Le RGPD, cela vous dit quelque chose ? Cette réglementation européenne relative à la protection des données s’applique à tous les sites vitrine, blogs, boutiques en ligne et autres marketplaces, susceptibles de recevoir la visite de lecteurs, clients ou prospects. Un site internet conforme au RGPD n’est donc pas une option. Pour éviter les sanctions et construire une relation de confiance avec vos clients, suivez le guide Infolawyers.
Site internet conforme au RGPD : de quoi parle-t-on?
Le Règlement Général sur la Protection des Données, communément désigné sous l’acronyme RGPD, est un texte européen entré en application le 25 mai 2018.
Contrairement à une directive de l’Union européenne, un règlement est directement applicable en droit national. En France, il est venu renforcer et compléter la fameuse loi Informatique et Libertés, régulièrement mise à jour. Le principal objectif de la réglementation RGPD est de renforcer la protection de la vie privée et des données personnelles des individus au sein de l’Union européenne.
Un site internet conforme au RGPD est donc un site qui respecte les règles et les réglementations établies par ce texte. Pour cela, une série de mesures doivent être mises en place. Elles visent notamment à :
- Obtenir le consentement explicite des internautes avant de collecter leurs données personnelles, via notamment une politique de confidentialité, des mentions d’informations en cas de collecte de données, ainsi qu’un bandeau cookies en cas de tracking publicitaire ;
- Respecter les droits des utilisateurs : ces derniers doivent pourvoir s’opposer au traitement. Ils disposent également d’un droit d’accès, de rectification, d’effacement et ou encore de portabilité des données.
- Sécuriser les données pour éviter les intrusions non autorisées ainsi que la perte et le vol des informations.
Quels sont les risques en cas de site internet non conforme au RGPD?
La non-conformité RGPD de votre site internet peut avoir des conséquences lourdes pour votre activité. La CNIL dispose en effet d’un arsenal gradué et complet de sanctions. Parmi elles, on retrouve notamment :
- Le simple rappel à l’ordre prononcé en première intention afin de vous inciter de manière non coercitive à mettre votre site internet en conformité avec le RGPD ;
- L’injonction, assortie dans certains cas d’une astreinte journalière de 100 000 euros maximum ;
- L’interdiction temporaire ou définitive de réaliser le traitement de données concerné.
Mais ce n’est pas tout. Vous avez sûrement eu vent de la décision de la CNIL à l’encontre de Facebook ? Le 31 décembre 2021, le géant des réseaux sociaux s’est vu infliger une sanction financière d’une ampleur inégalée, atteignant la somme colossale de 60 millions d’euros ! Il convient toutefois de noter que cette sanction découle de multiples infractions au RGPD, touchant pas moins de 50 millions d’utilisateurs.
Vous l’aurez compris, les amendes RGPD sont parfois très lourdes. Elles peuvent atteindre jusqu’à 10 millions d’euros ou 2 % de votre chiffre d’affaires annuel mondial. En cas de manquement grave, cette amende peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de votre entreprise.
Bien évidemment, les principales entreprises visées sont les grands groupes. Toutefois, c’est justement pour cette raison que ces derniers accordent une attention particulière aux pratiques de leurs annonceurs. Vos publicités ou votre page Facebook pourront ainsi être pénalisées en cas de violation du RGPD.
Par ailleurs, certaines plus petites entreprises peuvent aussi faire l’objet de sanctions. Le 15 janvier 2023, la CNIL a sanctionné une société de voyance pour violation du RGPD. Vous pouvez retrouver les sanctions publiques de la CNIL, ici : https://www.cnil.fr/fr/thematique/cnil/sanctions
Enfin, outre les lourdes sanctions pénales qui existent en droit français pour une collecte déloyale ou illicite (Art. 226-18 du Code pénal), le RGPD ouvre dans son article 82 à réparation pour les dommages causés. Un certain nombre d’actions judiciaires sont entamées sur ce fondement, y compris par notre cabinet d’avocat TLMR.
Ces faits rappellent l’importance cruciale de se conformer au RGPD de façon rigoureuse pour toutes les entreprises traitant des données personnelles.
Comment avoir un site internet conforme au RGPD?
La mise en conformité RGPD de votre site nécessite plusieurs actions de votre part. Voici comment procéder.
