Contrairement à une opinion reçue, la conformité RGPD d’un site n’a pas grand-chose à voir avec la mise en place d’un bandeau cookies, puisque l’obligation de demander le consentement explicite relativement aux cookies nous vient d’une directive de 2002 (2002/58/CE), alors que le RGPD a été adopté en 2016.
Il n’en reste pas moins que de nombreuses actions de conformité doivent être mises en oeuvre : de l’ajout du site dans le registre, à la bonne gestion de toute la chaîne de traitement des données (lister tous les sous-traitants), en passant par les mentions légales, ou la sécurité du site. Une fois seulement que ces actions auront été faites, vous pourrez vous pencher sur les cookies et autres traçeurs, ces éléments étant plus accessoires. On verra ici quelques-unes des étapes essentielles de la conformité d’un site web au RGPD afin de vous aider à baisser significativement votre niveau de risque.
Etape 1 : Créer votre registre et ajoutez votre site dans la liste des traitements
Toute organisation a l’obligation de créer et maintenir à jour le registre des traitements de données personnelles qui recense tous les traitements de données personnelles qui sont effectués. Il ne s’agit pas de recenser toutes les données personnelles, mais simplement l’existence des traitements (ex: vous avez une newsletter, un site web, une pointeuse, etc.).
Pour ce faire il est nécessaire d’utiliser un logiciel de gestion de la conformité RGPD qui permet de créer un registre standard en un clic (ce qui évite essentiellement de passer votre temps à rédiger de la documentation).
Voici un exemple de registre créé avec Legiscope :
Ensuite l’ensemble des champs traitement doit être rempli (finalités, base légale, type de données - les champs sont déjà préremplis dans notre exemple) :
En fonction de ce que vous faites avec votre site web, vous pouvez importer les traitements suivants :
- site web et blog - pour tout site classique ne réalisant pas de vente en ligne
- fichiers clients-prospects et vente en ligne - si votre site fait de la vente en ligne (le traitement est large et englobe entre autres la vente en ligne)
Une fois le traitement porté à votre registre vous avez déjà fait une action essentielle conformité qui est d’assurer le suivi de l’ensemble des traitements de données personnelles dans votre organisation (d’où le registre, voici un exemple de registre réel si vous souhaitez avoir une vision complète sur comment les choses doivent être organisées en pratique).
Etape 2 : listez vos sous-traitants
La seconde étape est de lister l’ensemble des sous-traitants qui vont intervenir sur les données personnelles que vous collectez ou traitez. Cette étape est critique, car le RGPD vous impose de contrôler toute la chaîne de traitement des données afin de vous assurer que la sécurité du traitement. Or, un site web est souvent composé de nombreux intervenants - à commencer par l’hébergeur du site - mais également plus largement de plugins ou addons qui sont mis en oeuvre par des entreprises qui peuvent avoir accès aux données personnelles collectées et traitées par le site.
Par exemple pour un site e-commerce, voici l’ensemble des sous-traitants qui vont avoir accès aux données :
- l’hébergeur du site (ex : Aws)
- le prestataire de paiement (Stripe / Paypal)
- le fournisseur d’analytics (ex : Google)
- le fournisseur du module de chat en ligne
Lister l’ensemble des sous-traitants est une étape essentielle, car l’organisation qui édite le site web doit exclusivement recourir à des sous-traitants qui présentent des garanties suffisantes pour la gestion de ses données personnelles. C’est une obligation imposée par l’article 28 du RGPD. Pour déterminer si un sous-traitant présente les garanties suffisantes, et si toutes les conditions imposées par le RGPD pour recourir à ce sous-traitant sont bien remplies, il faut procéder à une évaluation (check-list).
Voici comment l’évaluation fonctionne:
Par exemple, si le site recourt à un prestataire de paiement en ligne, il faudra répondre à la question : est-ce que ce sous-traitant dispose des compétences techniques suffisantes (ex : ingénieurs / équipes sécurité) pour assurer la sécurité des données personnelles que l’organisation va lui confier ? Le questionnaire est assez rapide et doit être mis en oeuvre pour chaque sous-traitant.
