La loi européenne RGPD (pour Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai dernier. Destiné à protéger les données personnelles des internautes, ce réglement demande à tous les éditeurs de sites web de se conformer à une liste assez contraignante de directives. Voici, dans cet article, un résumé des actions à mettre en place sur un site web de façon générale, ainsi que l'impact potentiel du RGPD sur Analytics et le SEO.
Depuis fin Mai 2018, le texte de loi européen RGPD est entré en vigueur et impacte la façon dont les entreprises doivent stocker et utiliser les données personnelles de leurs utilisateurs. Cet article vise donc à décortiquer ce qu'est le RGPD et ce que ce texte de loi implique sur la gestion de son site web.
Le RGPD, c'est quoi ?
Comme indiqué précédemment, le RGPD est un texte de loi européen servant de référence pour la protection des données à caractère personnel. Ce texte voté en Avril 2016 est entré en application le 25 mai 2018 pour les 28 états membres de l'union européenne, et remplace le texte précédent datant de 1995 (source).
Le but de ce texte de loi est simple : renforcer la protection des personnes et de leurs données respectives, et responsabiliser les acteurs (entreprises, ONG, associations, etc.) dans le traitement de ces dernières.
Fig. 1. Le RGPD est en place depuis le 25 Mai 2018
(source de l'image : http://www.eemi.com/rgpd-bras-arme-de-protection-donnees-personnelles/)
Vous verrez parfois apparaître la terminologie GPRD. Il s'agit simplement du terme anglais « General Data Protection Regulation ».
Il existe 4 grands principes dans ce texte de loi : le consentement, la transparence, le droit des personnes et le principe de responsabilité.
Le consentement
La personne qui vous transmet ses données personnelles doit l'avoir fait de manière consentie par un acte clair, libre et non équivoque, et ce consentement peut être retiré à tout moment par la personne concernée. En d'autres termes, à chaque fois qu'un utilisateur vous donne accès à des données personnelles (par exemple son email), elle doit l'avoir fait de son plein gré en toute connaissance de cause.
En B2B, les règles sont légèrement différentes : la collecte du consentement n'est pas obligatoire si la finalité de l'utilisation de ces données est respectée (par exemple, une adresse email professionnelle pour l'envoi de newsletter ne nécessite pas de consentement si la personne a utilisé explicitement un formulaire d'abonnement à une newsletter). En d'autres termes, les cases pré-cochées sont autorisées. Attention, cela ne veut pas dire pour autant que c'est une bonne idée pour votre image de marque ou pour votre taux de conversion.
La transparence
Désormais, nous avons l'obligation d'indiquer clairement et sans aucune ambiguïté la façon dont nous allons traiter, stocker et sécuriser les données. Les utilisateurs doivent aussi savoir qui y aura accès et à quelles fins ces informations seront utilisées.
Le droit des personnes
Les utilisateurs disposent également de droits supplémentaires, notamment le droit à l'oubli pour TOUTES les personnes. Sur ce point, les entreprises disposent d'un mois pour supprimer toutes données suite à la demande d'un utilisateur (contre deux mois auparavant).
Autre droit important, celui de la portabilité : une personne doit maintenant pouvoir récupérer les données qu'une entité a sur elle, pour ensuite pouvoir les transférer à une autre.
Le principe de responsabilité
Les entreprises deviennent encore plus responsables des données qu'elles traitent (ou que leurs sous-traitants utilisent). Elles doivent ainsi s'assurer de la protection de ces données, ainsi que de définir en interne une personne responsable de l'ensemble de ces informations (ce qu'on appelle le DPO dont on parlera après).
Qu'est-ce qu'une donnée personnelle ?
C'est la clé pour comprendre tout le texte de loi : une donnée personnelle est une information permettant d'identifier une personne physique, que ce soit de manière directe ou indirecte. En voici quelques exemples :
- Nom et prénom ;
- Photographie ;
- Email ;
- Adresse postale ;
- Adresse IP ;
- Numéro de téléphone ;
- Identifiant (login par exemple) ;
- Numéro de sécurité sociale ;
- Etc.
