Disposer d’un site Internet est devenu incontournable pour toute entreprise. Cet outil possède de nombreux enjeux comme l’acquisition de nouveaux clients et l’amélioration de l’e-réputation. Or, comme de nombreuses données personnelles circulent sur les plateformes en ligne, il est important qu’elles respectent le Règlement Général sur la Protection des Données (RGPD). Comment les entreprises peuvent-elles y parvenir ? Le point dans cet article.
Sommaire
Mise en conformité rgpd : la collecte des consentements des utilisateurs
Ces dernières années, les sites sont souvent sanctionnés par la CNIL, car ils ne respectent pas les règlements liés au dépôt des cookies et des traceurs. En effet, il s’agit d’un des points essentiels du RGPD. Pour pouvoir collecter les données d’un utilisateur, celui-ci doit donner son consentement au préalable. La plupart des entreprises se servent d’un outil nommé CMP ou Consent Manager Platform pour recueillir les consentements. Il permet d’inclure un widget sur le site qui informe les utilisateurs du dépôt des cookies et des traceurs. Il doit permettre à ces derniers de sélectionner ceux qu’ils acceptent et ceux qu’ils refusent. Pour en savoir plus sur la mise en conformité rgpd, vous pouvez suivre ce lien.
Les formulaires de collecte de données
En général, un site Internet collecte des données via un formulaire de contact, un formulaire de création de compte ou un formulaire d’inscription. Dans les trois cas, les règles suivantes doivent être respectées pour assurer le respect du RGPD :
- seules les données indispensables à la poursuite de la finalité de traitement doivent être collectées ;
- dans le cas où des données sont recueillies via une case champ libre, des informations sensibles ne doivent pas être communiquées ;
- si des informations additionnelles sont requises, le site doit indiquer lesquelles sont obligatoires et lesquelles sont optionnelles.
Le contrôle de la sécurité du site
Pour assurer la mise en conformité rgpd, un site Web doit offrir un niveau de sécurité optimal. Pour cela, l’entreprise doit réaliser différentes actions :
- faire des tests d’intrusion afin d’identifier les points faibles de la sécurité informatique ;
- effectuer une analyse de vulnérabilité ;
- sécuriser l’accès au site par des identifiants et des mots de passe.
La cybersécurité et le RGPD sont étroitement liés. En effet, si le niveau de sécurité n’est pas suffisamment élevé, les utilisateurs se méfieront du site. De plus, le RGPD ne sera pas respecté. Certes, la démarche de conformité peut être longue et coûteuse, mais il s’agit d’un gage de confiance pour les clients. Si votre site est conforme au RGPD, vous bénéficierez donc d’un avantage concurrentiel.
Revoir la politique de confidentialité
La politique de confidentialité s’apparente à la carte d’identité de la conformité RGPD d’un site Web. Elle doit à la fois être transparente, tacite, claire et accessible pour pouvoir répondre au droit à l’information des utilisateurs. Elle expose différents éléments tels que les traitements à réaliser, les différentes modalités ainsi que les droits des utilisateurs. Il faut noter que les personnes concernées disposent de nombreux droits tels que le droit d’accès, le droit de rectification, le droit à l’oubli, le droit à la portabilité et le droit d’opposition.
Pour qu’elles puissent librement les exercer, un formulaire de contact doit être mis à leur disposition. Le site Internet étant la vitrine d’une entreprise, c’est le premier élément que l’autorité de contrôle vérifie. Pour cela, elle se met à la place des utilisateurs et suit le même parcours qu’eux lorsqu’ils visitent le site en question. C’est pourquoi toute entreprise qui collecte et traite des données personnelles a intérêt à vérifier sa politique de conformité.
Les transferts des données en-dehors de l’Union Européenne
Pour que les données soient sécurisées, il est important de les héberger uniquement en Europe. De plus, cela vous évitera de nombreuses formalités juridiques. En effet, l’hébergeur européen est soumis aux mêmes règles de protection des données que les organismes publics et privés. En revanche, si vous souhaitez transférer les données à l’international, sachez que cette pratique est strictement encadrée par le RGPD. Seuls les pays qui bénéficient d’une décision d’adéquation peuvent recevoir ces données. Ils sont tenus de les traiter conformément au RGPD. Il s’agit du Japon, de l’Uruguay, de l’Israël, de la Nouvelle-Zélande, de la Suisse et de l’Argentine.
Le transfert des données vers des pays tiers est totalement proscrit. Cependant, si l’entité concernée est motivée, le RGPD prévoit des exceptions. Dans ce cas, elle se doit d’offrir des garanties adéquates sur la sécurité des données des personnes. Quoi qu’il en soit, cette pratique reste complexe et risquée.
Les autres points de conformité à vérifier
Pour réussir la mise en conformité rgpd, vous devez aussi vérifier d’autres points clés :
Les finalités du traitement
Les données personnelles doivent être collectées dans un objectif précis. C’est la finalité du traitement. Pour que l’utilisateur puisse donner librement son consentement, le site doit lui indiquer clairement ce qu’il fera de ses données. D’ailleurs, une fois l’objectif atteint, celles-ci doivent être supprimées. Par exemple, dans le cadre d’une livraison, le livreur doit supprimer le numéro de téléphone du client lorsque le colis lui a été remis.
L’identité du DPO et du responsable de traitement
Un site doit révéler l’identité du Délégué à la Protection des Données et du responsable de traitement. Il peut s’agir de personnes physiques ou morales, donc il convient surtout d’indiquer leurs coordonnées pour que les utilisateurs puissent facilement les contacter.
Les destinataires des données
Il ne peut y avoir que deux destinataires des données :
- l’organisme qui a procédé à la collecte : dans ce cas, les données ne sont pas confiées à d’autres entités ;
- les entreprises tierces à qui l’organisme les a communiquées : dans ce cas, ce dernier doit donner les raisons du transfert des données. Si elles sont purement commerciales, l’utilisateur peut refuser le transfert.
La durée de conservation des données
Le site doit également vous communiquer le délai de conservation des données. En principe, ces dernières doivent être supprimées une fois que l’objectif est atteint. En effet, cela signifie que l’entité n’en aura plus besoin à l’avenir. Le seul souci, c’est que le RGPD ne donne pas de durée précise.
Le droit de faire une réclamation auprès de l’autorité de contrôle
Dans le cas où les utilisateurs n’obtiennent pas de réponse favorable à leurs demandes durant un mois, le site doit leur permettre d’introduire une réclamation auprès de l’autorité de contrôle.
La nomination d’un DPO
La désignation d’un DPO relève d’une obligation pour certaines entreprises. C’est le spécialiste du RGPD. Toutefois, même si cette nomination n’est pas obligatoire, la CNIL la recommande vivement, car elle garantit la mise en conformité rgpd. Il faut noter que le DPO est aussi le point de contact de l’autorité de contrôle française dans le cas d’une violation de données. Seule une personne disposant d’une parfaite connaissance de la sécurité informatique et qui est expérimentée dans le domaine peut remplir la fonction de DPO.
Articles similaires
- Les réglementations douanières pour le transport international
- Comment bien se faire accompagner sur la mise en conformité avec la nouvelle directive CSRD ?
- Pourquoi les établissements de paiement sont-ils indispensables aux marketplaces ?
- Quel est l’affichage obligatoire pour une entreprise sur un chantier ?
- Identifier les moyens de paiement optimaux pour les marketplaces