Site internet et RGPD : les 4 points de vigilance

3 décembre 2019

Que vous possédiez un site e-commerce, un site institutionnel, ou encore simplement un site vitrine, vous devez protéger les données personnelles de vos utilisateurs ou visiteurs. Même si la CNIL a décidé de se montrer « souple » jusqu’à l’été 2020, il est nécessaire d’initier des démarches de mise en conformité afin d’éviter les sanctions financières et celles qui pourraient entacher votre réputation.

 

Depuis 2014, la CNIL est en mesure de contrôler votre site web, à distance, sans aucun avertissement préalable, de manière aléatoire ou suite à une plainte déposée par un internaute. Le gendarme de la donnée peut ainsi vérifier si les mentions d’information sont bien présentes, si les collectes de données personnelles se font dans les règles, si la sécurité du site est assez forte… en somme vérifier si vous appliquez à la lettre le RGPD.

En moins de 5 ans, près de 13 000 plaintes concernant des sites web ont été adressées à la CNIL, et plus de 400 contrôles ont été effectués. Depuis l’entrée en vigueur du RGPD en 2018, 7 sanctions à l’encontre de sites internet ont été prononcées. Le montant des sanctions varie de 30 000 à 400 000 euros € selon le ou les manquement(s) constaté(s).

Pourtant, la mise en conformité d’un site web n’est ni la démarche la plus difficile, ni la plus onéreuse. Dans la plupart des cas, il est facile de ramener son site sur le chemin de la conformité.

Voici quatre points essentiels sur lesquels il est nécessaire d’être très vigilant :

 

Point 1 : attention au profilage (in)volontaire

Le profilage est aujourd’hui très répandu dans le monde du e-commerce. Il désigne « toute forme de traitement automatisé de données personnelles afin d’évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le rendement au travail, la localisation ou les déplacements de cette personne. ».

Le profilage peut rapidement constituer un traitement de données à risques, en particulier si :

  • Il traite des données sensibles comme celles portant sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé, les données génétiques, les données biométriques, les données concernant la vie sexuelle ou l’orientation sexuelle de la personne. Par exemple, vous effectuez un traitement à risque si vous récoltez ces données via les réseaux sociaux et que vous les intégrez dans votre profilage en ligne.
  • Il se base sur des données issues de traitements différents, et procède à un croisement ou une combinaison d’ensemble de données qui dépasse les finalités initiales. Par exemple, c’est le cas si vous envoyez à vos clients des offres commerciales personnalisées à partir de leur historique de navigation, les informations récoltées par les cookies, leurs historiques de commandes, leurs achats sur les sites partenaires, leurs programmes de fidélité, ou encore leurs données issues des réseaux sociaux.
  • Il traite les données de personnes considérées « vulnérables » au sens du RGPD : les enfants, les personnes sous tutelle ou sous curatelle, les personnes malades… Par exemple, c’est le cas si vous souhaitez cibler une partie de votre clientèle en fonction de ces critères.

Si un ou plusieurs de ces critères sont remplis, alors le profilage constitue un traitement à risque qui nécessite un encadrement particulier. Cette procédure particulière, c’est l’Analyse d’Impact sur la Protection des Données (AIPD), aussi appelé PIA, pour Privacy Impact Assessment. Il s’agit d’analyser les risques qui pèsent sur vos données : une attaque informatique, un accès non autorisé à vos serveurs, une disparition de vos données…

 

Point 2- Prospecter oui mais dans les règles !

Une grande partie de vos prospects se sont inscrits à vos lettres d’information et d’offres commerciales via votre site web. Mais certaines règles sont à respecter lorsque vous procéder à l’envoi de mails.

Par principe la prospection commerciale par mail est soumise au principe de l’opt-in, c’est-à-dire que la personne doit avoir donné son consentement à recevoir des mails.

Il existe cependant 3 exceptions à ce principe :

  • Dans le cadre d’une relation B2B (entre professionnels)
  • Dans le cadre d’une prospection non-commerciale (par exemple, une association à but non lucratif ou une fondation). A savoir : la promotion de votre société, même sans référence à la vente de produits ou services, constitue une prospection commerciale.
  • Dans la cadre d’une relation B2C (entre un professionnel et un particulier) seulement si cette personne a déjà acheté un produit ou service auprès de ce professionnel. La prospection ne peut concerner que des produits ou services analogues. Par exemple, des livres et des films sont des produits analogues, car ils appartiennent tous les deux à la catégorie des produits culturels.

 

Dans ces 3 hypothèses précises, sans aucune action de sa part, la personne est réputée avoir donné son consentement à recevoir de la prospection, mais elle doit toujours avoir le moyen de le retirer : c’est l’opt-out.

