Pourquoi vérifier que votre site Web respecte bien le RGPD ?

Aujourd’hui avoir un site web quelle que soit sa vocation (vitrine, e-commerce, formation, évènementiel, associatif…) pour une entreprise ou organisation de toute taille est incontournable pour développer sa notoriété, son business. Mais attention, tout site web collectant, stockant ou traitant des données personnelles doit respecter les obligations du Règlement Général sur la Protection des Données (RGPD) sous peine de sanctions de la CNIL (Commission nationale de l’informatique et des libertés) qui  peuvent aller jusqu’à 4% du chiffre d’affaires mondial annuel ou 20 millions d’euros, selon le montant le plus élevé.

En 2023, la CNIL continue de renforcer ces obligations, en particulier pour les sites web et l’utilisation de Google Analytics. Alors comment vérifier que votre site web est bien en conformité avec le RGPD ? Voici quelques points clés et conseils.

Les points clés de contrôle de conformité RGPD

Votre site web doit avoir une politique de confidentialité clairement énoncée, facilement accessible depuis n’importe quelle page et compréhensible par vos visiteurs.
Concrètement, cette page décrit les pratiques de collecte, d’utilisation et de protection des données personnelles de l’entreprise ou de l’organisation.
Selon la CNIL, une politique de confidentialité doit contenir les éléments suivants :

• Une présentation de l’entreprise et de son activité ;
• Les finalités de la collecte des données personnelles ;
• Les données personnelles collectées ;
• Les destinataires des données ;
• Les droits des utilisateurs (accès, rectification, opposition, suppression, limitation, portabilité) ;
• Les mesures de sécurité mises en place pour protéger les données ;
• La durée de conservation des données ;
• Les transferts de données hors de l’Union européenne ;
• Les cookies et autres traceurs utilisés sur le site ;
• Les modalités de contact avec l’entreprise pour exercer ses droits..

Les mentions légales, quant à elles, sont un ensemble d’informations qui permettent d’identifier l’entreprise ou l’organisation responsable du site web. Elles doivent contenir des informations sur l’éditeur du site ou de l’application, les coordonnées de contact de l’entreprise, le numéro d’identification fiscale, le nom du directeur de la publication, etc.

Pour être en conformité avec le RGPD, la CNIL recommande que les politiques de confidentialité et les mentions légales soient écrites dans un langage clair et compréhensible pour tous les utilisateurs, qu’elles soient facilement accessibles et qu’elles soient mises à jour régulièrement.

Les visiteurs de votre site web doivent donner leur consentement clair et explicite avant que leurs données ne soient collectées ou utilisées. Vous devez fournir des options pour que les visiteurs puissent à la première connexion sur votre site Web d’accepter, de refuser ou de choisir au cas par cas la collecte et l’utilisation de leurs données. Le dépôt de cookies et de traceurs est un des points les plus importants pour la conformité RGPD de votre site Internet et, est surtout l’un des non respects les plus sanctionnés par la CNIL.

Nous vous conseillons d’intégrer un outil de gestion des cookies ou Cookies Management Platform (CMP).

Pour WordPress, nous avons sélectionné 3 extensions :

• Cookiebot Consent Management Platform (CMP) est une bannière de cookies WordPress facile à utiliser et entièrement automatisée. Il permet de se conformer au RGPD, au LGPD, au CCPA et à d’autres réglementations en matière de confidentialité, et contribue à renforcer la confiance des visiteurs du site Web en leur donnant plus de contrôle sur l’utilisation de leurs données.
• Cookie Notice & Compliance for GDPR / CCPA fournit une bannière de site Web simple et personnalisable qui peut être utilisée pour aider votre site Web à se conformer à certaines exigences de consentement aux cookies en vertu de la loi européenne GDPR sur les cookies et des réglementations CCPA et comprend une intégration transparente avec la conformité des cookies pour aider votre site à se conformer aux dernières mises à jour des lois existantes sur le consentement.
• Cookies Yes est l’un des meilleurs plugins disponibles pour rendre votre site Web conforme au RGPD et au CCPA. Il est facile à installer et la bannière est personnalisable. Autre caractéristique : La connexion gratuite avec l’application Web CookieYes pour accéder aux fonctionnalités avancées (analyse des cookies, journal des consentements, etc.) et gérer tous les paramètres du compte de l’application Web.

