Guide RGPD : Comment adapter votre site web à la nouvelle loi sur la protection des données ?

Le RGPD, dont on parle tant, est arrivé et avec lui tous les changements et adaptations que nous devons effectuer nous qui avons des sites web et collectons des données personnelles des utilisateurs qui les parcourent.

Votre site web est-il adapté à la nouvelle réglementation ? Voulez-vous éviter les pénalités de plusieurs millions de dollars qu’implique le fait d’être en dehors de la loi ?

Qu’est-ce que le RGPD ?

RGPD est l’acronyme correspondant au Règlement général sur la protection des données, le nouveau règlement concernant la protection des données entré en vigueur le 25 mai 2016 dernier, approuvé par l’Union européenne.

L’objectif de ce nouveau règlement est de réglementer, de soigner et de protéger, encore plus si possible, l’utilisation des données personnelles par les utilisateurs, les entreprises et les institutions afin que leurs propriétaires en aient un meilleur contrôle.

Ainsi, toute personne qui collecte et stocke des données personnelles devra se conformer à une série de nouvelles exigences très spécifiques.

Toute personne qui collecte et stocke des données personnelles devra se conformer au nouveau GDPR.

Deux ans après son entrée en vigueur, c’est-à-dire le 25 mai 2018, le respect de ce nouveau règlement devient strictement obligatoire et remplacera la législation existante en matière de protection des données.

Le nouveau GDPR est commun à toute l’Union européenne donc, si vous ou votre entreprise est située sur ce territoire ou si vous gérez des données de citoyens européens, vous devez vous adapter à la nouvelle loi, sans exception. Sinon, les pénalités que vous pourriez encourir se chiffrent en millions.

Pourquoi et comment le nouveau RGPD vous concerne-t-il ?

Vous avez un blog et vous utilisez un formulaire pour recruter des abonnés ? Vous vendez vos produits et services sur un site de commerce électronique ? Vous permettez aux utilisateurs qui visitent votre site de laisser un commentaire ou de vous contacter ? Attention !

Tout formulaire figurant sur votre site web, quel que soit son type, dans lequel vous recueillez des informations personnelles auprès de vos utilisateurs, devra être adapté de manière à être conforme au nouveau règlement général sur la protection des données.

Dans le cas de sites web non commerciaux ou de blogs qui ne génèrent pas de revenus, les moyens les plus courants de collecte de données personnelles que vous devrez adapter sont les suivants :

  • Formulaires de contact
  • Les boîtes de commentaires des messages
  • Formulaires d’abonnement à la newsletter

Dans le cas de sites web commerciaux ou de sites web qui génèrent des revenus directs ou indirects, les choses se compliquent un peu plus car il faudra se conformer à la LSSI-CE. En outre, dans ces cas, nous pouvons trouver des formulaires ou des mécanismes de paiement plus complexes pour acheter ou contracter des produits ou des services qui nécessitent des conditions contractuelles supplémentaires et un avis juridique.

Dans tous les cas, rappelez-vous que chaque fois que vous collectez des informations personnelles sur votre site web/blog, que vous génériez des revenus ou non, vous devez vous conformer au RGPD. C’est pourquoi je résume ci-dessous les exigences que vous devez respecter et les étapes à suivre pour légitimer votre site web face au nouveau règlement sur la protection des données. Prenez note !

Comment adapter votre site web au RGPD

En bref, pour que votre site web ou votre blog soit conforme à ce nouveau règlement, vous devez :

  • Fournir clairement et explicitement toutes les informations concernant la collecte et l’utilisation des données personnelles à collecter.
  • Activer une case à cocher obligatoire pour que les utilisateurs donnent leur consentement explicite à ce traitement et acceptent votre nouvelle politique de confidentialité3.
  • Recueillir et conserver ce consentement explicite.

Mais, en outre, les informations que vous fournissez doivent être présentées en 2 couches comme suit :

  1. Première couche : dans laquelle se trouve un résumé des points les plus importants relatifs au traitement des informations fournies par l’utilisateur.
  2. Deuxième couche : dans laquelle les informations présentées dans la première couche sont complétées et étendues.

Maintenant, là où se trouve le nœud du problème et où se concentrent toutes les modifications que nous devrons apporter, c’est sur les informations à inclure dans chaque couche et où les inclure. Je le résumerai ici en 3 points simples :

Première couche : résumé de la confidentialité, de l’avis juridique et des cookies.

Que doit-on mettre dans la première couche ?

Dans cette première couche, nous devons inclure un résumé des informations sur qui sera responsable des données collectées et dans quel but elles seront utilisées (newsletter, nouvelles, utilisation commerciale…).

En cas de transfert de ces données à des tiers, il sera nécessaire de l’indiquer et, s’il existe un DPD (délégué à la protection des données) chargé de les gérer, ses informations et ses coordonnées devront également apparaître.

En outre, nous devrons informer l’utilisateur des droits dont il dispose pour accéder, modifier ou supprimer les données qu’il a fournies et ajouter un lien vers une deuxième couche contenant toutes les informations complètes et détaillées sur la politique de confidentialité, la loi sur les cookies et les mentions légales (dans le cas de sites commerciaux) qui doivent être hébergées sur notre site web.

Où dois-je inclure cette première couche ?

