
Faire un audit RGPD CNIL de votre site est devenu incontournable pour respecter la réglementation en vigueur depuis mai 2018. J’ai réalisé plus de 60 audits de conformité jusqu’à présent et j’accompagne les actions de mise en conformité concernant les sites web. C’est pour ça que j’ai envie de partager ce retour d’expérience.
Cet article s’applique à tous les sites web. Pour les sites les plus anciens, ce travail de mise en conformité peut s’avérer plus difficile quand les technologies utilisées pour développer votre site commencent à être obsolètes. Pour les sites plus récents, il est important d’intégrer dès le départ les bonnes pratiques pour être en conformité avec le RGPD.
Si vos questions portent sur les points suivants, alors prenez le temps de lire cet article :
Audit RGPD CNIL – Philosophie du RGPD
Avant toute chose, un petit rappel de ce qu’apporte le RGPD :
Une plus grande transparence vis à vis des internautes
Le but est de dire à vos visiteurs de quelle façon vous traitez les données personnelles mais aussi de leur fournir le moyen de maîtriser leurs données et de faire valoir leurs droits.
Des possibilités de business supplémentaire
La transparence peut influer sur la confiance de vos visiteurs. Plus vous ferez la preuve que votre site est un site de « confiance » et plus vous aurez de chance que le comportement des internautes sera favorable. Votre image, votre trafic et vos ventes peuvent effectivement bénéficier de ce capital confiance.
Des sanctions lourdes en cas de non-conformité RGPD
Si vous ne respectez pas les règles et que les internautes portent plainte auprès de la CNIL, les sanctions peuvent être très lourdes. Pour les entreprises, les sanctions, en cas de manquements graves, peuvent atteindre 4% du chiffre d’affaires annuel. Prenez donc quelques minutes pour lire cet article et préparer un audit RGPD de votre site, ça ne coûte rien.
Audit RGPD CNIL – Les points à prendre en compte
Sécurisation du site et des données
Passer le site en https :
En installant un certificat SSL pour chiffrer les données.
Contrôler l’accès aux données par des tiers :
Voici les actions de sécurisation possibles :
- Limiter et sécuriser les accès aux bases de données,
- Déclarer chaque tiers / sous-traitant qui aura accès aux données,
- Établir des règles d’utilisation communes.
Les mentions légales
Ce qui est obligatoire avec le RGPD :
Les présentations de l’éditeur (vous) et de l’hébergeur sont obligatoires.
Par contre, l’agence web qui a conçu le site n’est pas obligé d’apparaître dans les mentions légales.
Pour l’éditeur et l’hébergeur, doivent être mentionnés :
- raison sociale
- capital social
- SIRET
- adresse postale
- numéro de téléphone
- email de contact (pour l’éditeur)
- responsable de la publication (pour l’éditeur)
En cas d’absence des mentions légales, vous risquez une pénalité. C’est notamment valable pour les sites marchands qui doivent apporter la transparence sur leur structure.
Quid des adresses emails ?
Lors de votre audit, il y a deux adresses email importantes à mentionner :
- celle qui est rattachée à l’éditeur (ex : contact@monsite.fr) et qui permet de contacter le site en direct ou par le biais des formulaires de contact pour les demandes du quotidien,
- et l’adresse email du DPO, Data Protection Officer, qui doit être mentionnée pour faire valoir ses droits d’opposition, de rétractation ou de suppression sur ses données personnelles (ex : dpo@monsite.fr). Avant, on trouvait déjà le mail cil@monsite.fr.
Astuce : Vous pouvez mentionner une adresse email avec [@] pour éviter de recevoir des spams issus des crawls des robots sur votre site.
Mentions légales, politique de protection des données personnelles, utilisation des cookies ?
On voit pas mal de formats différents. Lors d’un audit de conformité RGPD, le format n’est pas imposé. En revanche, toutes les informations obligatoires doivent apparaître.
Idéalement, pour plus de clarté, vous pouvez créer une page pour les mentions légales et une page pour la politique de protection des données reprenant l’utilisation des cookies. Dans le cas des sites marchands, ou des sites de jeux concours par exemple, il faut aussi créer une page pour les CGU et / ou CGV.
La politique de protection des données
Quelque soit le format utilisé, vous devez présenter le traitement des données personnelles collectées, à quoi elles servent, combien de temps elles sont conservées, à qui elles sont transmises, …
Voici les questions auxquelles répondre dans votre politique de protection des données lors de votre audit RGPD :
- Qui est le Responsable du traitement ?
- Quels types de données personnelles recueillez-vous ?
- Pourquoi recueillez-vous ces données ?
- Comment sont traitées et sécurisées les données personnelles ?
- Ou et pendant combien de temps seront stockées ces données ?
- A qui ces données personnelles sont transmises ?
- Comment protégez-vous les données personnelles ?
- Quels sont les droits des internautes ?
- Quels type de cookies sont déposés ?
- Quel dispositif utiliser pour supprimer les cookies ?
- Utilisez-vous des hyperliens ?