I. Intégrer sur votre site internet des éléments légaux obligatoires.
L’article 5 1) a) du RGPD dispose que :
« Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».
La notion de transparence est un principe clef du RGPD qui implique que le responsable de traitement informe les personnes concernées des traitements qui sont effectués sur leurs données à caractère personnel.
Sur ce point, les articles 13 & 14 du RGPD prévoient que le responsable de traitement informe les personnes concernées notamment sur :
son identité et le cas échéant celle de son Délégué à la Protection des Données (DPO) ;
les finalités du traitement ;
la base légale du traitement ;
les données ou catégories de données traitées ;
les destinataires ou catégories de destinataires des données ;
l’existence ou non de transfert de données ainsi que le mécanisme juridique sur lequel repose ce mécanisme ;
les durées de conservation ;
les droits dont ils disposent.
En pratique, cette obligation va se traduire dans l’implémentation sur vos sites internet de :
Mentions d’informations (A) ;
Mentions légales (B) ;
Politique de confidentialité (C).
A. Les mentions d’information.
A chaque formulaire de contact, à chaque point de collecte de données (exemple : inscription à une newsletter), une mention d’information doit apparaître. Cette mention est le premier niveau d’information que reçoit l’internaute.
En pratique, il est conseillé d’y intégrer au minimum les informations suivantes :
L’identité du responsable de traitement et des destinataires des données ;
Les finalités du traitement et sa base légale ;
Les droits des personnes concernées et la manière de les exercer.
Cette mention d’information doit également pointer vers la politique de confidentialité pour permettre à l’internaute d’avoir accès à une information plus exhaustive.
B. Les mentions légales.
Les mentions légales sont un élément obligatoire à tout site internet, que ce site soit un site de e-commerce ou non (il peut s’agir d’un blog par exemple, ou d’un site vitrine).
L’obligation d’implémenter des mentions légales sur un site internet est tirée de la Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique qui prévoit qu’un éditeur de site internet fasse apparaître un certain nombre d’informations le concernant comme par exemple son identité (raison sociale, numéro d’inscription, numéro de TVA etc.), sa forme juridique, l’identité de son hébergeur, mais également les informations visées aux articles 13 & 14 du RGPD ainsi que celles relatives aux cookies (voir II).
La CNIL admet néanmoins la possibilité de fournir une information en deux temps. En effet, il est possible de prévoir dans les mentions légales un minimum d’informations et d’opérer un renvoi vers une politique de confidentialité dédiée. Cela permet à l’internaute de disposer d’une information plus complète et ciblée. Par ailleurs, disposer d’une rubrique dédiée à la politique de confidentialité permet également à l’internaute de trouver plus facilement l’information.
C. La politique de confidentialité.
La politique de confidentialité permet d’informer de manière exhaustive les internautes de la manière dont sont traitées leurs données.
Pour être efficace, la politique de confidentialité doit être :
Concise : l’information doit être courte et lisible ;
Compréhensible : l’information doit être rédigée de la manière la plus claire, précise possible. Il est préférable d’utiliser un vocabulaire simple et d’adapter l’information au public visé.
Accessible : l’internaute doit facilement pouvoir trouver la politique. En pratique il conviendra d’insérer une rubrique « politique de confidentialité » dans le "footer" du site.
Par ailleurs, la politique de confidentialité doit permettre d’expliquer à la personne concernée quels sont les droits dont elle dispose et comment elle peut les exercer : par l’envoi d’un courriel ou d’un courrier au DPO par exemple.
II. Les cookies.
Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est-à-dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine. Les cookies ont de nombreuses finalités : mesure de l’audience, mémoire d’un panier achat, configuration des préférences de navigation etc.
Le recours aux cookies est particulièrement encadré par le RGPD mais également la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, dites « Directive E-Privacy ».
La CNIL a publié en 2020 des lignes directrices et une recommandation [1] destinées aux professionnels pour les accompagner dans leur mise en conformité.
Ce qu’il faut retenir :
Si le recours au cookie n’est pas strictement nécessaire aux fonctionnalités expressément demandées par l’utilisateur ou bien à l’établissement de la communication entre le site et l’internaute, le consentement à leur implémentation est obligatoire ;
Lorsque le consentement de l’internaute est nécessaire, il est obligatoire de le recueillir avant toute opération d’écriture ou de lecture de cookies ;
Le consentement doit pouvoir être donné finalité par finalité ;
Le consentement n’est valablement recueilli que si l’internaute a reçu une information claire des typologies de cookies déposés sur son terminal et de leurs finalités. En pratique, cela implique que soit implémenté un bandeau d’information sur le site et qu’une information complète soit intégrée à la politique de confidentialité ;
Le consentement ne peut être recueilli que par un acte positif clair. Par exemple par un clic sur un bouton « accepter » ou « je consens ». La poursuite de la navigation n’étant pas un acte positif clair ;
Il doit être aussi facile pour un internaute de consentir aux cookies que de refuser leur dépôt. En pratique, il conviendra d’intégrer sur le bandeau cookies, au même niveau, un bouton « accepter » et un bouton « refuser » ;
L’utilisateur doit pouvoir revenir sur son choix à tout moment, par exemple via un module de gestion des préférences cookies ;
Attention notamment aux cookies analytics et de publicité ciblée qui suivent un régime spécifique.
III. La sécurité des données.
Le RGPD prévoit que les données soient :
« traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) » [2].
Lorsque vous êtes amenés à traiter des données à caractère personnel en ligne, vous devez veiller à ce que votre site internet puisse offrir un niveau de sécurité élevé et adéquat. La CNIL a d’ailleurs fait de cette problématique une de ses thématiques prioritaires de contrôle pour l’année 2021.
En 2022 elle a ainsi adressé, 15 mises en demeure [3] contre des sites internet qui ne respectaient pas la règlementation en la matière.
Par exemple, voici quelques règles simples qu’il convient d’implémenter :
l’ensemble du parcours de vente doit être en https;
vos clients ou utilisateurs doivent choisir un mot de passe complexe à la création de leur compte [4] ;
ne transmettez pas de données personnelles par email (exemple : mot de passe, coordonnées personnelles, documents contractuels) ;
ne conservez pas les coordonnées bancaires de vos clients ;
sécurisez les transactions bancaires.
La conformité au RGPD ne doit pas être négligée et peut même devenir un argument concurrentiel très important pour les entreprises. Pour vous mettre en conformité, faites-vous accompagner par une personne spécialisée qui saura vous conseiller et s’adapter à vos besoins.
