Tous les sites web et e-commerces visant des utilisateurs de l’Union européenne devront se conformer au RGPD. Le règlement général sur la protection des données a été mis en place afin de protéger les données personnelles des internautes, c’est pourquoi les plateformes qui ne s’y conforment pas sont pénalisées. Mais alors, comment peut-on savoir si un site répond au RGPD ?
Vérifiez vos formulaires et cookies
Dans la mesure où le formulaire est un outil pour collecter des données personnelles, il devra obtenir le consentement de l’utilisateur. Pour ce faire, le formulaire devra expliquer la destination des données, contenir un lien vers la page des CGV (conditions générales de vente) et des mentions légales. Ces deux renseignements obligatoires devront bien entendu être adaptés à votre secteur d’activité. Pour finir, le formulaire sera validé par un mail de confirmation.
Les cookies impactent considérablement la protection de la vie privée, car ils permettent d’identifier un internaute. Pour vous conformer au RGPD, ils devront être utilisés correctement et techniquement. Pensez donc à déterminer les cookies indispensables puisque ceux inutiles peuvent engendrer des risques supplémentaires pour vos visiteurs. Les cookies devront par ailleurs être clairement mentionnés aux internautes. Ils auront le choix de les accepter ou les refuser.
Les obligations légales
Pour qu’un site soit conforme au RGPD, le consentement de l’utilisateur doit venir avant la configuration des cookies. Il en est de même pour les pop-ups et les bannières publicitaires. Actuellement, le simple bouton OK pour accepter les cookies ne suffient plus. En effet, vous devrez mettre en place un consentement demandé au moyen d’une action positive. La plupart des sites proposent ainsi un onglet permettant de choisir les cookies à accepter : refuser tout, accepter les indispensables, tout accepter…
Par ailleurs, votre site devra comporter une page « exercez vos droits », généralement insérée dans les mentions légales. Grâce à cette page, vos visiteurs pourront demander des modifications de ses informations personnelles, identifier les données recueillies, les extraire et les transférer ou encore les supprimer.
La sécurité avant tout
Pour éviter les violations des données personnelles de vos utilisateurs, il faudra également que votre site dispose d’un certificat SSL. Dès la conception du site, l’approche Privacy by Design est à mettre en place, si besoin, faites-vous accompagner par un expert dans le domaine.
Afin de prévoir un haut niveau de sécurité, des techniques organisationnelles sont à envisager : tests d’intrusion, sécurisation du réseau local, sauvegardes régulières, mises à jour des plug-ins, désignation d’un RSSI, etc.
NB : toute faille de sécurité engendrant un piratage de données à caractère personnel devra être informé à la CNIL et aux individus touchés.