Accueil / Site vitrine & RGPD : 6 étapes pour les retardataires

Site vitrine & RGPD : 6 étapes pour les retardataires

mise à jour RGPD
• lire l'actualité kwalt • lire l'actualité kwalt

7 Déc, 2019

Temps de lecture : 11 min

sommaire

retour au blog

Il fallait s’y attendre, malgré le bruit et l’alarmisme autour de la RGPD, les condamnations n’ont pas encore atteint les PME et TPE. Il serait toutefois prudent de vous mettre à jour. Comme beaucoup de nos clients, vous n’êtes peut être pas sûr d’être concerné. Vous envoyez peu, voire pas de mails à vos clients. Vous pensez ne pas stocker de données sur ces derniers. Mais en creusant un peu, on se rend compte que même dans ce contexte, des données sont collectées.

La RGDP vous concerne. Nous vous proposons ici une approche pragmatique. Cela peut vous intéresser si vous souhaitez vous mettre à la page rapidement.

En suivant les étapes de cet article, la majorité des sites vitrines seront globalement à jour de la réglementation. Sachez toutefois que chaque site vitrine a ses propres fonctionnalités, donc si vous souhaitez être 100% conforme à la RGPD, nous vous recommandons de faire appel à un avocat spécialisé.

1. Pourquoi suis-je concerné(e) ?

Même avec un site vitrine simple, à partir du moment où vous avez enregistré des données clients quelque part (un e-mail suffit), la réglementation vous concerne. Vous pouvez être amené à recevoir des données dans les cas suivants:

  • Via un formulaire de contact : même si aucune information n’est stockée dans une base de données (vous recevez uniquement un mail), vous disposez dans votre boite mail de données clients. Il faut donc indiquer aux personnes qui déposent leurs coordonnées ce que vous allez en faire. Vous êtes bien sûr tout autant concerné si les données de ces formulaires sont stockées (dans le système de votre site web ou un système tiers comme Mailchimp par exemple).
  • Via un formulaire d’inscription à une newsletter.
  • Via Google Analytics : ce service de statistiques de visites permet d’identifier les personnes se rendant sur votre site notamment grâce à des « cookies » et aux adresses IP.
  • Via des installations tierces sur votre site : un module de sécurité qui permet de bloquer des adresses IP (donc de les repérer), un module multilingue qui permet de déterminer une langue par défaut (IP encore), etc.
  • Si vous envoyez des mails ou des newsletters de temps en temps, même uniquement à vos clients.
récolte des données via google analytics

2. Étapes de mise en conformité

1. Vos mentions légales et votre politique de confidentialité

Vous devez reprendre vos « mentions légales » et compléter la partie « politique de confidentialité », soit en créant une page dédiée « politique de confidentialité », soit sur la même page que vos « mentions légales ».

Les mentions à intégrer sont les suivantes :

  • Indiquez que vous ne vendez ou ne cédez pas à des tiers les informations personnelles qui vous sont confiées.

Si ce n’est pas le cas, que vous stockez des données dans des outils en ligne ou que des sous-traitants ont accès à ces données, consultez l’étape 6.

  • Listez le type d’informations récoltées sur votre site via vos formulaires et indiquez pour quelle durée vous les conservez (1 an en moyenne, 3 ans maximum). Précisez la manière dont vous les stockez : boite mails, fichiers Excel, base de données sur votre site, base de données hors de votre site, fichiers papiers, autre.
  • Indiquez les cookies utilisés par votre site et le type de données récolté par ces cookies (demandez à votre prestataire web de vous renseigner à ce sujet).
  • Ajoutez également la finalité de l’utilisation de ces données : envoi de propositions commerciales, envoi de newsletters d’information, statistiques, sécurité, autre.
  • Précisez les appareils sur lesquels vous stockez ces données (téléphones, ordinateurs, autre) sont protégés par un mot de passe (cf étape 2) et que les informations envoyées sont protégées par un encryptage SSL (cf étape 3).

Vous pouvez télécharger ici notre politique de confidentialité type (rédigée par KWALT – création de sites web & visibilité sur internet).*

*Attention, il ne s’agit pas d’un document légal mais d’une rédaction réalisée sur la base des informations que nous avons récoltées dans les divers articles traitant de la RGPD.  Nous vous conseillons de vérifier ces informations auprès d’un professionnel du droit afin d’adapter au mieux votre politique de confidentialité à votre situation.

2. Vos formulaires de contact

Vous avez probablement un formulaire de contact sur votre site web. 

Si vous ne l’utilisez que  pour recevoir des demandes et y répondre, il n’est pas forcément nécessaire d’y intégrer une case à cocher pour obtenir l’accord du client. En effet, dans ce cas,  une formule type comme celle ci-dessous vous permet de respecter le devoir d’information imposé par la réglementation :

« Vos informations seront utilisées uniquement pour répondre à votre demande et vous faire parvenir une proposition commerciale si celle-ci est demandée. Vous ne serez pas inscrit à notre newsletter et nous ne partagerons jamais vos données. Consultez notre Politique de confidentialité » (intégrer un lien vers la page que vous avez créée précédemment avec votre politique de confidentialité – cf étape 1).