1. Mettre en place une politique de confidentialité
C’est la première démarche à entreprendre pour un site conforme au RGPD. Ce document doit être clair, concis et facilement accessible aux utilisateurs. Il doit notamment contenir les éléments suivants :
- L’identité du responsable de traitement et, le cas échéant, les coordonnées du Data Protection Officer, ou DPO / Délégué à la Protection des données si vous en avez un (ce qui n’est pas obligatoire pour un simple site ecommerce) ;
- Les catégories de données collectées sur votre site internet ;
- La ou les finalités des traitements que vous réalisez ;
- Les éventuels destinataires des données ;
- Leur durée de conservation ;
- Les différents droits des utilisateurs consacrés par le RGPD : vous devez notamment les informer de la possibilité de s’opposer au traitement de leurs données, à tout moment.
Bon à savoir : l’article 13 du RGPD dresse la liste de toutes les informations à ajouter dans votre politique de confidentialité.
2. Prévoir des formulaires conformes au RGPD et au Code des postes et des communications électroniques (CPCE)
Tous les formulaires de votre site internet doivent être conformes au RGPD. Cette obligation concerne aussi bien les formulaires de contact ou de téléchargement (livre blanc, e-book, etc.), que les inscriptions (newsletters, webinaires, etc.) ou les demandes de devis et de rendez-vous en ligne.
Si votre collecte a pour finalité la prospection commerciale, la première règle à respecter est l’obtention du consentement préalable. Il se formalise, en principe, par une case à cocher, associée à un texte indiquant la finalité du traitement.
La seconde règle concerne l’information de l’internaute. Ici, la bonne pratique consiste à ajouter sur tous vos formulaires un lien vers votre politique de confidentialité.
Par ailleurs, sachez que le traitement de données dites “sensibles” (données de santé, données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale) est en principe interdit. Veillez à bannir tout traitement de ce type dans vos boutiques en ligne ou vos sites ecommerce.
Si jamais vous envisagez de tels traitements pour votre site internet, il est recommandé de vous faire accompagner par un cabinet spécialisé comme le cabinet TLMR pour vous conformer à la réglementation (demande d’autorisation à la CNIL, désignation d’un DPO, mise en place d’un PIA, recours à un hébergeur de données de santé agréé…).
3. Ajouter un bandeau Cookies pour garantir un site internet conforme au RGPD
Le RGPD n’interdit pas l’utilisation des cookies. Vous pouvez donc continuer à mettre en place des traceurs publicitaires et des traceurs de navigation. À condition, toutefois, d’informer l’internaute au préalable, de lui expliquer les raisons de ce tracking et de lui permettre de moduler son consentement. Il doit également être en mesure de s’opposer à l’utilisation des cookies, à tout moment. Ce choix ne doit pas l’empêcher de naviguer sur votre site.
La mise en place d’un bandeau cookies est une pratique courante et efficace pour assurer la conformité RGPD de votre site internet.
4. Remplir un registre de traitement
C’est un élément clé de votre conformité RGPD. Son article 30 vous impose de tenir un registre de l’ensemble de vos traitements, dès lors qu’ils ne sont pas “occasionnels”. Son objectif est de fournir une vue d’ensemble sur ce que vous faites des données collectées. En cas de fuite, il vous permettra d’évaluer l’ampleur de la situation et de mettre en œuvre les actions adéquates.
Bon à savoir : les entreprises de 250 salariés sont exemptées de registre si leurs traitements sont occasionnels et concernent des données non sensibles. Par ailleurs, cette collecte ne doit pas entraîner des risques pour les droits et les libertés des personnes concernées.
5. Assurer une gestion efficace des demandes de suppression et de désinscription
Pour garantir un site internet conforme au RGPD, il est impératif d’établir un processus permettant la modification ou la suppression de leurs données personnelles. En d’autres termes, vous devez offrir aux utilisateurs une manière simple et accessible de solliciter des modifications ou la suppression des informations les concernant. L’approche la plus efficace consiste à prévoir une page dédiée à cet usage.
La conformité RGDP de votre site internet doit faire partie de vos priorités, dès sa conception. Malheureusement, souvent occupés à mettre sur pied leur business en ligne, trop d’entrepreneurs du web négligent cet aspect. Votre site internet ne respecte pas le RGPD ? Vous voulez avoir une protection permanente sur ces sujets pour la conformité de vos sites web ? La solution Bouclier 360 est faite pour vous et vous permettra d’assurer la sécurité juridique de votre entreprise. Des avocats de très haut niveau vous conseillent et vous accompagnent pour assurer votre croissance en toute sérénité.
