La mise en conformité RGPD de votre site internet
Le RGPD renforce le contrôle des individus sur l’utilisation de leurs données personnelles et impose aux entreprises qui les traitent d’être en conformité avec des obligations d’information et de transparence plus strictes. Les propriétaires de sites internet amenés à traiter des données personnelles doivent s’assurer qu’ils atteignent un niveau de protection en conformité avec ces obligations. Le règlement prévoit des sanctions pour les entreprises qui ne les respecteraient pas. Il est heureusement facile de se mettre en conformité en suivant quelques principes simples.
Nos références
Analytics et conversion
Comment respecter les attentes RGPD ?
Explications utiles pour comprendre le RGPD
Le cadre légal
Le règlement général sur la protection des données (RGPD) est une réglementation de l’Union européenne entrée en vigueur le 25 mai 2018. Elle établit un cadre commun qui unifie et renforce la protection et la sécurité des données personnelles. Toute entreprise traitant des données personnelles de citoyens de l’Union européenne doit être en conformité avec le RGPD quelle que soit sa situation géographique.
Rappel sur la notion de donnée personnelle
Toute information permettant d’identifier une personne physique directement ou indirectement, comme le nom, les coordonnées, les données de localisation, l’âge, la profession… est une donnée personnelle. Une photo ou une vidéo mise en ligne montrant le visage reconnaissable d’une personne est aussi considérée comme une donnée à caractère personnel.
Les principes fondamentaux du RGPD
La conformité est attendue sur les 5 principes fondamentaux du règlement :
- Licéité, loyauté et transparence : les traitements de données à caractère personnel doivent être licites, loyaux et transparents vis-à-vis des personnes concernées.
- Finalité : les traitements de données à caractère personnel ne doivent être effectués que dans le but pour lequel elles sont collectées.
- Minimisation des données : les traitements de données à caractère personnel doivent être pertinents et proportionnés et ne concerner que les données strictement nécessaires au regard des finalités pour lesquelles elles sont collectées.
- Exactitude : les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour.
- Limitation de la durée de conservation des données : elles ne doivent être conservées que pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles sont collectées.
Profitez d’un pré-audit de votre site offert !
Réussir la mise en application du RGPD et la conformité d’un site internet pas à pas
L’identification et le tri des données personnelles collectées et de leurs traitements
La cartographie des traitements de données est une bonne pratique recommandée par la CNIL pour initier la mise aux normes RGPD et atteindre la conformité, car elle donne une vision complète et globale de la nature et des usages des données transitant par le site internet.
Elle permet de trier les catégories de données pour ne conserver que celles qui sont strictement nécessaires au déroulement de l’activité.
Le traitement est défini comme l’ensemble des opérations effectuées par l’entreprise :
- La collecte de données,
- Leur enregistrement, conservation, destruction,
- Leur modification,
- Leur consultation,
- Leur communication par transmission ou toute autre forme de mise à disposition,
- Leur rapprochement…
La définition des bases légales justifiant le traitement des données
Là où les bases légales du traitement autorisent légalement l’entreprise à manipuler des données personnelles. Elles sont définies par la caractérisation des catégories de données et leur utilisation.
Le consentement de l’utilisateur est la plus simple des bases légales pouvant être mise en œuvre pour atteindre la conformité. Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque.
La parole de l’expert
Nous vous aidons à déterminez si vous respectez les règles actuelles et comment vous conformez au règlement
La mise en application d'un registre des activités de traitement
Il consigne les activités de traitement de données effectuées par la structure afin de vérifier leur conformité au RGPD. Le registre des traitements comporte des informations utiles pour le suivi des données traitées :
- Les raisons pour lesquelles elles sont traitées,
- La durée de conservation des données,
- Les responsables de traitement et personnes autorisées à accéder aux données
- Les mesures de sécurité et de protection mises en place…
La nomination d'un délégué à la protection des données
Un délégué à la protection des données RGPD (ou DPO) est une personne-ressource qui veille au respect des règles édictées par le RGPD. Ses missions sont :
- Surveiller la conformité de l’utilisation et de la protection des données personnelles,
- Conseiller sur les questions de protection des données personnelles,
- Veiller à l’information des responsables et employés sur les obligations en matière de protection des données personnelles.
Cette fonction faisant appel à des compétences et connaissances spécifiques peut être externalisée si l’entreprise ne les possède pas.
La mise en application de mesures pour sécuriser les données
Suivant la nature et la sensibilité des données, l’entreprise peut engager des mesures pour augmenter la protection des données RGPD :
- Mise en place de contrôles d’accès,
- Chiffrement des données,
- Mise en place de procédures de sécurité en cas de fuite de données,
- Formation sur les bonnes pratiques de protection des données et sur les obligations en matière de protection de la vie privée…
Une communication claire aux personnes concernées
Les personnes doivent être informées des raisons pour lesquelles leurs données sont collectées et de la manière dont elles sont protégées. Elles doivent aussi connaître leurs droits en matière de protection, notamment le droit d’accès à leurs données, de rectification et d’opposition. Il est donc essentiel qu’une information transparente et complète sur leurs droits soit mise à leur disposition.
La mise en avant de politiques de confidentialité et de gestion des données, facilement accessibles et diffusées auprès des utilisateurs concernés, répond à cette exigence, et permet d’obtenir leur consentement libre, spécifique, éclairé et univoque des utilisateurs comme l’impose le règlement.
Se faire accompagner dans la mise en œuvre du RGPD
L’accompagnement par une agence spécialisée permet de bien comprendre et appliquer les exigences du RGPD pour la conformité d’un site internet. Elle est un appui pour la mise en place des procédures et des politiques qui assurent la sécurité et la confidentialité des données personnelles. Notre agence spécialisée aide à gérer les risques liés à la sécurité des données et à s’assurer que le site reste en conformité. Nous identifions les cookies obligatoires au bon fonctionnement du site pour ensuite correctement les paramétrer avec des outils comme Axeptio ou autre.
Notre expertise
Nos prestations