Explorez par catégorie

Check-list pour créer un site internet conforme RGPD


Le Règlement Général sur la Protection des Données (RGPD), est un règlement qui s‘applique à l’identique dans tous les pays de l’Union Européenne. Il est entré en vigueur le 25 mai 2018 et permet d'harmoniser le traitement des données personnelles entre tous les pays de l’UE.

Infographie RGPD

L'infographie réalisée par Orson.io

Annoncé de longue date, ce règlement vise à permettre à chacun d’entre nous, entreprise et particulier, une meilleure maîtrise de la collecte et de l’utilisation des données de toutes natures collectées en particulier par les entreprises.

Il repose sur quelques principes essentiels :

  • Transparence : Les personnes doivent être informées de l’existence de la collecte de leurs données et de l’utilisation qui en est faite.
  • Minimisation : Les données collectées doivent être celles qui sont strictement nécessaires au fonctionnement d’un service ou d’un produit.
  • Limitation de la conservation : Dès lors que les données personnelles ne sont plus nécessaires, elles doivent être supprimées ou anonymisées.
  • Intégrité et confidentialité : L’entreprise responsable de la collecte des données s’expose à des sanctions en cas de violation des données. Il lui incombe donc de mettre en place une politique de sécurisation et d’alerte dès lors qu’elle a connaissance d’une intrusion

Toutes les entreprises sont concernées par le RGPD.

En effet la notion de collecte de données s’inscrit dans une perspective très large :  collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou l’interconnexion, limitation, effacement ou destruction de données.

Bref, dès lors que vous collectez des données sur vos prospects, clients ou salariés, vous réalisez un traitement et le RGPD s'applique.

Voici une check-list des étapes à réaliser pour être conforme au RGPD

On entend par donnée personnelle toute donnée permettant l'identification directe ou indirecte d'un individu. Il est donc essentiel de faire le recensement de tous les points de collecte des informations afin d’identifier le périmètre des données collectées : formulaires, contrats, fiches de renseignement, factures, fiches de paie, …

RGPD impose d’ailleurs aux entreprises de plus de 250 salariés de mettre en place un registre de traitement des données qui précise :

  • l’ensemble des données,
  • la manière de les collecter,
  • les modes de traitement et la finalité,
  • qui a accès aux données,
  • leur durée de conservation par l’entreprise.

Même si votre entreprise est plus petite, mettez en place ce registre de collecte de données. Vous garderez ainsi une trace de tout ce travail d’identification des données collectées dans votre entreprise qui vous sera très utile en cas de contrôle.

Interrogez-vous sur la pertinence des données en votre possession. Sont-elles indispensables à la connaissance de vos prospects, ou à votre business. Avec RGPD, vous devrez pouvoir justifier de la finalité d'utilisation de vos données en cas de contrôle.

De même, certaines données sont maintenant qualifiées de sensibles. Leur traitement impose des processus spécifiques. Pour ces données le tri sera ainsi encore plus essentiel.

RGPD est une opportunité pour faire le vide dans l’ensemble des données que vous collectez et qui ne vous servent in fine à rien.

RGPD, introduit la notion de responsabilité solidaire.  Derrière ce terme juridique, un principe tout simple. Que la donnée soit collectée directement par votre entreprise ou par un de vos sous-traitants, vous êtes responsable. Inutile donc d’espérer un transfert ou une dilution de responsabilité.

RGPD introduit aussi une notion essentielle. Les données collectées doivent être stockées dans un des pays de l’Union européenne. Il vous appartient donc de savoir où sont stockées vos données qu’elles soient collectées par vous-même ou un de vos sous-traitants (exemple pour l’envoi d’emails, il faut une adresse mail.

Votre prestataire doit pouvoir justifier que cette donnée est stockée dans le territoire de l’UE. Si ce n’est pas le cas, quittez-le.

RGPD impose le consentement éclairé de vos contacts.

Le consentement éclairé est défini comme un acte qui exprime de façon libre, spécifique, éclairée et univoque l'accord d’une personne.