En revanche, dans le cas où vous enregistrez ces informations (logiciel, fichier Excel…) dans le but d’envoyer  des actualités ou promotions à ces clients, 2 possibilités s’offrent à vous :

  • Soit vous demandez directement par mail à ce prospect s’il souhaite recevoir vos newsletters ou promotions.
    Dans ce cas, conservez leur réponse positive comme preuve (obligation légale). Vous serez ensuite libre de leur envoyer vos informations ou newsletters tout en respectant la RGPD.
  • Soit vous ajoutez directement une case à cocher dans votre formulaire. Par exemple :« Cocher cette case si vous souhaitez recevoir par e-mails des actualités sur notre société. Vos informations ne seront pas utilisées à d’autres fins, ni partagées (voir notre politique de confidentialité)». Cette case ne doit pas être cochée par défaut, ni être rendue obligatoire pour vos clients.

Pensez également à mettre en place un système vous permettant de connaitre la date de création des données, avec une alerte lorsque les données sont « expirées ». Vous ne pouvez pas conserver les données plus de trois ans. Indiquez la durée durant laquelle vous les conservez dans votre politique de confidentialité.

3. Inscription à une newsletter

Contrairement à ce qui est souvent écrit, il n’est pas toujours nécessaire d’ajouter une case à cocher dans votre formulaire d’inscription à une newsletter. En effet, la réglementation impose simplement d’informer les personnes sur la finalité de l’inscription. Ainsi, « inscrivez-vous à notre newsletter » ne suffit pas. Il faudra préférer : « Inscrivez-vous à notre newsletter pour recevoir des informations sur « ce sujet », ou encore « inscrivez-vous à notre newsletter afin d’être averti de toutes nos offres promotionnelles ».

Petite précision, en principe, vous ne pouvez pas écrire : « Inscrivez-vous à notre newsletter pour recevoir des informations sur « ce sujet » et nos « offres promotionnelles ».

Pourquoi ?

Car la personne doit pouvoir choisir indépendamment l’une ou l’autre des informations auxquelles elle peut s’inscrire. Il faut donc créer 2 cases à cocher demandant le consentement pour chacune des propositions d’informations (1 case pour les informations sur un sujet donné + 1 case pour les offres promotionnelles).

Selon nous, si vous envoyez de temps à autre une newsletter mêlant des informations et des promotions, vous ne prenez pas un grand risque. En revanche, si vous envoyez régulièrement des newsletters marketing un peu offensives, nous vous conseillons d’intégrer ces cases à cocher sur votre formulaire.

4. Sécurité de vos appareils

Si ce n’est pas déjà le cas, vous devez veiller à protéger votre site web ainsi que tous vos appareils où les données personnelles de vos clients peuvent être accessibles : téléphone, ordinateur, tablette.

Pour votre site web, si des données clients y sont stockées, veillez à mettre en place les bonnes pratiques de sécurité (modules de sécurité, mot de passe complexe, changement de l’URL de l’interface d’administration).

Pour vos appareils, mettez systématiquement un mot de passe pour en protéger l’accès.

5. Certificat SSL

Si votre site est accessible via l’url https://www.monsite.xxx et qu’un petit cadenas vert est présent dans la barre d’adresse, vous êtes protégé par un certificat SSL.

Si ce n’est pas le cas, il faut activer ce certificat SSL auprès de votre hébergeur. Pour ce faire, vous pouvez faire appel à votre webmaster, à un développeur, ou à nous.

Dans tous les cas, si vous voulez que vos visiteurs puissent accéder correctement à votre site, le certificat SSL est incontournable (les navigateurs affichent des messages d’alerte aux internautes lorsque le site n’a pas de certificat SSL).

De plus, Google déprécie les sites sans accès sécurisé, ce qui est pénalisant pour votre position dans les résultats de recherche Google.

6. Solutions tierces et prestataires

Si vous travaillez avec des solutions tierces comme : 

  • Le stockage des informations clients grâce à une solution en ligne (une CRM par exemple),
  • Mailchimp, Senditblue ou autre pour l’envoi de newsletters (les données de vos destinataires y sont enregistrées),
  • Des campagnes SMS ou via courriers avec un prestataire externe (La Poste, par exemple),
  • Autre.

Dans ce cas, il faut ajouter dans votre « politique de confidentialité » quelles sont ces solutions tierces et quelles données leurs sont transmises. En principe, ces solutions doivent elles-même être conformes à la RGPD. Si vous utilisez des solutions sérieuses, ce n’est qu’une question de temps avant qu’elles ne soient mises en conformité. A défaut, nous vous conseillons de changer de prestataire. En outre, si vous travaillez avec des prestataires qui ont accès à des données (webmaster, webmarketer, etc), ils devront signer un document les engageant à respecter la RGPD pour le traitement des données auxquelles ils ont accès.

Pour plus de précisions concernant les sous-traitants : cliquez ici.

Si vous avez un projet à réaliser et que vous souhaitez être accompagné(e) par entreprise qualifiée et de confiance, n’hésitez pas à nous appeler ou à nous envoyer un mail, nous serons ravis d'échanger :