Législation RGPD et ePrivacy : comment adapter mon site web ?
Le RGPD et l’ePrivacy, vous en avez forcément entendu parler. Mais peut-être ne savez-vous pas exactement de quoi il retourne, ni si votre site web est concerné. Ou peut-être le savez-vous, mais vous ignorez comment rendre votre site conforme. On vous aide à y voir plus clair.
En vigueur depuis le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données, GDPR en anglais) est une législation européenne destinée à renforcer la protection de la vie privée et des données personnelles des citoyens. Dans la foulée de ce RGPD, l’Union Européenne a lancé la réglementation ePrivacy, baptisée « Règlement vie privée et communications électroniques », qui vise plus spécifiquement les données des internautes.
Les deux objectifs principaux de ePrivacy sont : protéger la confidentialité des données et méta-données liées aux communications électroniques (du type Messenger, Skype ou WhatsApp), ainsi que réguler et simplifier l’utilisation des cookies. Le consentement des internautes est au cœur de cette réglementation.
Quelles entreprises sont concernées ?
Le RGPD et l’ePrivacy concernent toutes les entreprises qui traitent ou détiennent des données privées sur des citoyens européens : cela vise aussi bien la collecte de données et leur stockage que leur utilisation ou leur destruction. Et la réglementation s’applique peu importe la taille de l’entreprise : les PME sont autant visées que les grandes sociétés. Seules quelques dispositions plus strictes ne concernent que les sociétés traitant de données particulièrement sensibles (relatives à la santé, au passé judiciaire, à l’origine ethnique, aux opinions politiques, etc.)
Qu’est-ce qu’une donnée privée ?
Une donnée privée ou personnelle, c’est n’importe quelle information relative à un individu, une personne physique, qui permet de l’identifier directement ou indirectement. La réglementation RGPD mentionne quelques exemples, comme le nom d’une personne, son adresse mail (même professionnelle), ses données de localisation (y compris sa résidence), sa photo, ses identifiants en ligne (y compris une adresse IP), etc.
La réglementation a-t-elle un impact sur mon site web ?
Très probablement… Tous les sites web visités par un citoyen européen sont concernés, même si le siège de la société réside en dehors de l’UE.
Que devez-vous faire pour que votre site soit conforme ?
Pour vous conformer à la réglementation, quelques aménagements s’imposent. Ils concernent essentiellement les cookies, la charte de confidentialité et la collecte de données.
1. La politique des cookies
Votre site web va devoir indiquer de manière visible qu’il utilise des cookies, en expliquer clairement la raison et obtenir le consentement de l’internaute pour ces cookies. Autrement dit, votre site doit comporter une charte de politique des cookies avec un bouton de consentement du type « J’accepte » / « Je refuse ». Vous ne pouvez en effet pas utiliser de cookies sans l’accord de l’internaute, et vous ne pouvez pas non plus forcer cet accord. L’utilisateur doit pouvoir choisir quel cookie il accepte ou non.
En général, cela se présente comme un bandeau ou un onglet pop-up qui apparaît à l’ouverture de la page. Au passage, ne négligez pas les cookies utilisés par les widgets et plug-ins présents sur votre site (vidéos Youtube, widget Facebook, etc.).
Bon à savoir : selon la réglementation, tous les citoyens européens ont le droit de modifier ou supprimer les données qui les concernent lorsqu’elles sont détenues par une entreprise. Concrètement, cela signifie que l’internaute doit pouvoir revenir en arrière sur sa décision, il faut donc prévoir la possibilité technique.
2. La charte de vie privée
En deuxième lieu, vous devrez établir une politique de confidentialité en accord avec les dispositions du RGPD, ce qu’on appelle aussi une « charte de vie privée ». Elle doit être visible et accessible sur chaque page de votre site (insérez par exemple un lien dans les pieds de page). Cette charte doit mentionner l’usage que vous faites des données privées des visiteurs récoltées sur votre site.
Cette charte doit enfin fournir une adresse mail via laquelle l’internaute peut vous demander de modifier ou de supprimer ses données.
3. Le consentement à la collecte de données
Selon le RGPD, vous ne pouvez pas collecter d’informations personnelles ou de données privées via votre site web sans avoir obtenu le consentement préalable de l’utilisateur. Sans lui, vous n’êtes pas autorisés à utiliser son adresse mail pour le contacter par exemple.
Concrètement, votre site web devra intégrer :
- un bouton de consentement dans le formulaire de contact, de demande de devis, etc. (« J’accepte d’être contacté par mail » par exemple) ;
- un lien vers la charte de vie privée ;
- une phrase spécifiant aux utilisateurs qu’ils peuvent à tout moment modifier ou supprimer leurs données ;
- une adresse mail de contact à laquelle les internautes peuvent vous demander la modification ou la suppression de leurs données.
Bon à savoir : vous êtes censés conserver les preuves du consentement des utilisateurs (copie des mails reçus). Prévoyez leur enregistrement dans une base de données.
Enfin, si ce n’est déjà fait, songez à sécuriser votre site web en « https » !