Vos contacts doivent savoir que vous collectez des données, ce que vous allez en faire et ils doivent pouvoir s’opposer à cette collecte ; au moins pour toutes les données qui ne sont pas strictement indispensables au fonctionnement de vos services.

Conséquence : la pratique de la case précochée n’est plus acceptable ; de même, l’acceptation des conditions générales ne vaut pas consentement.

Un plaisir n’arrive jamais seul.

RGPD ré affirme les principes de droit d’accès, de droit d’opposition et de droit de rectification, tels que précisés par la CNIL, mais le règlement européen va plus loin.

Droit à l’oubli : RGPD prévoit que les données ne peuvent plus être conservées de façon indéfinie. Les personnes physiques peuvent demander l’effacement de leurs données personnelles, ce dans plusieurs hypothèses :

  • Dès lors que les données ne sont plus nécessaires,
  • si la personne retire son consentement,
  • si le traitement est illicite.

Le droit à la portabilité : Les personnes physiques peuvent obtenir copie des données personnelles les concernant sous un format courant et électronique. L’objectif est de permettre à vos contacts de pouvoir changer de fournisseur simplement.

Le droit au refus du profilage ou de décisions automatisées : Le RGPD instaure explicitement un droit d’opposition au profilage à des fins de prospection.

Le droit d’opposition au profilage ne s’applique pas lorsque ce profilage :

  • est nécessaire dans le cadre d’un contrat entre la personne concernée et votre entreprise,
  • est autorisé par le droit de l’Union ou d’un État membre,
  • est fondé sur le consentement explicite de l’individu.

Pour justifier de votre capacité à prendre en compte les droits de vos visiteurs, il convient de mettre en place des procédures et de vérifier leur stricte application dans l’entreprise. Nous vous recommandons en particulier de rédiger les procédures en cas :

  • de mise à jour des données collectées, de leur usage,
  • de référencement d’un nouveau sous-traitant,
  • de fuite de données (72h sont accordées pour prévenir la CNIL),
  • de demandes liées aux droits évoqués ci-dessus.

Vos mentions légales sont impactées par RGPD en particulier pour tout ce qui concerne à la finalité de collecte des données, à votre politique de cookies, aux informations indispensables pour permettre à vos prospects, clients, salariés de faire valeur leurs droits.

Utilisez un générateur de mentions légales et personnalisez les articles en fonction de votre business.  Si besoin, n’hésitez pas à demander l’avis d’un avocat.

Ces différentes étapes franchies il convient de communiquer auprès de vos différents interlocuteurs afin qu’ils puissent connaître votre politique de traitement des données et exprimer leur consentement.

Au-delà de la stricte mise en conformité juridique imposée, RGPD est un levier pour modifier votre politique de relation client en introduisant plus de transparence dans la relation.

Vis-à-vis de vos concurrents implantés en dehors de la zone de l’UE, RGPD est aussi un avantage concurrentiel, car ils sont nombreux à ne pas vouloir (ou pouvoir) se mettre en conformité.

14 % J'adore
14 % Cool
14 % Utile
14 % Oh!
14 % Inquiet
14 % Triste
14 % Grrr

Découvrez toutes les formations webmarketing du campus pour maximum 35 € par mois. Faites connaissances avec les professeurs de l'université dès aujourd'hui !

Parcourir toutes les formations

Aimez-vous cet article ?

Nos réseaux préférés


Il y a eu 12 membres à avoir trouvé cette page pertinente avec un score de 6 sur 100.

Sur le même sujet

Commentaires (1)

  • Pierre IZMEO
    Pierre IZMEO

    Même si on en a bouffé du RGPD pendant des mois, c’est une très belle infographie qui résume les points d’attention à apporter à un site, surtout lorsqu’un entrepreneur démarre avec un nouveau site web et de nouvelles stratégies d’acquisition de clients. Il ne faut évidemment pas tomber dans le côté « parano » avec la Commission européenne. Les mesures appliquées par cette réglementation sont proportionnelles à la taille de l’organisation qu’il y a derrière le site en question. Mais, j’adhère complètement à cette prévention.

    aoû 31, 2018