Il est fréquent de trouver des prestataires qui ne sont pas du tout conformes (ex : 0% ou 5% de conformité au final). Il est important dans un tel cas de remplacer ce prestataire par un prestataire qui présente des garanties pour la protection des données. A défaut l’organisation qui met en place le site viole le RGPD et risque de voir sa responsabilité engagée.
Etape 3 : Assurez-vous de la sécurité informatique du site
1. Sélectionnez un prestataire de paiement conforme
Sélectionnez un prestataire de paiement solide et qui soit également conforme au RGPD comme par exemple Stripe ; une fois le prestataire choisi et intégré, vous devrez ensuite ajoutez la gestion des paiements dans votre registre, car - pour rester sur Stripe - les prestataires mettent en oeuvre beaucoup d’activités de traitement au niveau de la gestion des données personnelles. Par exemple, la gestion de la fraude, ou la gestion des abonnements qui sont des activités spécifiques au-delà de la vente simple. Si vous utilisez Legiscope, vous n’avez qu’un clic à faire pour ajouter Stripe dans votre registre :
Au passage vous pouvez également ajouter Shopify, ou Woocommerce en un clic (cf. image ci-dessus) si vous utilisez ces briques logicielles pour la gestion de votre boutique en ligne.
2. Gérez la sécurité du site lui-même
Il y a plusieurs éléments qui sont essentiels dans la sécurité d’un site, sans entrer trop dans les détails (voir par exemple le guide de l’ANSSI), voici une check-list de ce qui est absolument essentiel à prendre en compte :
- l’ensemble du parcours de vente doit être en https
- le site web peut être découplé de la base de données (hébergée sur un serveur tiers)
- il est important de mettre un WAF (web application firewall) devant le site web
- de même qu’un firewall sur chaque serveur (base de données/serveur web)
- lors de la création des comptes clients, imposez un mot de passe complexe
- mettez en place l’authentification multi-facteur et si possible une authentification multi-facteur hardware pour l’accès aux interfaces d’administration du serveur
- éliminer au maximum le nombre de composants logiciels installés sur le serveur
Puis, assurez-vous également de déployer une check-list des recommandations de la CNIL en matière de sécurité informatique :
Par exemple il est important de vérifier que la politique de mot de passe utilisée soit conforme aux exigences de la CNIL :
Ainsi il faudra vérifier que ces mots de passe :
- ne soient jamais communiqués à des tiers
- ne soient pas stockés en clair (sur papier)
- ne soient pas réutilisés
- etc
Etape 4 : Mettez en conformité vos formulaires de collecte de données
Une fois que l’infrastructure du site web a été mis en conformité, il faut ensuite préparer la conformité des points de collecte de données personnelles.
Dans cette optique il faut s’assurer que :
- la collecte des données soit transparente (art. 5.1.a) : l’utilisateur sait à quoi il s’attend clairement et les données ne sont pas exploitée autrement que ce qui est indiqué à l’utilisateur. Ici, par exemple, il ne sera pas possible de revendre les données de l’utilisateur car il n’en a pas été informé préalablement
- les finalités sont clairement indiquées - pourquoi les données sont collectées et ce qui en est fait - (art. 5.1.b)
- le principe de minimisation est appliqué (art. 5.1.c) : [on ne collecte que les données qui sont nécessaires ici, à savoir l’email, aucune autre donnée n’est collectée]((https://www.donneespersonnelles.fr/principe-minimisation-donnees)
- le traitement repose sur le consentement (ou une base légale claire) - l’utilisateur va indiquer son email lui-même et cliquer sur le bouton d’inscription, ce qui est suffisant pour caractériser le consentement. Il n’est pas nécessaire d’ajouter une case à cocher (art. 6)
- les mentions légales sont indiquées par renvoi (art. 13) et l’utilisateur dispose d’un lien vers la politique de protection des données personnelles qui est complete
Voici un exemple de formulaire pour l’inscription à une newsletter :
Nous avons rédigé un article complet relatif à la mise en conformité des formulaires RGPD que vous pouvez consulter pour une description étape par étape et de nombreux exemples de formulaires type.
Un retour d’expérience pratique
Pour conclure cet article vous trouverez un retour d’expérience de la mise en conformité RGPD de notre propre site (https://www.donneespersonnelles.fr) que nous avons fait en 2018. La vidéo date un peu, mais vous retrouverez les mêmes perspectives de travail sur lesquelles vous devriez pencher :