Audit RGPD CNIL

by Posted on
audit rgpd

Faire un audit RGPD CNIL de votre site est devenu incontournable pour respecter la réglementation en vigueur depuis mai 2018. J’ai réalisé plus de 60 audits de conformité jusqu’à présent et j’accompagne les actions de mise en conformité concernant les sites web. C’est pour ça que j’ai envie de partager ce retour d’expérience.

Cet article s’applique à tous les sites web. Pour les sites les plus anciens, ce travail de mise en conformité peut s’avérer plus difficile quand les technologies utilisées pour développer votre site commencent à être obsolètes. Pour les sites plus récents, il est important d’intégrer dès le départ les bonnes pratiques pour être en conformité avec le RGPD.

Si vos questions portent sur les points suivants, alors prenez le temps de lire cet article :

# Les Mentions Légalesaudit rgpd

# La politique de protection

# L’utilisation des cookies

# Les formulaires de contact

# La sous-traitance

# Les liens

# Le e-commerce

Audit RGPD CNIL – Philosophie du RGPD

Avant toute chose, un petit rappel de ce qu’apporte le RGPD :

Une plus grande transparence vis à vis des internautes

Le but est de dire à vos visiteurs de quelle façon vous traitez les données personnelles mais aussi de leur fournir le moyen de maîtriser leurs données et de faire valoir leurs droits.

Des possibilités de business supplémentaire 

La transparence peut influer sur la confiance de vos visiteurs. Plus vous ferez la preuve que votre site est un site de « confiance » et plus vous aurez de chance que le comportement des internautes sera favorable. Votre image, votre trafic et vos ventes peuvent effectivement bénéficier de ce capital confiance.

Des sanctions lourdes en cas de non-conformité RGPD

Si vous ne respectez pas les règles et que les internautes portent plainte auprès de la CNIL, les sanctions peuvent être très lourdes. Pour les entreprises, les sanctions, en cas de manquements graves, peuvent atteindre 4% du chiffre d’affaires annuel. Prenez donc quelques minutes pour lire cet article et préparer un audit RGPD de votre site, ça ne coûte rien.

Audit RGPD CNIL – Les points à prendre en compte

Sécurisation du site et des données 

Passer le site en https :

En installant un certificat SSL pour chiffrer les données.

Contrôler l’accès aux données par des tiers :

Voici les actions de sécurisation possibles :

  • Limiter et sécuriser les accès aux bases de données,
  • Déclarer chaque tiers / sous-traitant qui aura accès aux données,
  • Établir des règles d’utilisation communes.

Les mentions légales 

Ce qui est obligatoire avec le RGPD :

Les présentations de l’éditeur (vous) et de l’hébergeur sont obligatoires.

Par contre, l’agence web qui a conçu le site n’est pas obligé d’apparaître dans les mentions légales.

Pour l’éditeur et l’hébergeur, doivent être mentionnés :

  • raison sociale
  • capital social
  • SIRET
  • adresse postale
  • numéro de téléphone
  • email de contact (pour l’éditeur)
  • responsable de la publication (pour l’éditeur)

En cas d’absence des mentions légales, vous risquez une pénalité. C’est notamment valable pour les sites marchands qui doivent apporter la transparence sur leur structure.

Quid des adresses emails ?

Lors de votre audit, il y a deux adresses email importantes à mentionner :

  • celle qui est rattachée à l’éditeur (ex : contact@monsite.fr) et qui permet de contacter le site en direct ou par le biais des formulaires de contact pour les demandes du quotidien,
  • et l’adresse email du DPO, Data Protection Officer, qui doit être mentionnée pour faire valoir ses droits d’opposition, de rétractation ou de suppression sur ses données personnelles (ex : dpo@monsite.fr). Avant, on trouvait déjà le mail cil@monsite.fr.

Astuce : Vous pouvez mentionner une adresse email avec [@] pour éviter de recevoir des spams issus des crawls des robots sur votre site.

Mentions légales, politique de protection des données personnelles, utilisation des cookies ?

On voit pas mal de formats différents. Lors d’un audit de conformité RGPD, le format n’est pas imposé. En revanche, toutes les informations obligatoires doivent apparaître.

Idéalement, pour plus de clarté, vous pouvez créer une page pour les mentions légales et une page pour la politique de protection des données reprenant l’utilisation des cookies. Dans le cas des sites marchands, ou des sites de jeux concours par exemple, il faut aussi créer une page pour les CGU et / ou CGV.