Pour récupérer valablement le consentement de la personne à recevoir de la prospection commerciale, une case à cocher doit être présentée sur votre site internet, avec l’intitulé « En cochant cette case, je consens à la réception des newsletters et offres commerciales de la part de la société X ». Si cette prospection se base sur un profilage, il est important de préciser que les offres sont « personnalisées ».

Une seconde case à cocher doit être prévue si vous proposez à votre utilisateur de recevoir de la prospection commerciale de vos partenaires. Un exemple d’intitulé : « En cochant cette case, je consens à la réception de la prospection commerciale de la part des partenaires commerciales de « X ». Pour consulter la liste de ces partenaires, vous pouvez consulter la Politique de confidentialité ». Là encore, si cette prospection se base sur un profilage, il est important de préciser que les offres sont « personnalisées ».

Qu’il s’agisse d’un opt-in ou d’un opt-out, la personne doit toujours avoir le moyen de retirer son consentement via, par exemple, un lien « se désabonner » en bas des mails, et/ou via son espace personnel dans les paramètres.

Dans une logique de documentation RGPD, une liste doit recenser la date d’opposition et l’adresse mail de la personne qui s’est opposée à recevoir de la prospection commerciale. Ces données doivent être conservées au minimum trois ans à compter de l’exercice du droit d’opposition, et ne peuvent en aucun cas être utilisées à d’autres fins.

 

Point 3 – Données des mineurs = vigilance rouge

Au sens du RGPD, les enfants appartiennent à la catégorie des personnes vulnérables, c’est-à-dire que le traitement de leurs données constitue un risque élevé. Il y a là une réelle volonté de protéger les enfants face à certaines techniques commerciales et marketing qui peuvent s’avérer agressives.

Quelques conseils lorsque vous traitez les données des enfants :

  • Lorsque votre site web s’adresse en particulier à des mineurs, les mentions d’informations doivent être rédigées dans des termes simples et clairs. L’exigence de transparence vis-à-vis des personnes n’est pas à prendre à la légère quand il s’agit d’enfants ;
  • Toute forme de profilage est à effectuer avec précautions : la publicité personnalisée ou comportementale ne doit pas être réalisée ni avec la même intensité, ni avec la même fréquence que celle des adultes (moins de données collectées, moins de mails envoyés…) ;
  • Le RGPD impose une obligation de célérité lorsque le droit à l’effacement est exercé par une personne mineure, ou une personne majeure dont les données étaient traitées pendant son enfance ;
  • En France, lorsqu’un mineur souhaite bénéficier d’un service en ligne, alors son consentement n’est valide que s’il est âgé de 15 ans ou plus. S’il est plus jeune, le traitement n’est licite que si le consentement est donné ou autorisé par le dépositaire de l’autorité parentale, via par exemple la récupération de l’adresse mail du responsable et de l’envoi d’un mail de validation.

 

Point 4 – La sécurité, votre nouveau reflexe

Une bonne sécurité passe avant tout par de bons réflexes. Par exemple :

  • Utiliser lorsque c’est possible des moyens de stockage chiffrés, c’est à dire rendre les données incompréhensibles à toute personne non autorisée à y avoir accès.
  • Signaler immédiatement tout incident de sécurité, comme la prolifération d’un code malveillant ou le dysfonctionnement d’un serveur informatique.
  • Cloisonner les données personnelles par rapport au reste du système d’information afin de réduire la possibilité de les corréler et de provoquer une violation de sécurité.

À l’inverse, de mauvais réflexes peuvent détériorer voire détruire votre sécurité. Il convient d’éviter de :

  • En interne, conserver les mots de passe par défaut. Et pour vos clients, imposer des mots de passe trop souples.
  • Sur un site web, ne pas mettre en place de règles d’authentification à destination de vos clients lorsqu’ils souhaitent accéder à leur espace personnel.
  • Stocker les données personnelles sur un fichier non protégé, comme par exemple un fichier Excel enregistré sur le bureau.

 

À ce sujet, la CNIL a mis en ligne un top 5 des problèmes de sécurité les plus récurrents des sites web.

 

Bien évidemment, les différentes thématiques que nous venons d’aborder ne suffisent pas à mettre en conformité votre site web. D’autres actions sont à effectuer.

Pour des conseils et des explications sur les cookies et technologies de traçage utilisées par votre site web, les mentions d’information, la gestion des comptes client ou encore la politique de confidentialité, GDPR Rating vous invite à consulter en replay son webinar sur la mise en conformité RGPD des sites web, disponible ici.

En effet, ce webinar vous permettra de dégager vos chantiers prioritaires pour remettre votre site web sur le chemin de la conformité, et ainsi éloigner les sanctions de la CNIL !

Benjamin Baratta, Consultant RGPD