La définition étant assez large, la plupart des informations que l'on collecte sur un individu tombent dans cette définition des données personnelles.
Le rôle du DPO
Le DPO (« Data Protection Officer ») est la personne responsable de la protection des données et de la mise en conformité RGPD de l'organisme concerné. Il doit s'assurer :
- De la bonne utilisation par ses collaborateurs des données (vérification, conseil, sensibilisation, etc.) ;
- De la sécurisation de ces données (accès, stockage, sauvegardes, etc.) ;
- De la bonne utilisation de ces données ;
- De la collecte correctement menée de ces données (donc avec un consentement clair de l'utilisateur).
On peut comparer le rôle du DPO à l'ancien rôle du correspondant informatique et liberté. Mais attention, car le DPO gère (théoriquement) toutes les données de l'entreprise, y compris celles stockées ailleurs par des applications tierces (par exemple Google Analytics). Ainsi, le DPO devra correctement gérer et cartographier toutes les données de l'entreprise, où qu'elles soient.
C'est aussi le cas pour la sous-traitance, où il peut être tentant de « déléguer » par un contrat la responsabilité des données (par exemple, vous faites appel à une agence pour des campagnes d'emailing et ils gèrent la collecte et l'envoi des données personnelles). Cependant, l'entreprise ne pourra pas déléguer l'intégralité de cette responsabilité à un tiers, ce dernier étant de facto responsable de toutes les données qu'il traite et votre propre structure également (source).
Quand doit-on se mettre au RGPD ?
Théoriquement, tous les sites et sociétés auraient dû être conformes dès le 25 mai 2018. Si ce n'est pas encore le cas, il est donc urgent de se conformer à la nouvelle réglementation.
Attention cependant, la commission européenne et la CNIL ont déclaré que les premiers mois ne devraient pas déboucher sur des sanctions et que cela commencera par une phase de pédagogie : « Pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d'impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d'accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes. En présence d'organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n'auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points. » (Source)
Quel impact pour l'internaute
Au-delà du harcèlement que beaucoup d'entre nous ont connu ces dernières semaines avec les emails des entreprises voulant se mettre en conformité, le changement principal est celui du consentement.
Les entreprises doivent récolter un consentement écrit, clair et explicite de l'internaute avant le traitement de données personnelles. Cela impacte notamment tous les formulaires (inscription, newsletter, achat, etc.) qui doivent donc ajouter une case pour obtenir ce consentement.
Les internautes doivent aussi avoir accès a minima à un contact leur permettant d'exercer leur droit à l'oubli et/ou à la modification de leurs données personnelles.
Que doit-on faire pour être conforme au RGPD ?
La CNIL a publié plusieurs guides permettant de bien comprendre ce que vous devez faire pour être en conformité RGPD :
- https://www.cnil.fr/fr/rgpd-par-ou-commencer
- https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
En voici le résumé :
Définir un pilote : le DPO
Première étape : définir le DPO qui va gérer toute la réglementation RPGD de l'entreprise. Il devra s'assurer de la bonne collecte, sécurisation et utilisation des différentes données.
Ce DPO devra être explicitement nommé sur votre site, sur la page dédiée au RGPD et/ou dans vos mentions légales. Pour rappel, il doit :
- Informer et conseiller toute l'entité sur les notions de données personnelles ;
- Sécuriser et vérifier la bonne utilisation et le bon stockage des données ;
- Contrôler le respect de la loi ;
- Coopérer avec l'autorité de contrôle si besoin est.
Vous devrez également désigner le DPO directement sur le site de la CNIL : https://designations.cnil.fr/dpo/designation/organisme.designant.delegue.action
Auditer son traitement de données
La seconde chose à faire pour l'entreprise est d'auditer les données qu'elle possède :
- Quelles sont les données que l'on collecte ?
- Comment collecte-t-on ces informations ?
