- Le blog et les actualités de Witik
- Site internet et RGPD : les 4 points de vigilance
Site internet et RGPD : les 4 points de vigilance
Que vous possédiez un site e-commerce, un site institutionnel, ou encore simplement un site vitrine, vous devez protéger les données personnelles de vos utilisateurs ou visiteurs, conformément au RGPD.
Depuis 2014, la CNIL est en mesure de contrôler votre site internet, à distance, sans aucun avertissement préalable, de manière aléatoire ou suite à une plainte déposée par un internaute. Le gendarme de la donnée peut ainsi vérifier si les mentions d’information sont bien présentes, si les collectes de données personnelles se font dans les règles, si la sécurité du site est assez forte… en somme vérifier si vous appliquez à la lettre le RGPD.
Depuis l’entrée en vigueur du RGPD en 2018, plusieurs sanctions à l’encontre de sites internet ont été prononcées. Le montant des sanctions varie de 30 000 à 500 000 euros € selon le ou les manquement(s) constaté(s).
Pourtant, la mise en conformité d’un site web n’est ni la démarche la plus difficile, ni la plus onéreuse. Dans la plupart des cas, il est facile de ramener son site sur le chemin de la conformité.
Voici donc quatre points essentiels sur lesquels il est nécessaire d’être très vigilant pour assurer la conformité de votre site internet au RGPD.
1. Profilage (in)volontaire : le grand risque de votre site internet pour le RGPD
Le profilage est aujourd’hui très répandu dans le monde du e-commerce et concernant leur site internet. Il désigne « toute forme de traitement automatisé de données personnelles afin d’évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le rendement au travail, la localisation ou les déplacements de cette personne. ».
Le profilage peut rapidement constituer un traitement de données à risques, en particulier si :
– Il traite des données sensibles comme celles portant sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé, les données génétiques, les données biométriques, les données concernant la vie sexuelle ou l’orientation sexuelle de la personne. Par exemple, vous effectuez un traitement à risque si vous récoltez ces données via les réseaux sociaux et que vous les intégrez dans votre profilage en ligne.
– Il se base sur des données issues de traitements différents, et procède à un croisement ou une combinaison d’ensemble de données qui dépasse les finalités initiales. Par exemple, c’est le cas si vous envoyez à vos clients des offres commerciales personnalisées à partir de leur historique de navigation, les informations récoltées par les cookies, leurs historiques de commandes, leurs achats sur les sites partenaires, leurs programmes de fidélité, ou encore leurs données issues des réseaux sociaux.
– Il traite les données de personnes considérées « vulnérables » au sens du RGPD : les enfants, les personnes sous tutelle ou sous curatelle, les personnes malades… Par exemple, c’est le cas si vous souhaitez cibler une partie de votre clientèle en fonction de ces critères pour les rediriger notamment sur votre site internet.
Si un ou plusieurs de ces critères sont remplis, alors le profilage constitue un traitement à risque qui nécessite un encadrement particulier. Cette procédure particulière, c’est l’Analyse d’Impact sur la Protection des Données (AIPD), aussi appelé PIA, pour Privacy Impact Assessment. Il s’agit d’analyser les risques qui pèsent sur vos données : une attaque informatique, un accès non autorisé à vos serveurs, une disparition de vos données…
RGPD et site internet, des actions doivent être réalisées pour une mise en conformité !
2. Prospecter oui, mais dans les règles !
Une grande partie de vos prospects se sont inscrits à vos lettres d’information et d’offres commerciales via votre site web. Mais certaines règles sont à respecter lorsque vous procéder à l’envoi de mails.
Par principe, la prospection commerciale par mail est soumise au principe de l’opt-in, c’est-à-dire que la personne doit avoir donné son consentement à recevoir des mails.
Il existe cependant 3 exceptions à ce principe :
– Dans le cadre d’une relation B2B (entre professionnels)
– Dans le cadre d’une prospection non-commerciale (par exemple, une association à but non lucratif ou une fondation). A savoir : la promotion de votre société, même sans référence à la vente de produits ou services, constitue une prospection commerciale.
– Dans la cadre d’une relation B2C (entre un professionnel et un particulier) seulement si cette personne** a** déjà acheté un produit ou service auprès de ce professionnel. La prospection ne peut concerner que des produits ou services analogues. Par exemple, des livres et des films sont des produits analogues, car ils appartiennent tous les deux à la catégorie des produits culturels.
Dans ces 3 hypothèses précises, sans aucune action de sa part, la personne est réputée avoir donné son consentement à recevoir de la prospection, mais elle doit toujours avoir le moyen de le retirer : c’est l’opt-out.
