Le RGPD, c'est quoi ? Comment mettre votre site Internet en conformité

Vous devez en entendre parler de plus en plus ces dernières semaines du fameux RGPD, je vous propose dans cet article d’expliquer ce que c’est et ce que cela implique pour vous. On reviendra notamment sur les risques encourues pour tout manquement au règlement. Nous allons plus particulièrement regarder l’application du RGPD pour les sites Internet.

 

RPGD kesako ?

Le but du RGPD est de renforcer la protection de vos données personnelles et ce sur tout le globe. En effet, si vous commandez ou vous inscrivez sur un site Internet localisé aux Etats-Unis, cette entité devra appliquer pour vous et tous les citoyens européens le RGPD. Le RGPD concerne toutes les entités, que vous soyez une entreprise, une collectivité, une association ou un particulier.

Dans les grandes lignes, le RGPD dit ceci pour vos données :

  1. Vous pouvez demander la suppression de vos données personnelles
  2. Vous pouvez demander à récupérer toutes vos données dans un format qui permettra leur migration facile à une autre entreprise, ou que vous puissiez les lire vous-même sans outil spécifique.
  3. Que toute entité doit recueillir votre consentement explicite (compréhensible par un enfant de 11 ans) pour collecter vos données personnelles.
  4. Assurer la sécurité des données personnelles récoltés

A noter que dans cet article je ne traite que l’aspect concernant les sites Internet. Attention toutefois : le RGPD s’applique à tout fichier (numérique ou non) qui contient des données personnelles, notamment de vos employés.

 

Mettre en conformité un site Internet pour le RGPD

Tous les sites Internet doivent se mettre en conformité pour le 25 mai 2018, c’est ce que dit le règlement. Cependant, si vous initiez votre mise en conformité avant ou un peu après cette date butoir vous aurez fait acte de bonne foi et il y aura vraisemblablement une tolérance.

Pour mettre en conformité votre site Internet vous avez quelques petites choses à prévoir, certaines sont techniques et d’autres non. Autre élément important que vous devez garder en tête : le RGPD considère que par défaut l’internaute refuse la collecte de ces données, vous devez donc obtenir son consentement explicite.

Notez également qu’à partir du 25 mai 2018 vous ne devrez plus déclarer votre site Internet à la CNIL.


Source : Daf Mag

Ce que vous devez faire sur votre site Internet pour être conforme RGPD

  1. Pour tous les cookies que peut déposer votre site Internet sur l’appareil de l’internaute, vous devez l’informer via vos mentions légales ou C.G.U.
  2. Si les cookies sont utilisés à des fins statistiques, d’analyse de la navigation, de partage de réseaux sociaux ou tout autre usage qui n’est pas indispensable à l’utilisation du site Internet : vous devez demander le consentement explicite avant d’activer ces services.
  3. Expliquer pourquoi vous récoltez ces données personnelles et combien de temps vous les conserverez (ex : e-mail, prénom, date de naissance, adresse IP, etc.)
  4. Conserver les données personnelles de manière sécurisée
  5. Donner un moyen simple d’utilisation et d’accès aux internautes pour faire valoir leurs droits. Via notamment un formulaire dédié.
  6. Identifier clairement l’éditeur du site Internet dans vos mentions légales
  7. Ne pas conserver au-delà de 360 jours les formulaires envoyés via votre site Internet
  8. Ne pas proposer un cadeau systématique en contrepartie d’une inscription à une newsletter ou un site.

 

Que risquez-vous si vous n’êtes pas conforme ?

Le RGPD est bien sûr accompagné d’un ensemble de sanctions si vous ne l’appliquez pas correctement. Le RGPD marque aussi un tournant sur les sanctions applicables, et c’est d’ailleurs en grande partie ce qui a motivé sa création. Avant le RGPD, les amendes ne dépassaient pas les 700 K/€ ce qui, vous en conviendrez pour Google ou Amazon, restait indolore.

Le RGPD sera contrôlé par la CNIL en France, mais ces contrôles pourront être effectués suite à la demande d’entité similaire à la CNIL par d’autres pays en Europe. Vous risquez au maximum une amende allant jusqu’à 4 % de votre chiffre d’affaires de l’année précédente, pas uniquement sur le chiffre d’affaires dans le pays ou vous êtes contrôlé mais bien sur sa totalité.

L’amende peut être de 20 millions d’euros maximum, mais attention : dans le cas d’une entreprise, le montant le plus élevé sera retenu. Pour être plus compréhensible, voici ce que pourrait représenter l’amende via quelques exemples de chiffres d’affaires :

  1. Avec 250 000 euro de CA vous risquez une amende maximale de 10 000 €
  2. Avec 450 000 euro de CA vous risquez une amende maximale de 18 000 €
  3. Avec 850 000 euro de CA vous risquez une amende maximale de 34 000 €

 

Autre point de vigilance : cette amende sera supportée par l’entreprise qui utilise le site Internet, mais aussi par celle qui l’a réalisé en qualité de sous-traitant. Il en est de même pour l’hébergeur ou les fournisseurs de services tiers. Le partage de l’amende sera fait en fonction du degré de faute de chacun.

Source : Daf Mag

 

L’offre itiConseil pour vous mettre en conformité RPGD

A l’agence itiConseil, nous avons pris ce dossier très au sérieux. Pour cela, nous avons développé une solution technique qui permettra de répondre aux exigences du RGPD pour le volet technique de ce dernier. Bien entendu, vous serez accompagnés pour la modification des mentions légales de vos sites Internet.

 

La prestation “Mise en conformité RGPD de votre site Internet” comprend :

 

  1. Mise en conformité sur les consentements des cookies des services tiers utilisés sur votre site Internet
  2. Intervention sur la sécurité du site Internet et de ses données :
    1. Si nous hébergeons votre site Internet : sécurité du site et de ses données
    2. Si nous ne l’hébergeons pas : nous pouvons en assurer la sécurité dans la limite des responsabilités de l’hébergeur
  3. Suppression automatique des formulaires stockés sur le site au bout de 12 mois
  4. Mise en place d’un lien vers la page des mentions de confidentialité sur tous les formulaires qui récoltent des données personnelles
  5. Edition d’un audit vérifiant la présence de pratiques interdites par le RGPD (notamment les bons de réduction offerts pour l’inscription à une newsletter)
  6. Mise à jour de vos mentions légales

 

Pour aller plus loin

Afin de vous permettre d’approfondir en détail le RPGD et ce qu’il va impliquer pour votre entreprise de manière plus globale, je vous propose différents articles. En effet, le RGPD va avoir un impact sur tous vos traitements des données personnelles dans votre entreprise ou collectivité, et pas uniquement au travers de votre site Internet. C’est d’ailleurs pour cela que l’on rappelle régulièrement que le RGPD ne se réglera pas uniquement via des solutions techniques.

Pour vous permettre d’approfondir le RGPD, je vous propose de consulter les sites suivants :