- A-t-on bien le consentement de l'utilisateur ?
- À quoi servent-elles ?
- Qui gère, accède et utilise ces données ?
- Sont-elles sécurisées (cette question est d'ailleurs multiple car ce stockage peut se faire sur différents logiciels ou serveurs) ?
- L'utilisateur sait-il ce qu'on fait de ses données ?
- L'utilisateur peut-il facilement demander une modification, suppression ou export de ses données ?
Constituer un registre de traitement de données
De l'action précédente découle cette troisième étape : mettre les résultats de cette analyse dans un registre dédié afin de pouvoir en toute transparence justifier des données que l'on collecte.
Plusieurs modèles sont donnés sur le site de la CNIL :
- https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf
- https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
- https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.rtf
Fig. 2. La CNIL fournit des modèles de traitement des données personnelles.
Faire le tri des données actuelles
Lors de la conception du registre, la CNIL conseille de faire le tri de toutes vos données afin de supprimer celles devenues inutiles et celles en doublon.
On conseille également de mieux centraliser le stockage de ces mêmes données afin d'en faciliter l'utilisation, le contrôle, la modification et la sécurisation.
Respecter le droit des personnes
Sous cette appellation se cache deux étapes importantes. La première est d'informer les utilisateurs sur tous vos supports de collecte. Vous devez indiquer :
- À quelle finalité les données vont être utilisées ;
- Qui y aura accès ;
- Leur durée de stockage ;
- Les modalités de recours pour modifier ces mêmes données ;
- Si ces données seront transférées hors de l'Union Européenne ou non.
Dans le même temps, cela implique une autre étape : permettre aux différentes personnes d'exercer leurs droits. Elles doivent donc être capable de vous contacter (formulaire, email, téléphone, adresse postale) pour avoir accès :
- À la modification des données ;
- À la suppression de celles-ci (droit à l'oubli) ;
- À l'exportation de ces dernières.
Sécuriser les données
Le DPO doit s'assurer de la sécurisation des données. Cela signifie plusieurs choses, notamment :
- Le contrôle des accès à ces données :
- en interne et en externe ;
- avec des logins et mots de passe uniques et sécurisés ;
- en changeant les mots de passe régulièrement ;
- en chiffrant éventuellement ces données.
- En sécurisant les différents périphériques (mises à jour du système d'exploitation, mises à jour antivirus, etc.) ;
- L'accès pur et simple aux locaux où sont stockées les données ;
- Etc.
Les risques
En cas de non-respect de la réglementation les amendes potentielles sont énormes : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaire annuel mondial sur l'exercice précédent.
Et si une société ou un organisme constate lui-même une infraction dans l'utilisation de ses données (destruction, perte, vol, divulgation, etc.), elle doit signaler sous 72 heures cet état de fait sur le site de la CNIL, sous peine de pénalités.
RGPD et SEO
Théoriquement, le RGPD ne devrait pas avoir d'impact sur le référencement naturel. En soi, ce n'est pas un critère de positionnement, ni d'indexation. Un site non conforme ne sera donc pas pénalisé sur un moteur de recherche et un site conforme ne sera pas avantagé.
Cela va en réalité impacter surtout les logiciels que nous utilisons, car nombre d'entre eux contiennent des données personnelles, comme par exemple une majorité d'outils de Webanalytics ou encore les outils d'analyse de logs.
Ces outils s'adaptent donc les uns après les autres, comme Google Analytics : https://support.google.com/analytics/answer/7105316?hl=en
Fig. 3. Analytics a ajouté un nouveau menu lié au RGPD.
Parmi les impacts de cette loi par rapport au SEO, deux points peuvent être notés :
- Cela force à créer un contenu indiquant la manière dont vous traitez les données personnelles. Sur certains CMS, c'est parfois une nouvelle page qui sera créée automatiquement, créant de ce fait une URL pauvre en contenu pour un moteur de recherche ;
- Cela force certains hébergeurs à masquer le WHOIS. Cela peut avoir pour avantage de créer plus facilement un réseau de sites en masquant le propriétaire de ces derniers (source https://blog.internet-formation.fr/2018/06/le-rgpd-va-tuer-les-whois-identifies-quoi-en-penser/)
Fig. 4. Certains hébergeurs vont masquer le WHOIS pour certaines extensions de noms de domaine.
