On ne va pas se mentir : le RGPD n’est pas la partie la plus sexy quand on se lance dans un projet web. Durant les retrouvailles de la communauté WordPress au WordCamp Lyon 2022, l’agence 810 a pourtant choisi de mettre en avant un retour d’expérience afin de rendre compte de l’importance de concilier RGPD et site web dès les prémices d’un projet.
Nous avons en effet animé une conférence avec une grande spécialiste du RGPD et de la protection des données personnelles devant un public de passionnés. Il s’agit de Flore Châtelet, la fondatrice du cabinet Aporia. Nous avons collaboré avec Flore dans le cadre d’un projet client où le RGPD a eu une influence directe sur plusieurs aspects techniques du site internet, ce qui nous a mis quelques bâtons dans les roues.
Mentions légales obligatoires, gestion des consentements, restriction de certains profils utilisateurs, politique de confidentialité des données, conditions générales d’utilisation, gestion et utilisation des cookies durant la navigation : toutes ces obligations relatives au RGPD et à la sécurité des données vous donnent peut-être des sueurs froides.
Mais une mise au point reste une étape obligatoire pour assurer la conformité d’un site web au RGPD (Règlement Général sur la Protection des Données). Promis. Nous n’allons pas ouvrir les bouquins de droit et de vous assommer à coup de règles et d’articles émis par la CNIL.
L’idée est plutôt de vous donner des exemples concrets et accessibles, assortis des bonnes pratiques à suivre. Vous aurez ainsi toutes les clés pour mettre en ligne un site vitrine, un blog ou un e-commerce conforme au RGPD et garantissant la protection des données utilisateurs.
RGPD, protection des données et site web en 2023 : quésaco ?
Depuis 1978, date de la création de la loi informatique et liberté, et de la CNIL (la Commission Nationale de l’Informatique et des Libertés), les entreprises doivent prendre des mesures techniques et organisationnelles concernant la protection des données de leurs clients.
Ces mesures concernent par exemple l’organisation et la sécurité d’un site web ou d’une application, ou encore la gestion des données par les salariés d’une entreprise.
Lors de la création d’un site internet, les menaces sont nombreuses : vol de données, attaque par déni de service. Si les mesures techniques appropriées ne sont pas mises en place face à ces menaces, les sanctions peuvent être très lourdes en cas de violation des données.
RGPD et protection de la vie privée des internautes en 2023 : quels objectifs ?
Le RGPD a été instauré en 2018 : les entreprises sont donc censées le respecter, pour elles-mêmes comme pour leurs clients. Le RGPD vise quatre objectifs majeurs.
1 – Harmoniser les mesures de protection des données
Il s’agit de créer une cohérence au sein de l’Union Européenne en matière de protection des données.
2 – Éviter les risques de violation de données
Cela concerne par exemple les fuites de données via un formulaire de contact ou une plateforme interactive.
3 – Responsabiliser les entreprises en matière de collecte des données
Les sous-traitants et les prestataires responsables des projets web n’échappent pas à la règle. La CNIL peut se retourner contre eux en cas de fuite des données. L’article 28 de la CNIL est d’ailleurs très explicite à ce sujet.
4 – Respecter le droit des personnes sur leurs données
Comme l’a rappelé Flore lors de notre conférence au WordCamp Lyon 2022, les données collectées en ligne n’appartiennent pas aux entreprises, d’où le droit à l’oubli et à l’effacement des données personnelles, le droit à la portabilité, le droit d’accès, le droit de rectification, le droit à la limitation et le droit de donner des directives après un décès.
Comment atteindre ces 4 objectifs RGPD ?
Pas de conformité RGPD sans sécurisation des sites et des plateformes. Vous vous devez de protéger le site ou l’application que vous créez. Ce sont les cibles préférées des hackers, et de véritables portes d’entrée des attaques malveillantes !
Le conseil de Flore : Lorsque vous mettez en place une plateforme interactive, intégrez un bouton donnant la possibilité aux visiteurs et utilisateurs de récupérer leurs données et d’y accéder pour les rectifier. De super extensions et outils WordPress existent pour mettre en place cette bonne pratique.
