10 conseils pour rendre votre site compatible RGPD

Depuis la mise en application de ce nouveau texte en mai 2018, les entreprises tentent d’avancer sur leur mise en conformité par rapport au RGPD. Au delà des tches internes comme la cartographie et l’établissement des fiches de registre, il faut également mettre en œuvre un chantier sur les outils numériques, qui consomment des données personnelles à des fins fonctionnelles, marketing ou commerciales. C’est véritablement la partie émergée de l’iceberg, celle qui est visible et contrôlable à distance. Naturellement, les annonceurs se retournent vers leurs éditeurs pour réaliser cette intervention chirurgicale. Dans ce dossier, notre but est de vous aider à voir plus clair en listant ce que vous devez réaliser, en détaillant les bonnes pratiques pour être conforme, sans être pour autant tue-l’amour !

Par Laurent Thomas

Fig. 1. La conformité en ligne est la partie la partie visible de l’iceberg.

Concrétement, que faut-il faire sur un site web pour le rendre conforme au RGPD ?

1. Informer sur la collecte des données personnelles

La première des choses à faire est d’informer en toute transparence sur les différentes collectes et traitements que vous réalisez. Cette communication doit se faire à 2 niveaux :

• Au cas par cas lorsque vous collectez des données personnelles : dans un formulaire de contact, dans une page d’atterrissage, dans un tunnel de commande (en fait, partout où vous affichez des formulaires) mais aussi dès votre page d’accueil par le biais des cookies que vous déposez.
• Un résumé de toutes les collectes et traitements réalisés dans une politique de confidentialité hébergée sur une page de votre site et facilement accessible depuis les points de collecte.

Dans les 2 cas, vous devez avertir votre utilisateur que vous allez stocker et traiter ses données personnelles en précisant certaines choses :

1. La nature des données collectées : il convient de préciser exactement les données personnelles que vous allez collecter dans le cadre de la finalité. Attention à ne stocker que les données strictement nécessaires à l’accomplissement de cette dernière (par exemple, dans le cas d’une newsletter, vous n’avez a priori besoin que de l’email).
2. La finalité de la collecte doit également être clairement accessible (envoi d’une newsletter, analyse statistique, affichage de publicités ciblées…).
3. Les sous-traitants qui auront accès à ces données personnelles. Il peut s’agir de sociétés partenaires (un call center par exemple) ou de logiciels externes que vous utilisez (une CRM, un routeur emailing, …).
4. La durée de conservation des données personnelles. Dans un souci de protection des droits et libertés des personnes, le RGPD a précisé les modalités de conservation et de suppression des données personnelles.




Fig. 2. Pour calculer automatiquement les durées de conservation, la société Axeptio a publié ce référentiel construit sur la base d’informations publiques fournies par la CNIL.

5. La prise de décisions automatisées : Si vous utilisez des outils (comme Matlab, SiSense, Alteryx, Anodot, Radius, Parti, Trendalyse, …) pour analyser les profils de vos utilisateurs en vue de prédire leurs comportement, vous avez également un devoir d’information à ce niveau.

Fig. 3. Comme dans la vraie vie, on a besoin de se sentir en confiance pour se confier.

2. Adapter les durées de conservation des données

Chaque finalité a une durée de conservation définie par la CNIL. Néanmoins, sur Internet, 3 chiffres sont surtout à retenir pour un site web :

• 36 mois (3 ans) : Vous devez supprimer les données personnelles des personnes inactives depuis 3 ans de votre base de données. Idéalement, vous devez placer ces données dans une base d’exclusion vous permettant de justifier de vos traitements. À savoir : Vous pouvez toujours faire le choix d’anonymiser ces données afin de les conserver pour leur valeur statistique. 
• 13 mois : vous devez tous les 13 mois redemander le consentement des visiteurs de votre site web pour le traitement des cookies. On parle ici des cookies de mesure d’audience (exemple : Google Analytics) , d’amélioration de l’expérience utilisateurs (exemple : Hotjar), ou encore publicitaires (Exemple : Facebook pixel …)
• 1 mois : Un contact dont vous détenez des données personnelles peut vous demander à tout moment de rectifier, d’effacer ou de lui restituer ses données personnelles. Vous êtes tenu d’effectuer cette action dans un délai d’un mois.
  Vous devez également conserver les contacts supprimés dans une base/liste d’opposition afin de ne plus les solliciter dans le futur et de pouvoir justifier de vos traitements et de votre conformité avec la réglementation.

La suite est réservée à nos abonnés. Déjà abonné ? Se connecter

Envie de lire la suite ?

-10% sur nos Abonnements de 6 mois et + avec le code :

JEVEUXPASPAYERPLEINPOT

Je m'abonne

Apprenez auprès des meilleurs experts, grâce à leurs partages de connaissances et leurs retours d’expérience.

• Accès immédiat à tous les contenus
• 7 articles d'experts partagés chaque mois
• Des réponses concrètes à vos problématiques de consultants

Laurent Thomas
Cofondateur de la solution Axeptio (https://www.axeptio.eu/)