C’est le Graal de la conformité RGPD ! Mais ce n’est pas nouveau pour autant. En effet, la CNIL avait mis en place un formulaire de déclaration de « collecte de données » sur son site depuis 1997. Même si dans les années 2000, la CNIL avait allégé ses conditions, il était toujours de bon ton de déclarer son site à cet organisme.

• Qu’est-ce qu’une Politique de Confidentialité ?

C’est le carnet de bord du site Internet et de son gérant, responsable, webmaster, qui détaille précisément comment et pourquoi ce dernier compte récolter vos données.

Dans cette politique il vous sera expliqué différents points:

• Le type de données collectées (ex: nom, prénom, date de naissance, adresse, etc..).
• Pour quelles raisons ? Le nom afin de vous identifier, votre date de naissance pour vous envoyer une offre au moment de votre anniversaire, votre adresse pour vous envoyer un colis.
• La durée de conservation de ces données. La durée varie selon le type et la raison du traitement de vos données, par exemple dans le cas d’une commande sur Internet, le site peut garder vos informations de commande pendant un certain temps défini dans ladite Politique de Confidentialité. Mais le règlement RGPD impose une durée maximale de conservation après une absence de visite de l’internaute sur votre site.
• L’indication au cas où vos données sont partagées avec des services tiers comme Google ou un système publicitaire et à quelles fins.
• Comment sont protégées vos données personnelles et quels sont les processus mis en oeuvre par le site et son responsable afin de garantir une sécurité maximale des bases de données.
• La protection des mineurs, le cas-échéant. Cela dépend en effet du type de site que vous diffusez, un site de rencontre ou de pari ou de jeux.
• L’utilisation des cookies de fonctionnement et d’analyse; expliquer pourquoi vous les utilisez. Vous devez aussi laisser la possibilité à l’internaute de choisir quels cookies seront utilisés lors de son surf sur votre site.
• Les actions prévues en cas de « fuite de données ». Vous devez respecter un processus établi dans le cadre de la RGPD : vous avez 72 heures pour prévenir la CNIL et votre internaute qui aurait été victime d’un vol de données dans le cadre d’un piratage de votre base de données.
• Un détail sur la possibilité de gestion de vos données personnelles (consultation, modification, portabilité, transfert et suppression « droit à l’oubli »).
• Et pour finir toutes les possibilités de contact auprès du responsable de la Gestion des Données personnelles avec au minimum :
  • Une adresse email dédiée (ex: [email protected]) que vous pouvez transférer automatiquement sur votre adresse habituelle.
  • Une adresse postale où vous pourrez réclamer au demandeur une copie de sa pièce d’identité.
  • Le mieux est de mettre un formulaire sur votre site pour que l’internaute puisse dès son identification gérer lui-même ses demandes.

Durant toutes ces années, vous avez collecté de nombreuses données à caractère personnel (email, nom, pseudos, adresse, etc….). Aujourd’hui, il faut repartir au contact de ceux existant et les informer du changement de votre Politique de Confidentialité. Vous devrez obtenir leurs consentements à l’aide de formulaires et / ou de newsletter. NB vous devrez prouver en cas de contrôle de la CNIL que tous les propriétaires de données personnelles ont accepté votre nouvelle politique de confidentialité.

• La première solution

C’est de créer une newsletter ou un email pour les informer des nouveaux changements sur votre site Internet et de son passage aux normes RGPD.

Il ne faudra pas oublier dans cette newsletter ou email de les rediriger vers un formulaire de consentement à la nouvelle politique de confidentialité.

• La seconde solution

Vous pouvez tout simplement vider votre base de données des données personnelles existantes et en profiter pour partir à la « chasse » de nouveaux abonnés pour votre site. Puisque dans votre nouveau formulaire d’inscription vous aurez déjà tout mis en place pour que le nouvel abonné lise et accepte votre Politique de Confidentialité.

Le texte européen est très clair sur ce sujet : il faut mettre en place à chaque occasion de collecte de données une information simple et précise sur votre Politique de Confidentialité.

• La fameuse case à cocher sur l’acception de votre Politique de Confidentialité

Cette case ne doit plus être pré-cochée. En effet, pendant longtemps de nombreux sites n’hésitaient pas à pré-cocher la case en jouant sur le fait que l’internaute ne s’attardait pas sur les politiques établies (d’utilisation, de vente et de confidentialité). Ce qui était complètement illégal.

Dorénavant cette case non pré-cochée devra être suivie de la mention:

« En cochant cette case, j’accepte que « tel type de données » soit utilisée pour « tel type d’utilisation » conformément à la Politique de Confidentialité du site patriceinformatique.com .

