Loi RGPD mai 2018 : quel impact sur les sites internet ?

Cela fait quelques temps que la CNIL annonce à grands renforts de vidéos, tutoriels et autres documents explicatifs le projet de loi nommé RGPD (pour Règlement Général sur la Protection des Données), qui impactera bon nombre – si ce n’est la majorité – des sites internet européens.

La loi anti-fraude à la TVA en vigueur dès 2019 par le gouvernement Macron touche d’ores et déjà tous les sites e-commerces francophones soumis à la TVA, mais qu’en est-il du RGPD, qui lui touche l’intégralité des sites recueillant des données personnelles ?

Au passage, attention aux administrateurs de sites Prestashop assujettis à la TVA, si vous êtes encore en 1.5 ou sur une version inférieure, vous vous exposez à des amendes à partir de janvier 2019. Demandez-nous pour une mise à jour vers une version supérieure si vous êtes dans cette situation.

Voyons en quelques points ce qu’il est bon de mettre en place, et comment se mettre en conformité.

Êtes-vous concerné ?

Avant de s’affoler, regardez déjà si votre site collecte des données personnelles. Il est évident que dans le cas d’un site e-commerce comme Prestashop, Magento ou WooCommerce, vous enregistrez des informations qui sont sous le regard du RGPD.

Il en est de même sur un blog, à partir du moment où les visiteurs peuvent enregistrer une quelconque information les concernant de près ou de loin (qu’il s’agisse d’un simple email ou d’un nom/prénom).

Si vous envoyez des newsletters depuis votre site, sachez que les internautes doivent disposer d’un lien de désinscription, placé généralement dans le pied de page du mail envoyé. Dans ce cas également, vous dépendez du RGPD, même si nul ne peut s’enregistrer sur votre site.

Le résumé est assez simple finalement :

Collectez-vous ou disposez-vous de données propres à des personnes physiques via votre site internet ?

Si non, vous n’êtes pas impacté par le RGPD (et en un sens c’est fort dommage, votre webmarketing en est donc au niveau zéro).

Si oui, voyons plus en détail ce qu’il va falloir mettre en place.

Du côté de l’entreprise

Certains points dépendant complètement du type de structure ou de la gestion qui est faite des données personnelles, je vais m’efforcer de donner des exemples concrets. À vous de les adapter à votre société, en conservant tous les égards dûs à ce que vous collectez. Après tout, vous êtes une personne physique qui aimerait bien savoir ses données protégées et avoir un regard dessus !

La nomination d’un délégué à la protection des données

Avec ce titre un peu ronflant se cache une logique simple : qui doit-on contacter en interne en cas de souci, de demande de suppression ou modification des données, qui portera les conseils avisés au niveau de la protection des informations enregistrées sur votre site ?

Le délégué n’est requis que pour les entreprises ou structures de grande envergure, mais dans l’immédiat je n’ai pas su trouver de quelle taille il s’agit. Dans le cas d’une structure publique, le nommer est obligatoire. Tout dépend au final de la quantité et du type de données.

Le délégué doit disposer à la fois des compétences nécessaires, mais aussi des moyens lui permettant de garantir la protection des données personnelles, tout en ayant une parfaite connaissance du secteur d’activité.

Il a pour rôle donc de conseiller la ou les personnes traitant ces données. Il n’est pas responsable d’un mauvais traitement des données. