Audit RGPD CNIL

Cet article s’applique à tous les sites web. Pour les sites les plus anciens, ce travail de mise en conformité peut s’avérer difficile quand les technologies utilisées pour développer votre site commencent à être obsolètes. Pour les nouveaux sites, il est important d’intégrer dès le départ les bonnes pratiques pour être en conformité avec le RGPD.

Audit RGPD CNIL

Philosophie du RGPD

Avant toute chose, un petit rappel de ce qu’apporte le RGPD :

Une plus grande transparence vis à vis des internautes

Le but est de dire à vos visiteurs de quelle façon vous traitez les données personnelles mais aussi de leur fournir le moyen de maîtriser leurs données et de faire valoir leurs droits.

Des possibilités de business supplémentaire 

La transparence peut influer sur la confiance de vos visiteurs. Plus vous ferez la preuve que votre site est un site de « confiance » et plus vous aurez de chance que le comportement des internautes sera favorable. Votre image, votre trafic et vos ventes peuvent effectivement bénéficier de ce capital confiance.

Des sanctions lourdes en cas de non-conformité

Si vous ne respectez pas les règles et que les internautes portent plainte auprès de la CNIL, les sanctions peuvent être très lourdes. Pour les entreprises, les sanctions, en cas de manquements graves, peuvent atteindre 4% du chiffre d’affaires annuel. Prenez donc quelques minutes pour lire cet article, ça ne coûte rien.

Audit RGPD CNIL – Les points à prendre en compte

Les mentions légales 

Ce qui doit apparaître pour l’éditeur et l’hébergeur

Les présentations de l’éditeur (vous) et de l’hébergeur sont obligatoires. Par contre, l’agence web qui a conçu le site n’est pas obligé d’apparaître dans les mentions légales.

Pour l’éditeur et l’hébergeur, doivent être mentionnés :

• la raison sociale
• le capital social
• le SIRET
• l’adresse postale
• le numéro de téléphone
• un email de contact
• le responsable de la publication (pour l’éditeur)

Quid des adresses emails ?

Il y a deux adresses email importantes à mentionner :

• celle qui est rattachée à l’éditeur (ex : [email protected]) et qui permet de contacter le site en direct ou par le biais des formulaires de contact pour les demandes du quotidien,
• et l’adresse email du DPO, Data Protection Officer, qui doit être mentionnée pour faire valoir ses droits d’opposition, de rétractation ou de suppression sur ses données personnelles (ex : [email protected]).

Astuce : Vous pouvez mentionner une adresse email avec [@] pour éviter de recevoir des spams issus des crawls des robots sur votre site.

Mentions légales, politique de confidentialité, utilisation des cookies ?

On voit pas mal de formats différents. Lors d’un audit de conformité, le format n’est pas imposé. En revanche, toutes les informations obligatoires doivent apparaître.

Vous pouvez tout inclure dans les mentions légales. Vous pouvez aussi distinguer les mentions légales de la politique de confidentialité, ce qui est plus le cas des sites marchands car les règles sont plus nombreuses.

On voit beaucoup de mentions légales qui incluent les règles d’utilisation des cookies.

Quelque soit le format utilisé, vous devez présenté le traitement des données personnelles collectées, à quoi elles servent, combien de temps elles sont conservées, à qui sont-elles transmises, … 

L’utilisation des cookies

Pour auditer votre site sur la partie « cookies », je vous propose les étapes suivantes :

1. Lister tous les cookies : essayer plusieurs navigateur et naviguer sur votre site pour déclencher tous les cookies potentiels.

Plusieurs façons d’obtenir les cookies présents :

Méthode 1 : dans la barre d’url

1. Cliquez sur le cadenas,
2. Aller sur Cookies pour les consulter

Méthode 2 : sur Chrome

1. Cliquez sur les 3 points en haut à droite
2. Aller sur Paramètres puis Paramètres avancés
3. Aller sur Paramètres de contenu dans la rubrique Confidentialité et Sécurité pour consulter les cookies

2. Faire le tri : tous ces cookies ne sont probablement pas utiles au bon fonctionnement de votre site. Pour les cookies inutiles, désactivez-les. Pour ceux que vous souhaitez conserver, il va falloir les présenter dans vos mentions légales ou sur votre page d’utilisation des cookies en expliquant leur utilité et le traitement réalisé.

