RGPD : Règlement Général sur la Protection des Données appliqué aux sites Internet
Règlement européen (UE) 2016/679 du 27 avril 2016
La commission européenne a créé un règlement dans le but de protéger les données personnelles des personnes physiques, le RGPD : Règlement Général sur la Protection des Données.
Ce texte entrera en vigueur le 25 mai 2018, date à partir de laquelle tous les sites Internet devront être en conformité.
Les données sur les personnes morales ne sont pas concernées.
Quels sont les impacts du RGPD pour votre site vitrine, pour votre site e-commerce ou votre application web ?
1. Consentement explicite
Consentement global ou segmenté
Jusqu’à présent une simple bannière avec un bouton « Ok » suffisait pour avertir l’utilisateur que des Cookies étaient utilisés sur le site. Il faut désormais un consentement explicite, avec un bouton « Oui« , un bouton « Non » et un lien « En savoir plus » qui redirige vers la page des conditions générales d’utilisation du site. S’il est positif, le consentement est dans ce cas global pour tous les services utilisant les données personnelles du visiteur sur le site (Cookies, collecte des données).
Le consentement peut aussi être demandé de manière segmentée. Par exemple, l’utilisateur doit valider l’utilisation des cookies pour chacun des services utilisés sur votre site : Google Maps, Google analytics, Facebook, etc.
Cette solution est fastidieuse techniquement, mais il existe par exemple le plugin Tarteaucitron qui permet de gérer cette problématique : https://opt-out.ferank.eu/fr/install/
Il vous faudra donc choisir entre proposer au visiteur de donner son consentement pour chaque service collectant leurs données ou un consentement global. Dans le premier cas, cela peut s’avérer lourd en termes de UX (User Experience) puisque le visiteur doit valider un à un les services, dans le second cas, un visiteur ne souhaitant pas être suivi uniquement par Facebook ou Google pourrait refuser de naviguer sur votre site juste pour cette raison.
Preuve de consentement
Enfin le RGPD explique qu’il vous faut garder une trace de ce consentement, mais ne donne pas de solution concrète. Si un visiteur n’est pas identifié (logué) sur votre site Internet et qu’il n’a pas d’adresse IP fixe comme c’est le cas pour la plupart des abonnements particuliers, garder cette trace n’a pas beaucoup de sens.
Dans le cas d’un visiteur identifié sur votre site Internet (site e-commerce par exemple), vous devez garder une trace de ce consentement.
Durée du consentement
Le RGPD stipule que le consentement pour le cas des cookies a une durée maximale de 13 mois.
2. Conditions générales d’utilisations
Dans les conditions générales d’utilisation, les utilisateurs du site devront être informés sur les sujets suivants :
- La liste complète des données collectées.
- Un chapitre dédié aux formulaires présents dans le site pour préciser dans chaque cas l’utilisation des données qui en est faite.
- La finalité de la collecte.
- La durée de conservation de ces données (qui ne peut pas excéder 13 mois dans le cas des Cookies).
- Le droit d’accès aux données conservées.
- Le moyen pour demander la suppression des données personnelles du site.
- La tenue d’un registre des demandes de modification des données personnelles.
Pour rappel la page mention légale doit également être présente et comporter les
informations suivantes :
- Identification de la société ou personne physique gestionnaire du site Internet.
- Identification du service d’hébergement.
- Identification du responsable éditorial.
- Un lien vers les conditions générales d’utilisation.
- Nous vous conseillons d’informer le visiteur que vous êtes en conformité avec le RGPD. Cela crédibilise votre site Internet.
3. Formulaires
Pour chaque formulaire, devra figurer :
- Un lien vers la page des conditions générales d’utilisations.
- Une case à cocher demandant l’accord des conditions générales d’utilisation du visiteur. (la case à cocher ne peut pas être sélectionnée par défaut).
4. Services concernés
Beaucoup de services tiers utilisent des cookies. En voici une liste non exhaustive :
- Google Maps
- Google Analytics
- Piwik
- Tous les services Facebook, Twitter, Instagram et autres réseaux sociaux (sauf les liens).
- Insertion de vidéos Youtube, Vimeo et autre.
- Tous les outils de conversations externes (Chat Bot)Si votre site nécessite l’inscription du visiteur, comme un site e-commerce par exemple, voici les données concernées par le RGPD :
- Nom/prénom
- Adresse email
- Numéro de téléphone
- Date de naissance
- Adresse postale
- Adresse IP / données GPS (données de localisation)
- Cookies
- Numéro d’identification ou identifiants
- Les données sensibles : informations relatives à l’identité physique, psychique, génétique ou économique.
5. Sanctions
Le RGPD prévoit de lourdes sanctions si vous n’êtes pas en conformité. Cela peut aller de l’interdiction de collecter des données jusqu’à une amende comprise entre 2 et 4% de votre chiffre d’affaire annuel. Vous avez donc tout intérêt à mettre votre site Internet en conformité.
6. Lire le RGPD
AFCDP : https://www.afcdp.net/Reglement-annote-et-commente-avec
Journal officiel de l’Union européenne : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
Li-Nó Design vous aide dans la mise en conformité de votre site Internet. Contactez-nous !
Suivez nos projets sur Facebook, Linkedin, Instagram et Pinterest et notre blog.
A bientôt !