Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. C’est un règlement européen directement applicable dans tous les États membres. Il s’applique à toutes les entreprises, européennes ou non, qui collectent ou traitent des données personnelles de personnes situées dans l’Union européenne, qu’elles en soient résidentes ou non. Cette réglementation a été pensée pour que chaque individu garde le contrôle sur ses propres données. Quant aux entreprises, celles-ci doivent garantir la sécurité des données personnelles de leurs utilisateurs. Finalement, c’est un facteur de confiance, tant pour l’utilisateur que pour l’entreprise.
Qu’est-ce que le RGPD ? Comment se mettre en conformité ? Voici une vue d’ensemble sur cette réglementation.
Cet article est une sensibilisation au RGPD. Pour être sûr d’être dans les clous, faites appel à un expert ou une experte dans ce domaine.
Qu’est-ce que le RGPD et quelle est son importance ?
Le RGPD remplace une directive de 1995 afin d’adapter le droit de la vie privée aux usages liés au web. Cette réglementation est la garantie que chaque internaute garde la main sur ses données. Les entreprises collectant ou utilisant des données personnelles doivent s’engager à mettre en place des moyens suffisants afin d’en assurer leur protection.
Concrètement, chaque citoyen a le droit d’accéder, de faire rectifier ou d’effacer ses données, de s’opposer à leur traitement ou encore d’en demander leur portabilité. Cette politique se veut donc protectrice des citoyens et citoyennes. Je vous invite à lire cet article de la CNIL qui parle du droit à l’effacement de vos données.
Le RGPD concerne tous types de sites web : petites entreprises, associations, très grosses entreprises.
Les avantages concrets du RGPD, tant pour l’internaute que l’entreprise
Un gage de confiance renforcée
Grâce au RGPD, vos clients et clientes vont se rendre compte que leur vie privée est prise au sérieux sur votre site. Cette politique renforce leur confiance et leur satisfaction.
Une meilleure gestion des données
En vous conformant au RGPD, vous garantissez aux personnes visitant votre site de ne collecter que ce qui est indispensable : par exemple, l’adresse e-mail d’un client lorsque vous avez besoin de lui envoyer une confirmation de commande, son adresse postale si vous avez un site e-commerce, pour lui envoyer sa commande.
Éviter des sanctions pouvant peser sur vos finances
Ne pas respecter cette réglementation peut vous exposer à des amendes pouvant représenter jusqu’à 20 millions d’euros ou 4 % de votre chiffre d’affaires. Cette politique est donc non seulement un facteur de confiance, mais elle vous évite des risques financiers pouvant gravement impacter votre activité.
Les éléments qui déposent des cookies sur un ordinateur depuis un site web
Si votre site a été développé sous WordPress, ce CMS et certaines extensions déposent des cookies pour permettre l’authentification, l’ajout au panier de produits sur un site e-commerce ou la langue de l’utilisateur. Ces cookies-là ne requièrent pas le consentement de la personne qui visite le site. Car ce sont des cookies techniques.
Par contre si votre site intègre des services tiers, comme :
- Google Analytics,
- Google Ads, Facebook Ads pour de la publicité ciblée,
- Des boutons de partage sur les réseaux sociaux,
- Les players vidéos comme YouTube ou Vimeo,
- Google Maps,
- Des fonts Google,
- Les régies publicitaires,
vous êtes dans l’obligation d’en informer la personne qui vient sur votre site, pour recueillir son consentement ou pas.
Que devez-vous faire pour vous conformer à cette réglementation ?
1. Mettre en place une bannière de consentement
Il est indispensable d’afficher une bannière lorsque quelqu’un arrive sur votre site. Cette bannière lui demande son consentement explicite sur l’installation de cookies. Si vous utilisez WordPress, il existe des extensions spécialisées RGPD qui vous aident à assurer cette étape.
Rappel : Quand vous choisissez une extension WordPress, n’oubliez pas de vérifier le nombre d’installations actives, le nombre d’étoiles qui lui ont été attribuées et si elle est compatible avec la version de votre site WordPress.
2. Votre site doit comporter une politique de confidentialité.
Votre politique de confidentialité, doit être accessible depuis toutes vos pages de votre site web. Cette page explique de manière transparente quelle est l’étendue des données collectées, leur finalité, leur durée de conservation et les moyens d’accéder, de corriger ou d’effacer toutes les données personnelles vous concernant. Ainsi, on doit y trouver :
- Le nom ou la dénomination sociale du propriétaire du site et ses coordonnées.
- Le nom et comment contacter le ou la Déléguée à la Protection des Données (DPO), si cela est applicable. En effet, avoir une personne DPO est facultatif. Cela dépend de l’activité de l’entreprise et de l’ampleur des traitements. Cependant certaines entreprises préfèrent en nommer une par précaution.
- La finalité du traitement des données (pourquoi vous collectez les données).
- La base légale du traitement : à savoir le consentement de l’utilisateur ou utilisatrice, l’intérêt légitime ou l’obligation légale.
- Le type de données collectées : les données d’identifications comme le nom, le prénom, ou l’email. Les données techniques comme l’adresse IP ou les cookies. Tout autres données propres à chaque cas.
- Les destinataires des données.
- La durée de conservation des données.
- Le droit des personnes concernées, comme le droit d’accès, le droit de rectification, le droit à l’oubli, etc.
- Les mesures de sécurité pour assurer la protection des données.
- L’utilisation de cookies et leur finalité en spécifiant notamment quelles sont les technologies utilisées.
- La date de modification de la politique de confidentialité si elle a eu lieu.
Il existe des générateurs de politiques de confidentialité, mais rien ne vaut l’avis d’un avocat spécialisé !
