Dernière mise à jour 9 mois par Nathalie

Aujourd’hui avoir un site web quelle que soit sa vocation (vitrine, e-commerce, formation, évènementiel, associatif…) pour une entreprise ou organisation de toute taille est incontournable pour développer sa notoriété, son business. Mais attention, tout site web collectant, stockant ou traitant des données personnelles doit respecter les obligations du Règlement Général sur la Protection des Données (RGPD) sous peine de sanctions de la CNIL (Commission nationale de l’informatique et des libertés) qui  peuvent aller jusqu’à 4% du chiffre d’affaires mondial annuel ou 20 millions d’euros, selon le montant le plus élevé.

En 2023, la CNIL continue de renforcer ces obligations, en particulier pour les sites web et l’utilisation de Google Analytics. Alors comment vérifier que votre site web est bien en conformité avec le RGPD ? Voici quelques points clés et conseils.

RGPD de quoi s’agit-il ?

Entrée en vigueur en 2018, Le Règlement Général sur la Protection des Données (RGPD) est une loi européenne qui vise à protéger la vie privée des individus en établissant des règles uniformes pour le traitement des données personnelles. Cette loi s’applique non seulement aux entreprises de l’Union Européennes, mais également à toutes les entreprises étrangères qui traitent des données personnelles de personnes dans l’UE. Si vous possédez un site Web qui collecte et traite les données personnelles des visiteurs de l’UE, vous êtes soumis à cette réglementation et vous devez vous conformer aux exigences du RGPD. La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité de régulation française en charge de la protection des données personnelles et elle a pour mission de veiller à ce que les entreprises et organisations respectent les dispositions du RGPD.

Les points clés de contrôle de conformité RGPD

📍Avoir une politique de confidentialité claire et accessible

Votre site web doit avoir une politique de confidentialité clairement énoncée, facilement accessible depuis n’importe quelle page et compréhensible par vos visiteurs.
Concrètement, cette page décrit les pratiques de collecte, d’utilisation et de protection des données personnelles de l’entreprise ou de l’organisation.

Selon la CNIL, une politique de confidentialité doit contenir les éléments suivants :

  • Une présentation de l’entreprise et de son activité ;
  • Les finalités de la collecte des données personnelles ;
  • Les données personnelles collectées ;
  • Les destinataires des données ;
  • Les droits des utilisateurs (accès, rectification, opposition, suppression, limitation, portabilité) ;
  • Les mesures de sécurité mises en place pour protéger les données ;
  • La durée de conservation des données ;
  • Les transferts de données hors de l’Union européenne ;
  • Les cookies et autres traceurs utilisés sur le site ;
  • Les modalités de contact avec l’entreprise pour exercer ses droits..

Les mentions légales, quant à elles, sont un ensemble d’informations qui permettent d’identifier l’entreprise ou l’organisation responsable du site web. Elles doivent contenir des informations sur l’éditeur du site ou de l’application, les coordonnées de contact de l’entreprise, le numéro d’identification fiscale, le nom du directeur de la publication, etc.

Pour être en conformité avec le RGPD, la CNIL recommande que les politiques de confidentialité et les mentions légales soient écrites dans un langage clair et compréhensible pour tous les utilisateurs, qu’elles soient facilement accessibles et qu’elles soient mises à jour régulièrement.

📍Demander le consentement explicite de vos visiteurs

Les visiteurs de votre site web doivent donner leur consentement clair et explicite avant que leurs données ne soient collectées ou utilisées. Vous devez fournir des options pour que les visiteurs puissent à la première connexion sur votre site Web d’accepter, de refuser ou de choisir au cas par cas la collecte et l’utilisation de leurs données. Le dépôt de cookies et de traceurs est un des points les plus importants pour la conformité RGPD de votre site Internet et, est surtout l’un des non respects les plus sanctionnés par la CNIL.

outil de gestion de cookies pour obtenir le consentement éclairé de l'utilisateur à la première visite sur votre site Web

Nous vous conseillons d’intégrer un outil de gestion des cookies ou Cookies Management Platform (CMP).

Pour WordPress, nous avons sélectionné 3 extensions :

  • Cookiebot Consent Management Platform (CMP) est une bannière de cookies WordPress facile à utiliser et entièrement automatisée. Il permet de se conformer au RGPD, au LGPD, au CCPA et à d’autres réglementations en matière de confidentialité, et contribue à renforcer la confiance des visiteurs du site Web en leur donnant plus de contrôle sur l’utilisation de leurs données.
  • Cookie Notice & Compliance for GDPR / CCPA fournit une bannière de site Web simple et personnalisable qui peut être utilisée pour aider votre site Web à se conformer à certaines exigences de consentement aux cookies en vertu de la loi européenne GDPR sur les cookies et des réglementations CCPA et comprend une intégration transparente avec la conformité des cookies pour aider votre site à se conformer aux dernières mises à jour des lois existantes sur le consentement.
  • Cookies Yes est l’un des meilleurs plugins disponibles pour rendre votre site Web conforme au RGPD et au CCPA. Il est facile à installer et la bannière est personnalisable. Autre caractéristique : La connexion gratuite avec l’application Web CookieYes pour accéder aux fonctionnalités avancées (analyse des cookies, journal des consentements, etc.) et gérer tous les paramètres du compte de l’application Web.

