Création site internet et RGPD sécurité web

Sécurité internet et RGPD

Dans le but de protéger toutes les données que votre site web collectera, la RGPD est obligatoire. Je vous explique dans cet article l’essentiel de ce qu’il faut savoir.

Le Règlement Général sur la Protection des Données (RGPD), entré en application le 25 mai 2018, établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (nom, e-mail, adresse IP…) et des règles relatives à la libre circulation de ces données.

La création de votre site internet ou votre application web doit donc respecter la mise en conformité RGPD et disposer d’un niveau de sécurité adapté à la sensibilité des informations traitées. L’objectif final d’une telle action européenne est d’apporter plus de sécurité dans le parcours web de nos internautes.

création de site internet et mise en place rgpd

Le RGPD en deux mots : consentement et protection

Une donnée personnelle est une information qui permet d’identifier une personne : nom, coordonnées, etc. Le RGPD encadre de manière plus stricte la collecte et le stockage de données personnelles.

Le stockage d’une donnée doit toujours être justifié, et sa collecte doit être faite avec le consentement de la personne. Il ne faut stocker une donnée que pour une durée limitée (le temps de son exploitation), et conserver la preuve du consentement de la personne. Le consentement doit être actif et non pas tacite.

Je vous explique de manière plus concrète:

Un simple champ « email » pour l’inscription à une newsletter n’est légalement plus adapté. L’internaute doit être informé de l’utilisation précise qui sera faite de son adresse mail : on ajoutera dans ce cas une petite explication sous le formulaire. Vous devez ensuite, conserver une preuve écrite de son consentement (cliquer sur un lien de validation dans un email est une solution). Si le recueil de l’adresse email n’a pas pour seule finalité l’envoi d’une newsletter, il faut détailler chaque finalité, avec une case à cocher (l’internaute doit accepter chaque finalité, individuellement). Il faut être le plus claire est précis possible, afin de ne pas biaiser l’internaute.

Il faut également pouvoir garantir la protection des données pour éviter toute fuite ou usurpation, ainsi que les différents droits de la personne concernée (accès, rectification, effacement, limitation du traitement, portabilité, opposition).

Une norme européenne

L’Union européenne a mis en place ce règlement pour assurer une cohésion des libertés dans la zone euro. L’organisme responsable de l’application du règlement européen en France est la CNIL. Le responsable du traitement qui est généralement le représentant légal de la société et cet organisme travaillent en collaboration. Elle peut contrôler et sanctionner en cas de non mise en conformité de votre application web. Elle agit principalement en amont et a un rôle d’alerte, d’accompagnement, de conseil et d’information. En fonction de la taille de votre structure, vous pourrez être amené à désigner un DPO, délégué de la protection des données.

En tant que membre de l’Union européenne, le respect de la conformité est strictement obligatoire. Le règlement européen donne explicitement les informations sur les étapes à respecter et le caractère obligatoire du projet. Dans un but d’accompagnement, la CNIL a mis à disposition la documentation nécessaire à la création du registre des traitements et à la mise en œuvre des différentes étapes de mise aux normes. Le recensement des données récoltées pourra ainsi être controlé à tout moment.

Respect de la norme RGPD pour votre projet web

Le sujet de la mise en conformité RGPD est vaste, je vous synthétise ce qu’il faut savoir pour votre projet de création site web :

  • Vous devez informer vos utilisateurs au sujet de la collecte de leurs données personnelles avant leur obtention, en indiquant notamment la finalité de traitement et la durée de conservation. Le détail des traitements peut être indiqué sur une page dédiée ou au sein des mentions légales.
  • Vous devez obtenir le consentement explicite de vos utilisateurs pour obtenir leurs données personnelles. Cela peut donc se traduire par une case à cocher en bas d’un formulaire, mais aussi sous la forme d’une popup si vos outils statistiques récoltent l’adresse IP des utilisateurs. Le consentement est également obligatoire pour le dépôt de cookies n’étant pas strictement nécessaire au bon fonctionnement du site internet.
  • Vous devez permettre la portabilité des données récoltées et leur suppression, sous réserve des obligations légales de conservation. Vous disposez d’un délai pour prendre en compte les demandes de vos utilisateurs, il n’est donc pas nécessaire de prévoir un système automatisé si votre projet web ne s’y prête pas.
  • Vous devez stocker les données de manière sécurisée et les supprimer au-delà de la durée de stockage contractuelle et/ou légale. Les moyens de sécurité déployés doivent être adaptés à la quantité de données récoltées et à leur niveau de sensibilité.

Pour conclure cet article traitant de la création site internet et de la RGPD, si la mise en œuvre des conformités RGPD dans la collecte de données client pourrait être initialement perçue comme une contrainte. Je vous invite plutôt le voir comme une opportunité de d’assoir votre parcours expérience utilisateur (UX) avec une vraie réflexion orientée autour de la protection de la vie sur internet de vos utilisateurs. Cette démarche rassurera vos internautes et vous crédibilisera face à votre concurrence, qui n’aborderait pas ce sujet. Notre équipe, La Web Factory, vous assure un accompagnement et un conseil dans cette réflexion sur les libertés dès le lancement de votre projet web.

Maxime Mendiboure
Maxime Mendiboure
Laisser un commentaire
Articles récents