Et la CNIL : plutôt conciliante avec les sites web non conformes au RGPD ?
Le manque de conformité au RGPD peut faire mal. Très mal. Le groupe Dedalus Biologie, qui commercialise des solutions logicielles pour des laboratoires d’analyse, a écopé d’une amende d’1,5 M€ pour fuite de données médicales et manque de sécurité des données, entre autres.
Autre cas. La CNIL a sanctionné la chaîne hôtelière Accor d’une amende de 600 K€ pour manquement à l’obligation d’informer les personnes concernées, ou encore défaut de recueil du consentement pour l’envoi d’une newsletter.
Le saviez-vous ? Une entreprise ne peut pas conserver à vie les données collectées par le biais des traceurs en ligne. La durée de conservation limite des données est de 13 mois. Pensez donc à indiquer sur votre site internet la durée de conservation des données. Les cookies d’analyse sont uniquement concernés, ce n’est pas le cas des cookies nécessaires au bon fonctionnement du site internet.
La politique de confidentialité des données
Il est essentiel de mettre en place une politique de confidentialité des données conforme au RGPD dès le début d’un projet web. Cette dernière précise de quelle manière une entreprise enregistre, exploite et supprime les informations transmises par les internautes lors de leur navigation sur un site. Le lien vers cette page web apparaît en général dans le footer.
On ne va pas se le cacher. La plupart des gens ne contactent pas un avocat au moment de rédiger la politique de confidentialité des données de leur site web. Ils se contentent souvent d’un simple copier-coller d’une page trouvée sur un autre site web.
Voici le contenu de base d’une politique de confidentialité des données conforme au RGPD :
- la manière dont les données personnelles sont collectées ;
- leur conservation ;
- leur hébergement ;
- leur traitement.
La politique de gestion des cookies
La page de politique de confidentialité des données comprend la politique de gestion des cookies. Sur un site web, cette dernière apparaît en effet soit sur une page distincte, soit sur la page de la politique de confidentialité. Expliquez clairement quels sont les cookies placés sur le site (cookies fonctionnels, d’analyse, de publicité, de vidéo).
Les visiteurs doivent comprendre comment ils peuvent éviter les cookies et paramétrer leur navigateur pour ne pas avoir de cookies publicitaires ou analytiques sur leur ordinateur ou leur smartphone.
Cas client présenté au WordCamp Lyon par l’agence 810 et Aporia
Lors de la conférence, nous nous sommes penchés sur un cas client qui comprenait :
- un site vitrine pour une entreprise de consulting, avec des blocs classiques ;
- un sous-domaine dédié aux clients de notre client. L’objectif était que les utilisateurs du site puissent prendre rendez-vous et réserver des sessions avec un consultant. Mais d’autres impératifs entraient en jeu : achat de crédits pour des séances de consulting, consultation de ces crédits, gestion agenda, gestion des droits avec différents niveaux d’autorisation.
Au début du projet, nous avons bien sûr créé le fameux bandeau pour la gestion des cookies. Nous l’avons ensuite paramétré correctement. Nous n’avons pas oublié le formulaire avec les deux niveaux de consentement : “J’accepte la politique de confidentialité des données” ET “J’accepte d’être recontacté à des fins commerciales”.
Lorsque nous avons commencé à parler de politique de confidentialité des données au détour d’une conversation avec notre client, nous avons vite compris que tout le périmètre technique du projet allait être impacté par la mise en conformité RGPD. Heureusement, Flore était là pour nous remettre sur le droit chemin.
Première mise au point RGPD : le site vitrine
Comme nous l’avons fait avant de mettre en ligne le site vitrine de notre client, à vous de cocher les cases de cette to-do list spécifique au RGPD :
- Sécuriser le site-vitrine ou le commerce en ligne, par le protocole HTTPS, par exemple.
- Vérifier ce qui concerne le droit à l’image et les droits de propriété.