📍Rendre conforme vos formulaires

Les formulaires de collecte de données sont couramment utilisés sur les sites web pour des objectifs divers comme la création de compte, l’inscription à une newsletter ou encore le contact avec l’entreprise. Cependant, il est important de respecter les règles du RGPD pour garantir la protection des données personnelles des utilisateurs. Tout d’abord, seules les informations nécessaires à l’objectif de la collecte doivent être demandées. Les informations obligatoires doivent être clairement indiquées et les informations facultatives doivent être signalées par un astérisque. Il est également important d’informer les utilisateurs qu’ils ne doivent pas fournir des informations sensibles.

Ensuite, chaque collecte de données doit être accompagnée d’une mention d’information claire et précise sur les modalités de traitement des données. Le consentement de l’utilisateur doit être recueilli de manière libre, spécifique et éclairée. Les mentions d’informations peuvent être succinctes et renvoyer vers une politique de confidentialité plus détaillée. Il s’agit de l’information à deux niveaux.

En respectant ces règles, vous pouvez garantir la protection des données personnelles des utilisateurs.

📍Sécuriser votre site Internet

Tout site web doit garantir son identité et la confidentialité des informations transmises. Cela nécessite de mettre en place des mesures de sécurité adaptées. A ce titre la CNIL recommande un certain nombre de bonnes pratiques.

Les précautions élémentaires

  • Mettre en œuvre le protocole TLS (en remplacement de SSL40) sur votre sites web, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre.
  • Rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données personnelles.
  • Limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées. Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports.
  • Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. En particulier, limiter l’utilisation des comptes administrateur aux équipes en charge de l’informatique interne et ce, uniquement pour les actions d’administration qui le nécessitent.
  • Si des cookies non nécessaires au service sont utilisés, recueillir le consentement de l’internaute après information de celui-ci et avant le dépôt du cookie.
  • Limiter le nombre de composants mis en œuvre, en effectuer une veille régulière et les mettre à jour.
  • Limiter les informations renvoyées lors de la création d’un compte utilisateur ou lors de la réinitialisation d’un mot de passe.

Enfin, il est conseillé d’utiliser des outils de détection des vulnérabilités (logiciels de scans de vulnérabilité) pour les traitements les plus critiques afin de détecter d’éventuelles failles de sécurité.

📍Privilégier un hébergement en Europe

Le Règlement Général sur la Protection des Données (RGPD) impose des règles strictes pour la collecte, le traitement et le stockage des données personnelles des utilisateurs de sites Web. Pour être conforme à l’article 48 du RGPD, qui exige que les données soient stockées dans des zones géographiques où le niveau de protection est équivalent à celui de l’Union Européenne, il est recommandé de privilégier un hébergement en Europe plutôt qu’aux États-Unis. Les lois américaines sur la protection des données sont moins strictes que celles de l’UE, ce qui pourrait entraîner une violation du RGPD si les données sont stockées aux États-Unis. En choisissant un hébergeur européen, vous éviterez ces risques et pourrez être sûr que vos données seront protégées conformément au RGPD.

📍La question de Google Analytics

En juin 2022, la CNIL a confirmé sa position en défaveur de Google Analytics pour le transfert des données aux États-Unis. Cette décision fait suite à l’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne en 2020, qui a remis en question la légalité du transfert des données personnelles des citoyens européens vers les États-Unis.

En juin 2022, la CNIL a confirmé sa position en défaveur de Google Analytics pour le transfert des données aux États-Unis.La CNIL a estimé que Google Analytics ne pouvait pas garantir la protection adéquate des données personnelles des utilisateurs en raison de l’absence de mécanismes de protection suffisants dans le cadre du transfert des données vers les États-Unis.

En conséquence, si vous utilisez Google Analytics vous devrez trouver des solutions alternatives pour garantir la conformité à la réglementation européenne en matière de protection des données personnelles.

Les solutions possibles

Vous passer de Google Analytics car même GA 4 n’est pas considéré comme étant conforme RGPD par la CNIL.

Utiliser une autre solution de mesure d’audience. La CNIL a recommandé une quinzaine de solutions alternatives à Google Analytics dont Matomo et AT Internet.

FAQ Conformité RGPD

Qui est soumis aux obligations du RGPD concernant l'hébergement ?

Les hébergeurs de site Web ou les plateformes de réseaux sociaux, d’emailing sont soumis aux obligations du RGPD s’ils traitent des données personnelles de résidents de l’UE. Cela inclut les hébergeurs de données situés dans l’UE, ainsi que ceux situés dans des pays tiers qui transfèrent des données vers l’UE.

Comment vérifier si l'hébergeur de mon site Internet respecte le RGPD ?