La politique de protection des données 

Quelque soit le format utilisé, vous devez présenter le traitement des données personnelles collectées, à quoi elles servent, combien de temps elles sont conservées, à qui elles sont transmises, … 

Voici les questions auxquelles répondre dans votre politique de protection des données lors de votre audit RGPD :

  1. Qui est le Responsable du traitement ?
  2. Quels types de données personnelles recueillez-vous ?
  3. Pourquoi recueillez-vous ces données ?
  4. Comment sont traitées et sécurisées les données personnelles ?
  5. Ou et pendant combien de temps seront stockées ces données ?
  6. A qui ces données personnelles sont transmises ?
  7. Comment protégez-vous les données personnelles ?
  8. Quels sont les droits des internautes ?
  9. Quels type de cookies sont déposés ?
  10. Quel dispositif utiliser pour supprimer les cookies ?
  11. Utilisez-vous des hyperliens ?

L’utilisation des cookies

Pour auditer votre site sur la partie « cookies », je vous propose les étapes suivantes :

1. Lister tous les cookies :

Essayer plusieurs navigateur et naviguer sur votre site pour déclencher tous les cookies potentiels.

Plusieurs façons d’obtenir les cookies présents :

Méthode 1 : dans la barre d’url

  1. Cliquez sur le cadenas,
  2. Aller sur Cookies pour les consulter

Méthode 2 : sur Chrome

  1. Cliquez sur les 3 points en haut à droite
  2. Aller sur Paramètres puis Paramètres avancés
  3. Aller sur Paramètres de contenu dans la rubrique Confidentialité et Sécurité pour consulter les cookies

Méthode 3 : via l’Inspecteur sur Chrome

  1. Ouvrez l’Inspecteur
  2. Allez sur Application puis consultez les cookies

Méthode 4 : via l’Inspecteur sur Chrome

Faites un état des lieux des cookies présents avec ce site : https://www.cookiebot.com/fr/, il détaille les 4 types de cookies que l’on peut trouver sur un site :

    • les cookies techniques : nécessaires au fonctionnement du site (ne pas les bloquer dans le bandeau de cookie),
    • des cookies statistique ou de mesure d’audience : liés à votre outil de webanalytics (ne pas les bloquer dans le bandeau dans la mesure ou les IP sont anonymisées et ne sont donc plus des données personnelles),
    • les cookies marketing ou publicitaires : liés à des sites de régie publicitaires,
    • et les cookies pour les réseaux sociaux.

2. Faire le tri des cookies :

Tous ces cookies ne sont probablement pas utiles au bon fonctionnement de votre site. Pour les cookies inutiles, désactivez-les. Pour ceux que vous souhaitez conserver, il va falloir les présenter dans vos mentions légales ou sur votre page d’utilisation des cookies en expliquant leur utilité et le traitement réalisé.

3. Informer les visiteurs sur leurs droits

S’il vous reste des cookies autres que techniques et statistiques, alors vous allez devoir installer un bandeau d’acceptation des cookies pour obtenir le consentement des internautes. Effectivement, si vous avez anonymisé les IP dans votre outil de webanalytics (exemple : Google Analytics) et réduit la durée des cookies à 13 mois max, alors seuls les cookies marketing et liés aux réseaux sociaux nécessitent un consentement via le bandeau de cookies. Pour en savoir plus : comment paramétrer les cookies Google Analytics pour le RGPD.

Laisser le choix de refuser les cookies :

Beaucoup de sites n’offrent pas ce choix et se contentent de restreindre les fonctions accessibles sur le site tant que les cookies ne sont pas acceptés. D’autres mettent en place un bandeau tellement grand que l’on a qu’une hâte, le faire disparaître en cliquant sur Accepter. Dans une démarche purement marketing, je comprends que l’on puisse avoir du mal à laisser le choix de refuser, au risque de perdre des données statistiques de navigation. Pour autant, je reste convaincu que laisser le choix est un gage de confiance supplémentaire qui permet de mesurer l’indice de confiance de vos visiteurs vis à vis de votre site.

A ce sujet, une étude a été réalisée sur la confiance des internautes sur internet.

J’utilise le bandeau tarteaucitron.js qui permet de sélectionner tous vos cookies et de proposer d’autoriser ou d’interdire l’utilisation par l’internaute :

bandeau cookies

Zoom sur les cookies statistiques ou de mesure d’audience :

Si vous utilisez Google Analytics, vous géolocalisez vos utilisateurs grâce à leur IP. Votre audit RGPD doit en tenir compte en vérifiant l’utilisation du compte Analytics et des cookies associés.

Les 2 derniers chiffres de l’IP correspondent à l’adresse (rue, avenue), les 2 précédents à la commune, etc. Au passage, Google se garde bien de descendre jusqu’à ce niveau de détail dans Google Analytics. Cette information est donc personnelle. Les IP doivent être anonymisées dans Google Analytics et la durée de vie des cookies ne doit pas être supérieure à 13 mois. Là aussi, Google limite à 14 mois minimum les cookies, ce qui le rend non conforme au RGPD, cela évoluera surement.

Donc, si vous ne voulez pas bloquer ces cookies dans votre bandeau d’acceptation de cookies, il faut anonymiser les IP (masquer les 2 derniers chiffres) et réduire à 13 mois maximum la durée de conservation des cookies (c’est notamment le cas du cookie _ga). Ces données ne sont donc plus considérées comme des données personnelles. 