Pour récupérer valablement le consentement de la personne à recevoir de la prospection commerciale, une case à cocher (non pré-cochée) doit être présentée sur votre site internet, avec l’intitulé « En cochant cette case, je consens à la réception des newsletters et offres commerciales de la part de la société X ». Si cette prospection se base sur un profilage, il est important de préciser que les offres sont « personnalisées ».
Une seconde case à cocher doit être prévue si vous proposez à votre utilisateur de recevoir de la prospection commerciale de vos partenaires. Un exemple d’intitulé : « En cochant cette case, je consens à la réception de la prospection commerciale de la part des partenaires commerciales de « X ». Pour consulter la liste de ces partenaires, vous pouvez consulter la Politique de confidentialité ». Là encore, si cette prospection se base sur un profilage, il est important de préciser que les offres sont « personnalisées ».
Qu’il s’agisse d’un opt-in ou d’un opt-out, la personne doit toujours avoir le moyen de retirer son consentement via, par exemple, un lien « se désabonner » en bas des mails, et/ou via son espace personnel dans les paramètres.
Dans une logique de documentation RGPD, une liste doit recenser la date d’opposition et l’adresse mail de la personne qui s’est opposée à recevoir de la prospection commerciale. Ces données doivent être conservées au minimum trois ans à compter de l’exercice du droit d’opposition, et ne peuvent en aucun cas être utilisées à d’autres fins.
3. Données des mineurs = vigilance !
Au sens du RGPD, les enfants appartiennent à la catégorie des personnes vulnérables, c’est-à-dire que le traitement de leurs données constitue un risque élevé. Il y a là une réelle volonté de protéger les enfants face à certaines techniques commerciales et marketing qui peuvent s’avérer agressives.
Quelques conseils lorsque vous traitez les données des enfants :
– Lorsque votre site web s’adresse en particulier à des mineurs, les mentions d’informations doivent être rédigées dans des termes simples et clairs. L’exigence de transparence vis-à-vis des personnes n’est pas à prendre à la légère quand il s’agit d’enfants ;
– Toute forme de profilage est à effectuer avec précaution : la publicité personnalisée ou comportementale ne doit pas être réalisée ni avec la même intensité, ni avec la même fréquence que celle des adultes (moins de données collectées, moins de mails envoyés…) ;
– Le RGPD impose une obligation de célérité lorsque le droit à l’effacement est exercé par une personne mineure, ou une personne majeure dont les données étaient traitées pendant son enfance ;
– En France, lorsqu’un mineur souhaite bénéficier d’un service en ligne, alors son consentement n’est valide que s’il est âgé de 15 ans ou plus. S’il est plus jeune, le traitement n’est licite que si le consentement est donné ou autorisé par le dépositaire de l’autorité parentale, via par exemple la récupération de l’adresse mail du responsable et de l’envoi d’un mail de validation.
4. La sécurité, au coeur de la conformité au RGPD de votre site internet
Une bonne sécurité passe avant tout par de bons réflexes. Par exemple :
– Utiliser lorsque c’est possible la double authentification pour se connecter en admin sur le site, par exemple combiner l’utilisation d’un mot de passe et d’un code reçu par SMS ;
– Limiter les accès aux seules données dont un utilisateur a besoin en révisant régulièrement les habilitations accordées sur le site internet ;
– Cloisonner les données personnelles par rapport au reste du système d’information afin de réduire la possibilité de les corréler et de provoquer une violation de sécurité.
À l’inverse, de mauvais réflexes peuvent créer des failles dans votre sécurité. Il convient d’éviter de :
– En interne, conserver les mots de passe par défaut. Et pour vos clients, imposer des mots de passe trop souples ;
– Sur un site web, ne pas mettre en place une connexion sécurisée à l’aide d’un certificat SSL, qui permet de s’assurer que les données qui transitent entre le navigateur et le serveur ne sont pas modifiées ou accessibles par un tiers, et de vérifier l’identité de l’expéditeur et du destinataire des données ;
– Ne pas vérifier si des pages à accès restreint (intranet, compte personnel…) sont référencées par les moteurs de recherche.
À ce sujet, la CNIL a mis en ligne un top 5 des problèmes de sécurité les plus récurrents des sites web.
Bien évidemment, les différentes thématiques que nous venons d’aborder ne suffisent pas à mettre en conformité votre site web. D’autres actions sont à effectuer.
Benjamin Baratta, Consultant RGPD