Portail de la réglementation de protection des données personnelles
FAQ : ai-je des choses à faire pour que mon site internet respecte la loi RGPD ?
FAQ
FAQ : ai-je des choses à faire pour que mon site internet respecte la loi RGPD ?
FAQ

FAQ : ai-je des choses à faire pour que mon site internet respecte la loi RGPD ?

[siteorigin_widget class=”SiteOrigin_Widget_Image_Widget”][/siteorigin_widget]

Site internet & RGPD

 

Pour savoir si vos devez faire quelque chose pour mettre à jour votre site internet, il suffit de se poser la question RGPD type : est-ce qu’à un moment où à un autre, mon site collecte des données personnelles ?

Si vous ne collectez aucun nom, aucune adresse, aucun numéro de téléphone, etc… alors vous n’aurez (peut-être) rien à faire. Pourquoi peut-être ? La loi RGPD stipule clairement que les données personnelles sont liées à une identification directe des individus, mais aussi indirecte. Et c’est là que cela se complique.

  • En effet, votre site (ou votre hébergeur) collecte très probablement des adresses IP ce qui peut permettre d’identifier des individus.
  • Peut-être aussi autorisez-vous des commentaires et dans ce cas comment faites-vous pour garantir qu’aucune information permettant d’identifier quelqu’un n’y sera pas déposée ?
  • Et si l’on étend la question aux applications sur smartphone par exemple, la géolocalisation peut également être à l’origine d’une identification de personne.
  • Et que dire des cookies déposés par des outils comme google analytics ?

En clair, il y a peu de chance que votre site internet ne collecte aucune donnée personnelle. Il faut donc se mettre en conformité.

Que faut-il faire ?

Si vous avez une agence web, il faut la recontacter et lui demander de garantir a minima les points suivants (la liste n’est pas exhaustive) :

  • mise-à-jour des conditions d’utilisation / mentions légales avec les éléments RGPD que vous lui fournirez
  • mise-à-jour des formulaires, newsletters avec de nouvelles mentions et surtout un bouton d’acceptation explicite de ces conditions
  • mise en place d’une politique d’effacement automatique des données personnelles (au bout 3 ans a priori sauf cas spéciaux)
  • mise en place d’outils pour récupérer facilement les données dans la base de données du site
  • mise en place d’outils permettant de respecter au mieux le “privacy by design” (protection dès la conception) de la RGPD comme par exemple :
    • cryptage SSL (ce n’est pas encore fait ?!)
    • protection contre les attaques les plus courantes (brute force, URL suspecte, login/mot de passe triviaux, utilisation de failles dues à du code obsolète, protocoles de communication fragiles ouverts, …)

Les sites internet sur technologies ouvertes (WP, Joomla, …) seront normalement facilement mis à jour car la communauté des développeurs a déjà largement travaillé à la mise en conformité. Pour les sites développés sur une technologie propriétaire, ce sera au cas par cas.

Et si vous ne le faites pas ?

Ne pas mettre à jour ses conditions d’utilisation et les boutons de consentement des formulaires et commentaires revient à déclarer explicitement et publiquement que vous ne respectez pas la loi RGPD ! Même chose pour les sites qui ne sont pas passés en SSL : le cryptage est l’un des mécanismes élémentaires de la protection des données personnelles.

Pour les éléments de protection plus techniques, leur absence ne se verra pas. Mais en cas de piratage entraînant des fuites préjudiciables de données, vous risquez d’être fortement en difficulté.

Il n’existe pas de protection parfaite et mettre son site internet en conformité a un coût. On se consolera en se disant qu’afficher sa conformité RGPD est aussi un signe de sérieux et une source de bonne image pour votre société.

 

 

Article 25 – Protection des données dès la conception et protection des données par défaut

  1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
  2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.
  3. Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.