- Mettre en forme le formulaire de contact RGPD (préciser les mentions obligatoires, les mentions facultatives, renvoyer à la page de politique de confidentialité et présenter une case à cocher pour recevoir une newsletter).
- Penser au bandeau des cookies.
- Gérer les consentements.
- Mettre en place la gestion des cookies.
- Présenter les mentions légales (idéalement rédigées par un avocat).
Bon à savoir : Les mentions légales doivent préciser des informations sur l’éditeur. Siège social de l’éditeur, numéro de RCS, numéro de TVA, coordonnées, et numéro de la profession réglementée si tel est le cas.
Deuxième mise au point RGPD : l’espace client en ligne
Retenez que vous devez informer les personnes concernées du sort des données personnelles qu’elles vous confient lors de leur navigation. Vérifiez :
- Les conditions générales d’utilisation ;
- La politique de protection des données : qui ? quoi ? où ? comment ? quand ?
Troisième mise au point RGPD : les typologies d’utilisateurs sur l’espace client
Durant le projet, nous avons dû penser la conformité RGPD du site web selon différents types d’utilisateurs : utilisateurs consultants, utilisateurs restreints, utilisateurs middle managers, utilisateurs responsables du compte entreprise.
Lorsque les profils d’utilisateurs requièrent des droits spécifiques, attention à :
- Déterminer clairement les rôles ;
- Déterminer les accès ;
- Gérer les habilitations ;
- Faire signer aux salariés un engagement de confidentialité.
Quatrième mise au point RGPD : la navigation des différentes typologies d’utilisateurs
Voici les trois piliers RGPD sur lesquels nous nous sommes appuyés :
- Mettre en place des mots de passe suffisamment complexes ;
- Restreindre suffisamment les profils consultants et utilisateurs ;
- Veiller à la portabilité des données.
Quelles conséquences quand le RGPD est pris en compte tardivement dans un projet web ?
Vous l’aurez compris, lorsque le RGPD est pris en compte un poil trop tard dans un projet web, c’est tout le périmètre technique qui est impacté. D’où l’intérêt de faire appel à des experts du RGPD comme Flore dans des projets d’une telle complexité et d’une telle envergure.
Si le site internet créé par une agence ou un prestataire n’est pas conforme, c’est la notoriété du client qui est directement menacée, sans compter l’exposition aux menaces. Le site, de ce fait, est moins responsable.
Vous imaginez bien les conséquences délétères pour l’agence ou le professionnel chargé du projet web : périmètre technique à revoir, plus de temps passé sur le projet et diminution de la marge. Bref, une perte de temps et d’argent dont chacun se passerait bien.
Attention : Les données de santé, religieuses ou philosophiques sont encore plus sensibles et requièrent un traitement tout particulier.
Comment articuler projet web et RGPD d’une main de maître ?
Pour mener un projet web de A à Z qui prend en compte toute la complexité du RGPD, mieux vaut faire intervenir la concertation avec un expert en protection des données suite au recueil des besoins client et à la phase de briefing. L’élaboration du cahier des charges et du plan fonctionnel en découlera.
À ce propos, Flore a rappelé quatre règles de base à intégrer lors de vos process pour ne pas froisser la CNIL :
- Prendre en compte la sécurité des sites et des applications web dès le début du projet web.
- Veiller à ce que les données des clients soient toujours protégées.
- Privilégier un hébergement au sein de l’union européenne et particulièrement un hébergement HDS (Hébergement de Données de Santé) pour les données personnelles sensibles.
- Effectuer un audit de l’application ou du site pour détecter les vulnérabilités et attaques éventuelles.
Si vous êtes une agence ou un professionnel du web, retenez que la conformité au RGPD commence idéalement par… vous. Au regard de la CNIL, vous avez en effet la responsabilité du traitement des informations collectées, ou vous êtes considéré comme sous-traitant ou co-responsable de traitement.
Un professionnel du web a toujours des obligations d’informations et un devoir de conseil vis-à-vis de ses clients dans le cadre de son activité. Désormais, vous connaissez toutes les informations nécessaires pour vous assurer que vos prochains sites web soient RGPD friendly.