Depuis la mise en application de ce nouveau texte en mai 2018, les entreprises tentent d'avancer sur leur mise en conformité par rapport au RGPD. Au delà des tâches internes comme la cartographie et l'établissement des fiches de registre, il faut également mettre en œuvre un chantier sur les outils numériques, qui consomment des données personnelles à des fins fonctionnelles, marketing ou commerciales. C'est véritablement la partie émergée de l'iceberg, celle qui est visible et contrôlable à distance. Naturellement, les annonceurs se retournent vers leurs éditeurs pour réaliser cette intervention chirurgicale. Dans ce dossier, notre but est de vous aider à voir plus clair en listant ce que vous devez réaliser, en détaillant les bonnes pratiques pour être conforme, sans être pour autant tue-l'amour !

Concrètement, que faut-il faire sur un site web pour le rendre conforme au RGPD ?

Informer sur la collecte des données personnelles

La première des choses à faire est d'informer en toute transparence sur les différentes collectes et traitements que vous réalisez. Cette communication doit se faire à 2 niveaux :

  • Au cas par cas lorsque vous collectez des données personnelles : dans un formulaire de contact, dans une page d'atterrissage, dans un tunnel de commande (en fait, partout où vous affichez des formulaires) mais aussi dès votre page d'accueil par le biais des cookies que vous déposez.
  • Un résumé de toutes les collectes et traitements réalisés dans une politique de confidentialité hébergée sur une page de votre site et facilement accessible depuis les points de collecte.

Dans les 2 cas, vous devez avertir votre utilisateur que vous allez stocker et traiter ses données personnelles en précisant certaines choses :

  • La nature des données collectées : il convient de préciser exactement les données personnelles que vous allez collecter dans le cadre de la finalité. Attention à ne stocker que les données strictement nécessaires à l'accomplissement de cette dernière (par exemple, dans le cas d'une newsletter, vous n'avez a priori besoin que de l'email).
  • La finalité de la collecte doit également être clairement accessible (envoi d'une newsletter, analyse statistique, affichage de publicités ciblées…).
  • Les sous-traitants qui auront accès à ces données personnelles. Il peut s'agir de sociétés partenaires (un call center par exemple) ou de logiciels externes que vous utilisez (une CRM, un routeur emailing, …).
  • La durée de conservation des données personnelles. Dans un souci de protection des droits et libertés des personnes, le RGPD a précisé les modalités de conservation et de suppression des données personnelles.
Fig. 1. La conformité en ligne est la partie la partie visible de l'iceberg.

...

[Cet article est disponible sous sa forme complète pour les abonnés du site Réacteur. Pour en savoir plus : https://www.reacteur.com/2019/04/10-conseils-pour-rendre-votre-site-compatible-rgpd.html]

Un article écrit par Laurent Thomas, Cofondateur de la solution Axeptio (https://www.axeptio.eu/).

Articles complémentaires :