Comprendre rapidement le RGPD pour votre site Internet

Vous disposez d’une équipe web ou vous sous-traitez la gestion de votre site web ?

Dans les 2 cas, la conformité RGPD est impérative. En interne, vous devrez nommer un Responsable du traitement des données, et, en externe, vous devrez vous assurer que votre sous-traitant (qui traitent des données en votre nom) est bien conforme au RGPD.

Nous nous inspirons ici du parcours en 4 étapes proposé sur le site de la CNIL :

1 / Constituez un registre de vos collectes et traitements de données

Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données.

Créez une fiche pour chaque activité recensée, en précisant :

L’objectif poursuivi ;
Les catégories de données utilisées ;
Qui a accès aux données ;
La durée de conservation de ces données.

Téléchargez ici le modèle de registre de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

Note : L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille. Pour les entreprises de moins de 250 salariés, des dérogations s’appliquent dans la tenue de ce registre.

2/ Vérifiez les données que vous traitez

Pour chaque fiche créée, vérifiez que : A/ Les données que vous traitez sont nécessaires à vos activités ; B/ Vous ne traitez aucune donnée dite « sensible » ; C/ Seules les personnes habilitées ont accès aux données dont elles ont besoin et D/ Vous ne conservez pas vos données au-delà de ce qui est nécessaire.

3/ Respectez les droits des personnes

A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information*.

3.1 Vous devez informer les personnes : A/ Pourquoi vous collectez les données ? B/ Ce qui vous autorise à traiter ces données. C/ Qui a accès aux données ? D/ Combien de temps vous les conservez ? E/ Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits.

3.2 Vous devez permettre aux personnes d’exercer facilement leurs droits : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement.

Pour votre site web, prévoyez un formulaire de contact spécifique, un numéro de téléphone ou une adresse de messagerie dédiée.

Note : le droit d’accès peut s’exercer par écrit ou sur place. Le délai de réponse maximal est de 2 mois.

Exemple de mention sur un formulaire de site web.

⍈ En soumettant ce formulaire, j’accepte que les informations qui y sont saisies soient utilisées pour me contacter dans le cadre de la relation commerciale qui découle de cette demande de devis.

Les informations recueillies dans ce formulaire de demande de devis. sont enregistrées dans un fichier informatisé par ENTREPRISE pour la gestion commerciale et l’information des produits et services de la société. Dans le cas où nous souhaiterions utiliser vos données pour une autre finalité que celle pour laquelle nous les avons obtenues, nous vous demanderions à nouveau votre consentement** pour ce nouveau traitement. Pour connaître et exercer vos droits, notamment de retrait de votre consentement à l’utilisation des données collectées, veuillez consulter notre politique de confidentialité. Elles sont conservées pendant 24 mois et sont destinées à :

– ENTREPRISE en qualité de propriétaire du site web et récipiendaire des formulaires,

– HÉBERGEUR en qualité d’hébergeur de nos sites web,

– ROUTEUR en qualité d’opérateur des e-mailings,

– PRESTATAIRE en qualité d’hébergeur de nos données dans le Cloud.

4/ Sécurisez vos données

Vous devez prendre les mesures nécessaires pour garantir au mieux la sécurité des données. Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez. Effectuez des sauvegardes régulières et stockez vos données en plusieurs lieux.

Si vos utilisateurs doivent s’identifier en ligne, prenez ces mesures :

N’acceptez pas de mots de passe trop simples.
Utilisez, si possible, un mécanisme d’authentification.
Contrôlez ce que les moteurs de recherche indexent.

** A propos du recueil du consentement (Source : CNIL)

Pour les particuliers (B to C)

Le principe : pas de message commercial sans accord préalable du destinataire

La publicité par courrier électronique est possible à condition que les personnes aient explicitement donné leur accord pour être démarchées, au moment de la collecte de leur adresse électronique.

Deux exceptions à ce principe :

si la personne prospectée est déjà cliente de l’entreprise et si la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise.
si la prospection n’est pas de nature commerciale (caritative par exemple)

Dans ces deux cas, la personne doit, au moment de la collecte de son adresse de messagerie, être informée que son adresse électronique sera utilisée à des fins de prospection et être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

Pour les professionnels (B to B)

Le principe : information préalable et droit d’opposition

La personne doit, au moment de la collecte de son adresse de messagerie

être informée que son adresse électronique sera utilisée à des fins de prospection,
être en mesure de s’opposer à cette utilisation de manière simple et gratuite.

L’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée. Les adresses professionnelles génériques de type (info@, contact@, etc.) sont des coordonnées de personnes morales. Elles ne sont pas soumises aux principes du consentement et du droit d’opposition.

En savoir plus sur :

la publicité par voie électronique : https://www.cnil.fr/sites/default/files/atoms/files/_commerce-donnees_perso_publicite_electronique.pdf
les achats en ligne :https://www.cnil.fr/sites/default/files/atoms/files/commerce_et_donnees_personelles.pdf

Articles qui pourraient également vous intéresser