Sinon, si ces conditions ne sont pas réunies, il faudra obtenir le consentement de l’internaute via le bandeau d’acceptation des cookies.

D’autres outils de webanalytics existent et sont conformes au RGPD avec peu de paramétrage (Matomo, Xiti).

Les formulaires de contactsformulaire rgpd

Ce qui est obligatoire avec le RGPD :

  • Utilisez un email non cliquable car il n’est pas compatible avec tous les postes de travail,
  • Le destinataire du formulaire doit être unique,
  • Indiquez une légende pour les champs obligatoires,
  • Tout CAPTCHA doit aussi disposer d’une alternative sonore,
  • Les boutons d’action doivent figurer sous le formulaire,
  • Les mentions Informatique&Liberté, l’objet et le mail du DPO doivent être présents.

La durée de conservation des données

Le RGPD modifie la durée de conservation des données : elle varie selon le type de données personnelles collecté :

  • pour les données liées à la prospection : 3 ans
  • pour les clients, liées à un contrat : durant la vie du contrat et 3 ans au delà
  • et pour les données liées au recrutement : 2 ans

Le respect des durées peut être garanti par des règles de suppression des données personnelles sur vos bases de données. Quant aux emails issus des formulaires de contact qui arrivent directement sur vos boîtes emails, veillez à supprimer ces données en respectant ces durées.

Les droits des visiteurs

Les droits des internautes doivent être rappelés sur le formulaire ainsi que l’utilisation faite des données collectées (que l’on retrouvera aussi dans vos mentions légales). L’adresse email du DPO doit être mentionnée également sur le formulaire pour pouvoir faire appel à ses droits d’opposition, de rétractation ou de suppression.

Astuce : Vous pouvez mentionner une adresse email avec [@] pour éviter de recevoir des spams issus des crawls des robots sur votre site.

La mise en place d’un CAPTCHA permettra d’éviter l’intrusion des robots qui scrutent les formulaires pour trouver des failles.

Utilisez un email générique et non personnel. On est là sur un point de sécurité. Effectivement, que se passe-t-il quand la personne destinatrice des emails provenant des formulaires de contact quitte l’entreprise ou part en vacances ? Et ne dites pas que vous transmettez les codes d’accès à vos collègues, chaque code est sensé être personnel et ne doit pas être transmis, c’est une bonne pratique de sécurité.

Audit RGPD et sous-traitance

Pour être conforme au RGPD, exigez un contrat avec vos prestataires, c’est obligatoire.

Les prestataires qui ont accès à vos données doivent également être « RGPD compliant ». Ils doivent faire la preuve qu’ils respectent bien les règles en vigueur sur la protection des données personnelles (conservation des données, sécurité en place, sécurisation en cas de diffusion à des tiers, …).

C’est le cas des agences web, des hébergeurs, des agences de communication qui réalisent des campagnes pour vous, etc. En fait tous les acteurs qui ont un accès à vos données.

En dernier ressort, c’est vous le responsable des données personnelles de votre site, d’ou l’importance de travailler avec des prestataires qui pourront vous assurer qu’ils respectent bien les règles.

Les liens ou hyperliens

Les liens qui dirigent vers d’autres sites depuis le vôtre doivent être distincts. L’idée est d’être transparent avec vos visiteurs et de distinguer votre site des autres lors de leurs navigations.

Pour cela, il faut que les liens vers d’autres sites se fassent dans un nouvel onglet, et que vos liens, vos ancres soient reconnaissables (en gras, surligné,  coloré, …, à vous de faire en sorte qu’on distingue bien vos liens).

Et pour les sites e-commerce

Pour les sites e-commerce, tout ce qui précède est à prendre en compte pour auditer votre site et respecter le RGPD. On utilise les CGU et ou les CGV pour présenter vos traitements liés à la vente.

Là encore, le but est d’être transparent. Cela se traduit sur les éléments liés à l’achat :

  • les conditions de livraison,
  • les retours,
  • le paiement,
  • le traitement des données collectées,
  • la durée de conservation de ces données,
  • etc …

La sécurisation des données doit être renforcée concernant l’accès aux données, l’échange de données avec des tiers.

En synthèse

Votre audit RGPD doit permettre de contrôler les points suivants :

  • Sécuriser votre site avec un certificat SSL pour le passer en https ainsi que l’accès aux données.
  • Faire preuve de transparence sur vos traitements lors de la collecte des données (formulaires, cookies, …),
  • Permettre d’autoriser ou d’interdire les cookies via un bandeau si vous avez des cookies soumis au consentement.
  • Compléter les mentions légales et la politique de protection des données personnelles.
  • Donner la possibilité aux internautes d’exercer leurs droits par email.

Quelques sources 

CNIL : Le texte officiel

Comment répondre aux obligations du RGPD ?

Published by Benoît ROLLAND