Il existe plusieurs façons de vérifier si un hébergeur de données respecte le RGPD. Voici quelques conseils :

  • Demandez à l’hébergeur de vous fournir une copie de sa politique de sécurité des données à caractère personnel.
  • Demandez à l’hébergeur de votre site Web si ses serveurs sont géographiquement localisés en Europe.
  • Demandez à l’hébergeur de vous fournir des informations sur les mesures de sécurité techniques et organisationnelles qu’il met en place pour protéger les données à caractère personnel.
  • Vérifiez si l’hébergeur est certifié par un organisme indépendant.

En conclusion, nous vous conseillons d’éviter de choisir l’hébergeur le moins disant en prix. Optez pour un hébergeur reconnu comme Ovh si vous êtes une TPE.

Quelles sont les obligations RGPD pour les pages Facebook, Instagram, Twitter, TikTok et LinkedIn ?

Les pages Facebook, Instagram, Twitter, TikTok et LinkedIn sont des plateformes qui permettent aux utilisateurs de partager des informations personnelles, notamment des noms, des adresses e-mail, des numéros de téléphone et des images. Ces informations sont soumises au règlement général sur la protection des données (RGPD), qui impose aux entreprises qui collectent et traitent des données personnelles de respecter un certain nombre de règles.

Les obligations RGPD pour les pages Facebook, Instagram, Twitter, TikTok et LinkedIn comprennent notamment :

  • La transparence et l’information des utilisateurs : les entreprises doivent informer les utilisateurs de la manière dont leurs données personnelles sont collectées et traitées. Cette information doit être claire, concise et accessible.
  • Le consentement des utilisateurs : les entreprises ne peuvent collecter ou traiter des données personnelles que si les utilisateurs ont consenti à cette collecte et à ce traitement. Le consentement doit être libre, éclairé et spécifique.
  • La limitation des finalités : les entreprises ne peuvent collecter et traiter des données personnelles que pour des finalités spécifiques et légitimes.
  • La minimisation des données : les entreprises ne doivent collecter que les données personnelles strictement nécessaires aux finalités pour lesquelles elles sont collectées.
  • L’exactitude des données : les entreprises doivent veiller à ce que les données personnelles qu’elles collectent et traitent soient exactes et à jour.
  • La conservation des données : les entreprises ne doivent conserver les données personnelles que pendant le temps nécessaire aux finalités pour lesquelles elles sont collectées.
  • Les droits des utilisateurs : les utilisateurs ont un droit d’accès, de rectification, de suppression, de limitation du traitement, de portabilité et d’opposition à tout moment aux données personnelles qui les concernent.
Que dois-je faire pour respecter les obligations RGPD sur ma page Facebook, Instagram, Twitter, TikTok ou LinkedIn ?

Pour respecter les obligations RGPD sur votre page Facebook, Instagram, Twitter, TikTok ou LinkedIn, vous devez prendre les mesures suivantes :

  • Mettez à jour vos politiques de confidentialité et de cookies : vos politiques de confidentialité et de cookies doivent être conformes au RGPD. Elles doivent notamment indiquer la manière dont vous collectez, utilisez, partagez et conservez les données personnelles des utilisateurs de votre page.
  • Obtenez le consentement des utilisateurs : vous devez obtenir le consentement des utilisateurs avant de collecter ou de traiter leurs données personnelles. Le consentement peut être obtenu de différentes manières, notamment en demandant aux utilisateurs de cocher une case ou de cliquer sur un bouton.
  • Limitez la collecte de données : collectez uniquement les données personnelles qui sont strictement nécessaires aux finalités pour lesquelles vous les collectez.
  • Assurez-vous de l’exactitude des données : mettez en place des procédures pour vérifier l’exactitude des données personnelles que vous collectez et traitez.
  • Conservez les données pendant la durée nécessaire : conservez les données personnelles pendant le temps nécessaire aux finalités pour lesquelles vous les collectez.
  • Respectez les droits des utilisateurs : répondez aux demandes des utilisateurs d’accéder, de rectifier, de supprimer, de limiter le traitement, de porter leurs données à un autre responsable de traitement ou de s’opposer au traitement de leurs données personnelles.

Si vous ne respectez pas les obligations RGPD, vous pouvez faire l’objet de sanctions administratives, qui peuvent être élevées. Vous pouvez également faire l’objet de poursuites judiciaires par des utilisateurs dont les données personnelles ont été maltraitées.
Le site internet de la CNIL (Commission nationale de l’informatique et des libertés) propose de nombreuses informations sur le RGPD, notamment une FAQ spécifique aux réseaux sociaux.

VOUS SOUHAITEZ AVOIR UN SITE WEB OU RELOOKER VOTRE SITE ?

Pour en savoir plus sur nos tarifs

Nathalie GuérinAuthor posts

Avatar for Nathalie Guérin

Experte en stratégie digitale, référencement naturel (SEO) et activateur numérique pour les TPE. Depuis 2007, j'accompagne les entreprises, associations à être plus visible sur le web.