Les formulaires de collecte de données sont couramment utilisés sur les sites web pour des objectifs divers comme la création de compte, l’inscription à une newsletter ou encore le contact avec l’entreprise. Cependant, il est important de respecter les règles du RGPD pour garantir la protection des données personnelles des utilisateurs. Tout d’abord, seules les informations nécessaires à l’objectif de la collecte doivent être demandées. Les informations obligatoires doivent être clairement indiquées et les informations facultatives doivent être signalées par un astérisque. Il est également important d’informer les utilisateurs qu’ils ne doivent pas fournir des informations sensibles.

Ensuite, chaque collecte de données doit être accompagnée d’une mention d’information claire et précise sur les modalités de traitement des données. Le consentement de l’utilisateur doit être recueilli de manière libre, spécifique et éclairée. Les mentions d’informations peuvent être succinctes et renvoyer vers une politique de confidentialité plus détaillée. Il s’agit de l’information à deux niveaux.

En respectant ces règles, vous pouvez garantir la protection des données personnelles des utilisateurs.

Tout site web doit garantir son identité et la confidentialité des informations transmises. Cela nécessite de mettre en place des mesures de sécurité adaptées. A ce titre la CNIL recommande un certain nombre de bonnes pratiques.

Les précautions élémentaires

• Mettre en œuvre le protocole TLS (en remplacement de SSL40) sur votre sites web, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre.
• Rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données personnelles.
• Limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées. Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports.
• Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. En particulier, limiter l’utilisation des comptes administrateur aux équipes en charge de l’informatique interne et ce, uniquement pour les actions d’administration qui le nécessitent.
• Si des cookies non nécessaires au service sont utilisés, recueillir le consentement de l’internaute après information de celui-ci et avant le dépôt du cookie.
• Limiter le nombre de composants mis en œuvre, en effectuer une veille régulière et les mettre à jour.
• Limiter les informations renvoyées lors de la création d’un compte utilisateur ou lors de la réinitialisation d’un mot de passe.

Enfin, il est conseillé d’utiliser des outils de détection des vulnérabilités (logiciels de scans de vulnérabilité) pour les traitements les plus critiques afin de détecter d’éventuelles failles de sécurité.

Le Règlement Général sur la Protection des Données (RGPD) impose des règles strictes pour la collecte, le traitement et le stockage des données personnelles des utilisateurs de sites Web. Pour être conforme à l’article 48 du RGPD, qui exige que les données soient stockées dans des zones géographiques où le niveau de protection est équivalent à celui de l’Union Européenne, il est recommandé de privilégier un hébergement en Europe plutôt qu’aux États-Unis. Les lois américaines sur la protection des données sont moins strictes que celles de l’UE, ce qui pourrait entraîner une violation du RGPD si les données sont stockées aux États-Unis. En choisissant un hébergeur européen, vous éviterez ces risques et pourrez être sûr que vos données seront protégées conformément au RGPD.

En juin 2022, la CNIL a confirmé sa position en défaveur de Google Analytics pour le transfert des données aux États-Unis. Cette décision fait suite à l’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne en 2020, qui a remis en question la légalité du transfert des données personnelles des citoyens européens vers les États-Unis.

La CNIL a estimé que Google Analytics ne pouvait pas garantir la protection adéquate des données personnelles des utilisateurs en raison de l’absence de mécanismes de protection suffisants dans le cadre du transfert des données vers les États-Unis.

En conséquence, si vous utilisez Google Analytics vous devrez trouver des solutions alternatives pour garantir la conformité à la réglementation européenne en matière de protection des données personnelles.

Les solutions possibles

Vous passer de Google Analytics car même GA 4 n’est pas considéré comme étant conforme RGPD par la CNIL.

Utiliser une autre solution de mesure d’audience. La CNIL a recommandé une quinzaine de solutions alternatives à Google Analytics dont Matomo et AT Internet.