3. Informer les visiteurs sur leurs droits : Vous allez aussi devoir indiquer comment, pour chaque navigateur (Firefox, Chrome, Yahoo, …) les désactiver lors de la navigation.

4. Mettre en place un bandeau d’acceptation des cookies si nécessaire : s’il vous reste des cookies, alors vous allez devoir installer un bandeau d’acceptation des cookies.

Laisser le choix entre de refuser les cookies : beaucoup de sites n’offrent pas ce choix et se contentent de restreindre les fonctions accessibles sur le site tant que les cookies ne sont pas accepter. D’autres mettent en place un bandeau tellement grand que l’on a qu’une hâte, le faire disparaître en cliquant sur Accepter. Dans une démarche purement marketing, je comprends que l’on puisse avoir du mal à laisser le choix de refuser, au risque de perdre des données statistiques de navigation. Pour autant, je reste convaincu que laisser le choix est un gage de confiance supplémentaire qui permet de mesurer l’indice de confiance de vos visiteurs vis à vis de votre site.

A ce sujet, une étude a été réalisée sur la confiance des internautes sur internet.

Les formulaires de contacts

Les formulaires de contact sont précieux, ils permettent de collecter les demandes de vos visiteurs, de segmenter les typologies de demandes pour personnaliser vos réponses, d’être en contact avec vos cibles, etc. Bref, on ne va pas lister tous les intérêts d’un formulaire, en revanche, parlons des obligations qu’impose le RGPD.

La durée de conservation des données : elle varie selon le type de données personnelles collecté :

• pour les données liées à la prospection : 3 ans
• en ce qui concerne les données issues de la vente : 5 ans
• et pour les données liées au recrutement : 2 ans

Le respect de durées  peut être garanti par des règle de suppression des données personnelles sur vos bases de données. Quant aux emails issus des formulaires de contact qui arrivent directement sur vos boîtes emails, veillez à supprimer ces données en respectant ces durées.

Les droit des internautes doivent être rappelés sur le formulaire ainsi que l’utilisation faite des données collectées (que l’on retrouvera aussi dans vos mentions légales). L’adresse email du DPO doit être mentionnée également sur le formulaire pour pouvoir faire appel à ses droits d’opposition, de rétractation ou de suppression.

Astuce : Vous pouvez mentionner une adresse email avec [@] pour éviter de recevoir des spams issus des crawls des robots sur votre site.

La mise en place d’un CAPTCHA permettra d’éviter l’intrusion des robots qui scrutent les formulaires pour trouver des failles.

La sous-traitance

Les prestataires qui ont accès à vos données doivent également être « RGPD compliant ». Ils doivent faire la preuve qu’ils respectent bien les règles en vigueur sur la protection des données personnelles (conservation des données, sécurité en place, sécurisation en cas de diffusion à des tiers, …).

C’est le cas des agences web, des hébergeurs, des agences de communication qui réalisent des campagnes pour vous. En fait tous les acteurs qui ont un accès à vos données.

En dernier ressort, c’est vous le responsable des données personnelles de votre site, d’ou l’importance de travailler avec des prestataires qui pourront vous assurer qu’ils respectent bien les règles.

Les liens

Les liens qui dirigent vers d’autres sites depuis le vôtre doivent être distincts. L’idée est d’être transparent avec vos visiteurs et de distinguer votre site des autres lors de leurs navigations.

Pour cela, il faut que les liens vers d’autres sites se fasse dans un nouvel onglet, et que vos liens, vos ancres soient reconnaissables (en gras, surligné,  coloré, …, à vous de faire en sorte qu’on distingue bien vos liens).

Et pour les sites e-commerce

Là encore, le but est d’être transparent. Cela se traduit sur les éléments liés à l’achat, les conditions de livraison, de retour, de paiement, de traitement des données collectées, de durée de conservation de ces données, …

Quelques sources :

CNIL : Le texte officiel

Comment répondre aux obligations du RGPD ?