Il faut d'ailleurs garder en tête que plusieurs dispositions de cette loi ont déjà été anticipées par certaines entreprises. Par exemple, Google a traité plus de 650 000 demandes de droit à l'oubli en 4 ans (source).
WordPress et le RGPD
Tous les CMS sont impactés par le RGPD. En ce qui concerne WordPress, celui-ci s'est adapté au RGPD depuis la version 4.9.6, tout comme nombre de ses extensions.
Cette version inclut la plupart des points bloquants de la RGPD et donne un très bon exemple sur les actions à mener pour se mettre en conformité (du moins pour un site Internet). Si vous avez un autre CMS ou une solution développée sur mesure, vous pouvez vous inspirer du travail réalisé par les équipes de WordPress.
Premier
élément mis en place : l'ajout d'une case à cocher pour les commentaires.
Fig. 5. Une nouvelle case à cocher dans les commentaires WordPress.
Un nouveau menu d'administration a également été ajouté, dans laquelle vous pouvez sélectionner votre page de politique de confidentialité, ou bien vous pouvez demander à WordPress d'en créer une qui sera pré-remplie (attention, il faudra quand même l'adapter).
Fig. 6. Le menu pour sélectionner et/ou créer une page de politique de confidentialité.
Fig. 7. WordPress génère une trame de texte légal pour le RGPD.
Nous vous conseillons de créer la page via WordPress pour avoir une trame de politique de confidentialité cohérente. Mais nous conseillons d'en copier/coller le contenu dans votre page « Mentions légales » puis de sélectionner dans le menu cette dernière URL.
Enfin, WordPress a également ajouté deux nouveaux menus dans l'administration du site pour d'une part exporter les données d'un utilisateur, et d'autre part pour les effacer.
Fig. 8. WordPress permet d'exporter les données des utilisateur.
Attention, c'est aux développeurs d'extensions et de thèmes de faire de même si eux aussi collectent des données supplémentaires. Par exemple, Akismet, l'extension WordPress d'antispam la plus connue a lui aussi mis en place des éléments pour indiquer que des données personnelles transitent sur leurs serveurs. Les équipes de WordPress ont d'ailleurs mis en ligne un guide explicatif à destination des développeurs : https://developer.wordpress.org/plugins/privacy/.
Attention également, le cœur de WordPress s'est mis à jour pour respecter le RGPD. Mais c'est loin d'être parfaitement mis en place :
- Actuellement, seul un utilisateur « Administrateur » peut modifier la page de politique de confidentialité. Il faudra utiliser cette extension pour permettre aux « éditeurs » de la modifier : https://wordpress.org/plugins/manage-privacy-options/.
- C'est à l'administrateur du site de créer le formulaire pour permettre aux utilisateurs de faire une demande de modification, d'exportation ou de suppression de leurs données. Cette extension vous permet de gagner du temps en créant un formulaire dédié : https://fr.wordpress.org/plugins/gdpr-data-request-form/.
Conclusion
Il est temps pour les entreprises d'adopter cette nouvelle réglementation sous peine de pénalité, et le plus tôt sera le mieux. Contraignante, elle vise à mieux protéger les internautes et responsabilise encore plus les propriétaires de sites.
Mais rassurez-vous, il faudra quelques mois pour que tout soit correctement mis en place. Il suffit de voir l'étude d'Axenet sur le non-respect de cette loi par nos propres institutions (source https://blog.axe-net.fr/en-attendant-le-rgpd/) pour s'en rendre compte.
Daniel Roch, consultant WordPress, Référencement et Webmarketing chez SeoMix (http://www.seomix.fr)