Vous devrez ajouter une ligne supplémentaire pour chaque type d’utilisation, exemple :

• En cochant cette case, j’accepte que mon email soit utilisé pour l’envoi de newsletter conformément à la Politique de Confidentialité du site patriceinformatique.com

OU / ET 

• En cochant cette case, j’accepte que mon numéro de téléphone soit utilisé pour l’envoi par la société « sms presto » de sms promotionnels, conformément à la Politique de Confidentialité du site patriceinformatique.com

NB: si vous utilisez un service tiers, pensez à ajouter la Politique de Confidentialité de ce service tiers dans votre propre Politique de Confidentialité.

C’est aussi une porte d’entrée sur votre site, une manière simple pour de nombreux internautes d’être présents dans votre base de données. C’est aussi un danger pour les données personnelles que vous traitez ! Il est important de bien gérer cette partie car elle permet à de nombreux spammeurs ou robots automatisés de déposer des liens Internet qui peuvent être parfois dangereux…

• La première solution

C’est de forcer l’internaute à s’inscrire sur votre site en passant par toutes les vérifications d’un formulaire d’inscription bien établi. Avec cette méthode, vous ferez grandement le ménage et augmenterez la qualité de vos intervenants sur votre site.

Grâce aux deux cases à cocher sur le formulaire d’inscription, l’acceptation de vos conditions générales d’utilisation et de votre politique de confidentialité, vous vous protégerez contre d’éventuels débordements.

Et puis il faudra certainement revenir à la vérification des commentaires par vos soins avant publication afin d’être encore plus tranquille et sécurisé.

• La seconde solution

C’est de vous servir des réseaux sociaux auxquels votre site est lié comme Facebook, Twitter ou autres, pour n’autoriser la publication de commentaire uniquement par ce biais.

C’est un avantage énorme, non seulement votre internaute partage votre publication dans son cercle d’amis ou en public et le commente et il devient alors votre meilleur agent publicitaire. En cas de commentaire négatif, soit vous jouez le jeu de répondre sur votre réseau social ou vous pouvez aussi le supprimer.

De plus, à ce moment-là ce sont les Politiques de Confidentialité des réseaux sociaux qui prennent le relais. Vous n’avez qu’à indiquer dans votre propre Politique de Confidentialité la corrélation des dites politiques entre les différents réseaux sociaux.

• La troisième solution

De nombreux sites Internet, dits Vitrine, n’ont pas besoin qu’un internaute publie un commentaire. En effet, ces sites ne sont là que pour présenter leurs activités, qu’elles soient professionnelles ou commerciales.

Généralement, c’est une page Facebook ou Google Business qui prend le relais des commentaires.

Il suffit d’interdire les commentaires sur votre site et vous êtes tranquille.

Nombreux sont ceux qui ont des sites déjà âgés et qui ne nécessitaient pas forcément de mises à jour importantes pour fonctionner.

Les temps ont bien changé et les acteurs du net se sont arrangés pour faire vivre ce marché de la création, gestion, sécurité et promotion des sites Internet mondiaux.

La mise en sécurité de votre site avec le protocole https: cela garantit une communication cryptée entre l’internaute et vous. Le passage en https de votre site est une obligation de la RGPD, (plus d’infos mon article https://patriceinformatique.com/votre-site-internet-est-il-pret-pour-juillet-2018.)

• La première solution

C’est de contacter le développeur de l’époque de votre site pour une sérieuse mise à jour. Vous risquez de tomber sur de nombreux problèmes de compatibilité entre les fonctionnalités de votre site et la nouvelle réglementation.

• La seconde solution

C’est d’envisager la refonte de votre site Internet avec un système actuel, généralement un CMS (Content Management System) comme celui que j’utilise: en l’occurrence WordPress.

Cette solution vous permettra d’avoir un site aux normes, plus sécurisé, plus dynamique, plus actuel et plus fonctionnel.

Dans les deux cas, préparez-vous à un budget conséquent car si vous voulez continuer à être présent sur Internet et plaire à Google, il faudra vous mettre absolument à jour des nouvelles normes, sous peine d’être blacklisté et positionné dans les lymbes des moteurs de recherche.

Comme indiqué dans le paragraphe précédent, il est primordial d’actualiser votre site aux nouvelles normes d’Internet que ce soit en matière de codage, en matière de protection de vos bases de données et la manière dont vos internautes se comportent sur votre site.

• Le choix de l’hébergeur de votre site Internet

C’est comme pour les voitures que j’aime bien prendre comme comparaison lorsque j’essaie d’expliquer à mes clients telles ou telles actions informatiques. Si vous choisissez une petite voiture peu puissante, sans ceinture de sécurité, pour un site Internet qui demande de rouler en berline avec airbags et ABS, le choix de votre hébergeur ne doit pas être pris à la légère.

Sa réputation. Vous trouverez de nombreux avis sur la qualité des différents hébergeurs de sites européens, je vous conseille en effet de rester dans le cadre de l’Europe cela évitera quelques incompréhensions en matière de RGPD.

• Les solutions de sécurité

Il y a deux types de solutions de sécurité:

• celles intégrées par défaut ou en option chez votre hébergeur.
• celles que vous pouvez ajouter à votre site Internet.