Cette première couche informative devrait apparaître sur tous les formulaires avec lesquels vous collectez des données personnelles auprès des utilisateurs. C’est-à-dire :

  • Formulaires de contact
  • Formulaires d’abonnement
  • Boîte à commentaires dans les articles de blog
  • Formulaires de réservation, formulaires d’inscription…

Deuxième couche : documentation juridique détaillée

Que doit-on mettre dans la deuxième couche ?

Lorsque nous parlons d’informations de « deuxième couche », nous voulons dire essentiellement qu’elles doivent être présentées dans une url séparée et en détail.

Cette deuxième couche doit donc contenir des informations complètes concernant la politique de confidentialité, la politique en matière de cookies et l’avis juridique (à condition que le site web ait une activité commerciale).

Politique de confidentialité

Cette section doit détailler la manière dont le propriétaire utilise les informations collectées, la finalité, la période de conservation de ces données, le transfert à des tiers (le cas échéant), etc.

Avis et politique en matière de cookies

Dans la section correspondant aux cookies, vous devez inclure toutes les informations détaillées concernant l’utilisation de cookies propres ou de tiers et la finalité de ces derniers.

Toutefois, cette information devrait être détaillée dès l’accès de l’utilisateur au site web par un avertissement de l’existence de ces cookies (image) et un bouton permettant à l’utilisateur de donner son consentement avec un lien vers cette information détaillée.

Avis juridique

Cette section doit contenir les informations minimales nécessaires pour que l’utilisateur sache qui se cache derrière le site web. C’est-à-dire qui est le propriétaire du site web et un numéro de téléphone et/ou une adresse électronique de contact.

L’avis juridique ne sera nécessaire que s’il y a une activité commerciale sur votre site web. C’est-à-dire dans les pages web qui fournissent, font de la publicité ou offrent un produit ou un service particulier. Seuls les blogs ou les sites web qui n’exercent aucune activité commerciale seront exclus de cette obligation.

Où dois-je inclure cette deuxième couche ?

La deuxième couche doit être hébergée sur votre site Web, dans une URL distincte, soit dans différents onglets, soit dans un seul, avec chacune des sections bien expliquée et détaillée.

Obtenir un consentement explicite

En plus des modifications et adaptations susmentionnées, pour se conformer au nouveau RGPD, nous devrons obtenir un consentement explicite pour l’utilisation des données de notre part ainsi que l’acceptation des nouvelles politiques de confidentialité.

Pour ce faire, outre l’inclusion d’un « bandeau » avec les informations relatives à l’utilisation des données, nous devrons inclure une case à cocher obligatoire à travers laquelle les utilisateurs pourront donner leur consentement explicite au traitement de leurs données aux fins que nous avons exposées.

Cette case à cocher doit être incluse dans tous les formulaires et elle est particulièrement importante dans les formulaires d’abonnement à la newsletter, par exemple. Dans ce cas, nous devrons stocker les consentements correspondants pour « prouver » d’une manière ou d’une autre que nous avons la permission d’utiliser les données toujours aux fins que nous avons exposées.

Que faire si j’ai collecté des données avant le GDPR ?

Qu’en est-il des données collectées avant la mise en œuvre de ce nouveau règlement, cela les affecte-t-il ? Si vous comptez continuer à les utiliser, oui.

En plus des étapes ci-dessus, principalement axées sur l’adaptation de chacun des formulaires web avec lesquels vous allez collecter des données, vous devrez également prendre des mesures si vous voulez continuer à utiliser ces données que vous aviez collectées avant le RGPD.

Si vous utilisiez des listes de diffusion pour des campagnes de marketing par courriel ou pour envoyer des bulletins d’information, par exemple, vous devrez envoyer une nouvelle campagne à tous vos abonnés. Vous devrez y expliquer comment ces changements affectent leur vie privée et leur donner la possibilité de renouveler leur abonnement à votre liste de diffusion en acceptant de manière explicite l’utilisation que vous allez faire de leurs données.

Pour continuer à utiliser les listes de diffusion pré-GDPR, vous devrez recueillir un nouveau consentement explicite à cet effet.

Ce n’est que si vous obtenez un nouveau consentement clair et explicite de vos anciens abonnés que vous pourrez continuer à utiliser leurs données. Maintenant, comment obtenir ce nouveau consentement ? Nous devrons envoyer une campagne de courrier électronique à ces abonnés pour « renouveler » leur abonnement et ainsi obtenir leur nouveau consentement, désormais oui, explicite.

Comment obtenir le nouveau consentement de mes anciens abonnés ?

Il est très simple de recueillir le consentement explicite de vos anciens abonnés. La manière la plus rapide et la plus simple de le faire est de lancer une campagne de courrier électronique dans laquelle nous devrons inclure les éléments suivants :

  • Notification des modifications apportées à votre politique de confidentialité, avec le lien correspondant, et la raison de votre communication.
  • Un bouton pour que les destinataires puissent renouveler leur abonnement avec un consentement explicite.

Conclusion

Malgré tout ce que cela peut avoir de négatif, la lecture que nous devons en faire est tout autre. N’est-ce pas une occasion en or de « nettoyer » nos listes de contacts et de rester avec ceux qui sont vraiment liés à notre produit/service ?

La personne qui décidera de vous donner à nouveau son consentement, cette fois de manière explicite, le fera parce qu’elle est vraiment intéressée et cela augmentera nos chances de succès.

Découvrez également :