter des données grâce à votre formulaire de contact ou à la création d’espace client. D’ailleurs, cela s’applique aussi si vous collectez des informations papier (via un questionnaire en boutique, par exemple). 

Ainsi, vous devez aussi obtenir le consentement des internautes si vous comptez utiliser les données récoltées grâce à ces fonctionnalités. Pour cela, une case à cocher avec la mention « J’ai lu et j’accepte la politique de confidentialité » suffit.

La politique de confidentialité est un des éléments clés à ajouter à votre site Internet pour être en conformité avec le RGPD. 

  1. Ajouter une politique de confidentialité à votre site Internet

La politique de confidentialité est une page d’informations indispensable, à ajouter obligatoirement à votre site Internet pour se conformer au RGPD. 

Celle-ci présente les engagements de votre entreprise vis-à-vis de la collecte et du traitement des données personnelles. C’est donc un document juridique essentiel, qui résume les droits des internautes et qui doit, de fait, être facilement accessible. Nous vous conseillons de l’intégrer dans le footer de votre site web. 

La politique de confidentialité détaille ainsi : 

  • L’identité du responsable du traitement des données ; 
  • La nature des données recueillies ; 
  • L’objectif de la collecte de données personnelles ; 
  • Le cas échéant, le transfert des données personnelles vers un autre pays en dehors de l’Union européenne (où la loi sur le traitement des informations est différente) ; 
  • Les mesures prises par l’entreprise pour sécuriser les données des internautes ;
  • La possibilité pour l’internaute de faire une réclamation auprès de la CNIL ; 
  • La possibilité pour l’internaute de modifier ou de supprimer ses données. 

Cette page clé de votre site Internet mentionne également la politique en matière de cookies. Elle liste ainsi tous les outils de suivi utilisés pour collecter des données, et à quels fins. Par exemple, si vous utilisez Google Analytics, vous devrez le stipuler dans la politique de confidentialité. 

  1. Ajouter des mentions légales à votre site Internet 

Au même titre que la politique de confidentialité, les mentions légales sont une page obligatoire sur votre site Internet. L’internaute doit les trouver aisément : c’est pour cette raison qu’on la place généralement dans le menu de pied-de-page. 

Les mentions légales sont toutes les informations qui permettent à l’internaute de vous identifier. Elles contiennent ainsi : 

  • Les coordonnées de votre entreprise (raison sociale, adresse, email, numéro de téléphone…) ;
  • Votre numéro d’identification (numéro RCS), s’il s’agit d’une activité commerciale ;
  • Le nom du directeur de publication et le responsable de la rédaction (c’est-à-dire la personne responsable des contenus sur votre site Internet) ; 
  • Les coordonnées de l’éditeur du site web et de l’hébergeur (par exemple, si vous créez une boutique en ligne Shopify, vous indiquez les coordonnées de Shopify) ;
  • Le cas échéant, vous pouvez aussi ajouter vos conditions générales de vente (celles-ci peuvent aussi faire l’objet d’une page à part entière sur votre site Internet).
RGPD 2
En pied-de-page de ce site e-commerce, on retrouve dans la rubrique « Informations » les liens vers les pages « Données personnelles » (politique de confidentialité) et « Mentions légales ».
  1. Conserver les preuves du consentement à la collecte de données

Pour vous assurer de la conformité de votre site Internet au RGPD, vous devez enfin tenir un registre de traitement de données. Celui-ci est obligatoire pour toutes les entreprises, peu importe leur taille ou leur secteur d’activité, du moment qu’elles collectent et utilisent des données personnelles.

Le registre de traitement des données recense toutes les informations personnelles et ce que vous en faites. Il détaille notamment : 

  • les différentes catégories de données, 
  • Le temps durant lesquels vous les conservez,
  • Leur utilité (à quoi elles servent), 
  • Les parties prenantes (qui y a accès)
  • La façon dont elles sont sécurisées, etc. 

Au-delà de sa fonction de pilotage, le registre de traitement des données permet surtout de prouver que vous respectez le RGPD. Sa création et sa tenue vous donnent l’occasion de vérifier votre conformité vis-à-vis des différents articles de la loi européenne. Vous pouvez ainsi établir un plan d’action adéquat pour éviter tout aléa en cas de contrôle. 

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site est protégé par reCaptcha et le GooglePolitique de confidentialité etConditions d'utilisation appliquer.