La première, la plus importante, c’est la mise en place du protocole HTTPS à l’aide d’un certificat numérique payant ou gratuit. Je vous conseille vivement pour des sites de moyenne importance, de choisir un certificat payant.

La deuxième, c’est de mettre en place des sauvegardes régulières. De nombreux hébergeurs vous proposent ce service gratuitement. Vous pouvez aussi mettre en place les vôtres à l’aide de modules, plugins, sans oublier de les crypter.

La troisième, c’est les utilitaires de sécurité que votre hébergeur peut vous proposer (Antivirus, antimalware, anti-DDOS) et celles que vous installerez sur votre propre site, comme la protection des accès à certains de vos fichiers, les « brutes forces » et bien d’autres possibilités qui feront de votre site une forteresse.

L’atout de votre nouvelle politique de gestion de votre site Internet, c’est la mise à jour régulière de votre système. Pour ma part, j’utilise le CMS WordPress pour plusieurs raisons, mais surtout pour une: ses mises à jour régulières et automatisées.  Ce qui me garantit une protection maximale des sites que j’ai en gestion.

C’est la partie un peu vague de nouveau règlement européen. Dans le texte, il est indiqué que dès lors qu’un site collecte une donnée, le responsable doit établir un registre de traitement de données. Mais une annotation de la CNIL indique que pour les entreprises de moins de 250 salariés ou que le traitement se limite à des données classiques, comme le nom, prénom, adresse, etc. le registre n’est pas obligatoire.

A contrario pour les données dites « sensibles » comme des informations médicales, des données bancaires, etc., le registre est obligatoire.

• Définir les risques lors du traitement des données de votre site Internet

• Si votre site est un simple blog, forum (non médical), vitrine avec un simple formulaire de contact, vous n’avez pas à vous inquiéter de cette partie. En effet, les données dont vous aurez besoin ne seront pas considérées comme « sensibles » et ne nécessiteront pas la mise en place d’un registre de traitement des données.

• Si votre site est plus important, comme une boutique en ligne, un système de réservation d’hôtellerie, ou un site associatif qui récolte des données « sensibles » (informations médicales, ou de revenus, etc.), il sera nécessaire de créer ce type de registre, de le garder précieusement et de le mettre à jour régulièrement. En cas de contrôle par la CNIL, il vous sera demandé.

Vous pouvez demander à des sociétés tierces de gérer cela pour vous. Ou si votre entreprise gère une grosse quantité de données « sensibles », de nommer un DPO (Data Protection Officer). Celui-ci sera chargé de vous accompagner dans la mise en place de la gestion des données de vos internautes, il est référencé auprès de la CNIL et a obtenu la certification pour vous aider dans vos différentes démarches de mise en conformité.

Comme le prévoit le texte de la RGPD, l’internaute doit pouvoir à tout moment accéder à la gestion de ses données personnelles.

Vous devez repenser votre site Internet en le modifiant ou en le construisant avec la notion de « Privacy by Design »: la conception, en pensant en priorité à la protection des données personnelle.

• Comment cela se traduit ?

Pour les sites Internet, il faut que dès le premier coup d’œil sur votre site, l’internaute puisse avoir l’information que votre site répond aux exigences de la RGPD.

À ce propos, il suffit de pas grand-chose pour indiquer aisément que votre site permet à l’internaute de gérer ses données personnelles :

• Ajouter un onglet dans votre menu principal, en l’appelant comme sur ce site: « Protection des données ».
• Ajouter, et c’est vivement conseillé, en bas de page tout vos onglets RGPD comme sur ce site :
  • Politique de confidentialité;
  • Utilisation des cookies;
  • Traitement des données personnelles.
• Pour ceux qui ont une barre latérale, y ajouter cette information et ces accès.

Qui sait ? dans quelques-temps un logo suffira pour indiquer à vos internautes que votre site répond aux normes RGPD.

• Mise en place d’un formulaire de gestion des données personnelles

Vous devez permettre à l’internaute de pouvoir vous faire une demande de gestion des ses données personnelles, soit à l’aide d’un formulaire de contact spécifique, soit à l’aide d’un module de gestion des données personnelles.

C’est la force de ce nouveau règlement: celui de respecter les droits de vos internautes, et cela, à la lettre.

Vous devez régulièrement consulter vos emails ou votre système des demandes de gestion des données personnelles car vous disposez d’un mois, pas un jour de plus, pour y répondre.

• Quels sont les droits de vos internautes ?

Comme indiqué plus haut, votre internaute à quatre droits fondamentaux à respecter :

• L’information claire et précise sur la gestion de ses données personnelles.
• La possibilité de consulter lui-même ses données personnelles;
• La possibilité d’effectuer lui-même, ou de vous demander, la modification de ses données personnelles;
• La possibilité d’effectuer lui-même, ou de vous demander, la portabilité de ses données personnelles;
• La possibilité d’effectuer lui-même, ou de vous demander, la suppression totale de ses données personnelles (droit à l’oubli).