3. Utiliser des formulaires conformes
Lorsqu’un formulaire collecte des données pour des finalités nécessitant un consentement explicite (comme l’envoi d’une newsletter ou d’offres commerciales), une case à cocher non pré-cochée est nécessaire. Toutefois, dans d’autres cas (ex. : demande de contact ou de devis), le traitement peut reposer sur l’exécution d’un contrat ou l’intérêt légitime, sans obligation de recueil de consentement explicite.
Voici quelques exemples de non conformité d’un formulaire :
- Si on souhaite que quelqu’un laisse un message ou fasse une demande de devis, il n’est pas utile de lui demander son sexe, son âge ou son adresse postale.
- Pour l’inscription à une newsletter, l’adresse e-mail suffit, son nom ou son adresse sont inutiles.
4. Renforcer la sécurité des données
Il est indispensable que toutes vos données transitent de manière sécurisée (avec le protocole HTTPS), que vos extensions et WordPress lui-même soient mis à jours, que vos politiques de mot de passe soit renforcées et que certaines données, telles que les adresses IP, soit chiffrées lorsque leur conservation est indispensable.
5. Choisir un hébergeur respectueux des données utilisateurs
Effectivement, il est nécessaire de vérifier si l’hébergeur que vous choisissez pour votre site web respecte le RGPD. Par exemple, un hébergeur situé en dehors de l’Union Européenne est susceptible de transférer les données aux États Unis.
Une étape indispensable pour gagner la confiance de vos clients
Le RGPD n’est pas simplement une contrainte, c’est une étape indispensable afin d’assurer un rapport de confiance avec vos utilisateurs. C’est l’occasion d’améliorer vos pratiques, de démontrer votre sérieux et d’offrir une expérience sécurisée et respectueuse des données de chaque individu. La conformité prend donc tout son sens dans le monde numérique d’aujourd’hui, elle est un facteur de transparence, de confiance et de performance.
C’est pourquoi le RGPD exige que l’on informe chaque personne que des cookies non essentiels peuvent être déposés sur son ordinateur et que l’on lui demande son consentement avant que ceux-ci ne soient installés.
Crédit photo image à la Une : Kaffeebart
Très bon article.
J’ajouterais, permettre le choix du consentement en premier dans l’ordre de tabulation pour les personnes utilisant le clavier uniquement et permettre l’operabilité des differentes technologies d’assistance.
(et oui tout le monde n’utilise pas forcément une souris pour sélectionner le bon choix).
Ces personnes doivent être au courant dès l’entrée sur le site de la manière dont sont traitées leurs données.
Bonjour Julien,
Merci pour cette remarque qui est en effet pertinente. Effectivement il faut penser à tout le monde 🙂
Bonjour à tous.
Merci pour ce rappel essentiel !
Très bel article, clair et pertinent.
En tant que développeur web, je suis toujours surpris de voir à quel point le RGPD reste mal compris — ou pire, ignoré — par beaucoup de propriétaires de sites.
Les erreurs sont fréquentes : bandeaux de consentement non bloquants, absence de gestion granulaire des cookies, formulaires trop intrusifs, voire carrément sans finalité déclarée, et politiques de confidentialité copiées-collées sans adaptation réelle à l’activité…
Mais le RGPD, ce n’est pas juste une case à cocher : c’est un élément clé de transparence et de confiance, surtout à une époque où les utilisateurs sont de plus en plus sensibilisés à la protection de leurs données.
🔎 Quelques points encore trop souvent négligés :
Le droit à l’effacement ou à la portabilité, jamais mis en avant.
La gestion des logs et des IP, souvent conservés sans justification ni limite.
L’oubli des sous-traitants : si vous utilisez des services tiers (CRM, chat, analytics…), il faut aussi s’assurer de leur conformité.
Les faux positifs : afficher un bandeau ne suffit pas si les scripts marketing tournent avant consentement…
💡 Et pour ceux qui veulent bien faire mais ne savent pas par où commencer : des solutions comme CookieFirst, Axeptio ou ConsentManager aident à rester conforme sans complexité.
Bravo pour cet article. Il mériterait d’être partagé largement, car oui, tout le monde est concerné.
Bonjour Thierry,
Merci pour votre commentaire. Cet article a justement pour but de sensibiliser aussi bien les concepteurs de sites web, mais aussi les propriétaires de sites.
Pour être totalement en conformité, il est nécessaire de faire appel une personne experte en ce domaine.
Bonjour, ou plutôt bonsoir, dans l’êtat actuel de mon site, il ne collecte… rien, ou en tout cas, rien dont je sois réellement conscient, je pensais ne pas avoir à faire de page concernant la politique de confidentialité et me rendant compte de mon erreur (adresses IP et logs), je suis en train de la rédiger, ou au moins une première ébauche.
Et si j’ai trouvé quelques indices dans votre article, j’aurais aussi aimé en trouver d’autres.
Mon site est hébergé par o2switch et j’imagine que l’hébergeur lui même conserve des données personnelles, ne serait ce que des adresses IP dans des logs, et j’imagine aussi que du coup je suis en responsabilité de ces données personnelles ou du moins que je dois les mentionner dans ma politique de confidentialité.
Que je dois aussi, par transitivité, donner la finalité de leur conservation, les mesures de sécurités… bref, je me trompe peut-être mais si je suis dans le vrai, j’aurais beaucoup aimé trouver ici une sorte de snippet de politique de confidentialité concernant ces données que conserve mon hébergeur, ou un équivalent en liens vers la documentation.
Et… si je me trompe… votre réponse me sera très utile !