Guide RGPD : Comment adapter votre site web à la nouvelle loi sur la protection des données

Le très commenté RGPD est déjà là et avec lui tous les changements et adaptations que nous devons réaliser qui ont des pages web et collectent des données personnelles des utilisateurs qui les parcourent.

Votre site Internet est-il adapté à la nouvelle réglementation ? Souhaitez-vous éviter les pénalités de millionnaire qu’implique le fait d’être hors la loi ?

Qu’est-ce que le RGPD ?

RGPD signifie Règlement Général de Protection des Données, le nouveau règlement sur la protection des données entré en vigueur le 25 mai 2016, approuvé par l’Union européenne.

L’objectif de cette nouvelle réglementation est de réglementer, de soigner et de protéger, plus encore, l’utilisation des données personnelles par les utilisateurs, les entreprises et les institutions afin que leurs propriétaires aient plus de contrôle sur celles-ci.

Ainsi, toute personne qui collecte et stocke des données personnelles devra répondre à un certain nombre de nouvelles exigences très spécifiques.

Toute personne qui recueille et stocke des données personnelles devra se conformer à la nouvelle DPRG

Deux ans après son entrée en vigueur, c’est-à-dire le 25 mai 2018, le respect de ce nouveau règlement est strictement obligatoire et remplacera la législation actuelle sur la protection des données.

Le nouveau RPGD est commun à toute l’Union européenne, donc, si vous ou votre entreprise se trouve sur ce territoire ou si vous gérez des données de citoyens européens, vous devrez vous adapter à la nouvelle loi, sans exceptions. Sinon, les sanctions que vous pourriez subir se comptent par millions.

Pourquoi et comment le nouveau RGPD vous affecte-t-il ?

Vous avez un blog et utilisez un formulaire pour attirer des abonnés ? Vous vendez vos produits et services par le biais d’un commerce électronique ? Vous permettez aux utilisateurs qui visitent votre site de laisser un commentaire ou de vous contacter ? Attention !

Tout formulaire apparaissant sur votre site web, quel qu’en soit le type, dans lequel vous recueillez des informations personnelles de vos utilisateurs, devra être adapté de manière à être conforme au nouveau Règlement général de protection des données.

Dans le cas de sites web ou de blogs non commerciaux qui ne génèrent pas de revenus, les moyens les plus courants de collecte de données personnelles et que vous devrez adapter sont

  • Les formulaires de contact
  • Les boîtes de commentaires de saisie
  • Formulaires d’abonnement à la newsletter

Dans le cas des sites commerciaux ou de ceux qui génèrent des revenus directs ou indirects, les choses sont un peu plus compliquées puisqu’il faudra se conformer à la LSSI-CE. En outre, dans ces cas, on peut trouver des formes ou des mécanismes de paiement plus complexes pour acquérir ou contracter des produits ou des services qui exigent des conditions contractuelles supplémentaires et un avis juridique.

Dans tous les cas, rappelez-vous que chaque fois que vous recueillez des renseignements personnels sur votre web/blog, que vous génériez des revenus ou non, vous devez vous conformer à la DPRG. Je résume donc ci-dessous les exigences auxquelles vous devez répondre et les étapes à suivre pour légitimer votre site web au regard du nouveau règlement sur la protection des données. Prenez-en note !

Comment adapter votre site web au RGPD

En bref, pour que votre site Web ou votre blog soit conforme à ces nouvelles règles, vous devez

  • Fournir clairement et explicitement toutes les informations concernant la collecte et l’utilisation des données personnelles à collecter.
  • Activez une case à cocher obligatoire pour que les utilisateurs donnent leur consentement explicite à ce traitement et leur acceptation de votre nouvelle politique de confidentialité
  • Recueillir et conserver ce consentement explicite .

Mais, en outre, les informations que vous fournissez doivent être présentées en 2 parties comme suit :

  1. un résumé des points les plus importants concernant le traitement des informations fournies par l’utilisateur.
  2. où l’information présentée dans la première partie est complétée et étendue.

Cependant, le nœud du problème et toutes les modifications que nous devrons apporter sont centrées sur les informations à inclure dans chaque couche et sur l’endroit où il faut les inclure. Je vais le résumer en 3 points simples :

Première partie : Résumé de la confidentialité, des avis juridiques et des cookies

Que doit-on mettre dans la première couche ?

Dans cette première couche, nous devons inclure un résumé des informations sur les personnes qui seront responsables des données collectées et dans quel but elles seront utilisées (newsletter, news, utilisation commerciale…).

Au cas où ces données seraient communiquées à des tiers, il faudra l’indiquer et, au cas où vous auriez un DPD (délégué à la protection des données) chargé de les gérer, ses coordonnées devront également figurer.

En outre, nous devrons informer l’utilisateur des droits dont il dispose pour accéder, modifier ou supprimer les données qu’il a fournies et ajouter un lien vers une deuxième couche contenant toutes les informations complètes et détaillées sur la Politique de confidentialité, la Loi sur les cookies et l’Avis légal (dans le cas de sites Web commerciaux) qui doivent être hébergés sur notre site Web.

Où dois-je inclure cette première partie ?

Cette première partie d’information doit apparaître dans tous les formulaires avec lesquels vous recueillez des données personnelles des utilisateurs. C’est à dire :

  • Formulaire de contact
  • Formulaires d’abonnement
  • Boîte de commentaires dans les entrées de blog
  • Formulaires de réservation, inscriptions…

Deuxième partie : Documentation juridique détaillée

Qu’est-ce qui devrait se trouver dans la deuxième couche ?

Lorsque nous parlons d’information en ” deuxième couche “, nous voulons dire essentiellement qu’elle doit être présentée dans une url séparée et en détail.

Cette deuxième couche devrait donc contenir des informations complètes concernant la politique de confidentialité, la politique en matière de cookies et l’avis juridique (à condition que le site Web soit commercialement actif).

Politique de confidentialité

Cette section devrait détailler la manière dont le détenteur utilise les informations collectées, le but, la période de conservation de ces données, le transfert à des tiers (le cas échéant), etc.

Avis et politique en matière de témoins

Dans la section correspondant aux cookies, vous devez inclure toutes les informations détaillées concernant l’utilisation de vos propres cookies ou de ceux de tiers et le but de ceux-ci.

Cependant, cette information doit être détaillée dès le moment où l’utilisateur accède au site web au moyen d’un avertissement de l’existence de ces cookies (image) et d’un bouton permettant à l’utilisateur de donner son consentement avec un lien vers cette information détaillée.

Mentions légales

Cette section doit contenir le minimum d’informations nécessaires pour que l’utilisateur sache qui est derrière le site Web. C’est-à-dire, qui est le propriétaire du site Web et un numéro de téléphone et/ou une adresse électronique de contact.

Les mentions légales ne seront nécessaires qu’en cas d’activité commerciale sur votre site. C’est-à-dire, dans les pages Web qui facilitent, annoncent ou offrent un certain produit ou service. Seuls les blogs ou les sites web qui ne réalisent aucun type d’activité commerciale seront exclus de cette obligation.

Où dois-je inclure cette deuxième partie ?

La deuxième couche doit être hébergée sur votre site web, dans une URL séparée, ou dans différents onglets ou dans un seul avec chacune des sections bien expliquées et détaillées.

Obtenir un consentement explicite

En plus des modifications et adaptations ci-dessus, afin de se conformer au nouveau RGPD, nous devrons obtenir le consentement explicite de l’utilisation des données par nous ainsi que l’acceptation des nouvelles politiques de confidentialité.

Pour ce faire, outre l’inclusion d’une “étiquette” avec les informations relatives à l’utilisation des données, nous devrons inclure une case à cocher obligatoire par laquelle les utilisateurs peuvent donner leur consentement explicite au traitement de leurs données aux fins que nous avons définies.

Cette case à cocher devra figurer sur tous les formulaires et est particulièrement importante sur les formulaires d’abonnement à la newsletter, par exemple. Dans ce cas, nous devrons enregistrer les consentements correspondants afin de “prouver” d’une manière ou d’une autre que nous avons l’autorisation d’utiliser les données toujours aux fins que nous avons indiquées.

Et si j’ai recueilli des données avant le RGPD ?

Qu’advient-il des données recueillies avant la mise en œuvre de ce nouveau règlement, et cela les affecte-t-il ? Si vous allez continuer à les utiliser, oui.

En plus des étapes précédentes, axées principalement sur l’adaptation de chacune des formes du web avec lesquelles vous allez collecter des données, vous devrez également prendre des mesures si vous voulez continuer à utiliser les données que vous aviez collectées avant le RGPD.

Si vous avez utilisé des listes de diffusion pour des campagnes d’email marketing ou l’envoi de newsletters, par exemple, vous devrez envoyer une nouvelle campagne à tous vos abonnés. Vous devrez y expliquer comment ces changements affectent leur vie privée et leur donner la possibilité de renouveler leur abonnement à votre liste de diffusion en acceptant l’utilisation de leurs données.

Pour continuer à utiliser les listes de diffusion pré-RGPD, vous devrez obtenir un nouveau consentement explicite pour le faire

Ce n’est que si vous obtenez un nouveau consentement clair et explicite de vos anciens abonnés que vous pourrez continuer à utiliser leurs données. Maintenant, comment obtenir ce nouveau consentement ? Nous devrons envoyer une campagne de courriels à ces abonnés afin qu’ils ” renouvellent ” leur abonnement pour obtenir leur nouveau consentement explicite.

Comment obtenir le nouveau consentement de mes anciens abonnés

Obtenir le consentement explicite de vos anciens abonnés est très simple. La façon la plus rapide et la plus facile de le faire est une campagne de courriels dans laquelle nous devrons inclure ce qui suit :

  • Notification des changements dans votre Politique de confidentialité, avec son lien correspondant, et la raison de votre communication.
  • Un bouton pour que les destinataires puissent renouveler leur abonnement par le biais d’un consentement explicite.

Conclusion

Aussi négatif que cela puisse paraître, la lecture que nous devrions lui donner est bien différente. N’est-ce pas une occasion en or de ” nettoyer ” nos listes de contacts et de rester avec ceux qui sont vraiment comme notre produit/service ?

Celui qui décide de vous donner à nouveau son consentement, cette fois-ci explicitement, le fera parce qu’il est vraiment intéressé et cela augmentera nos chances de succès.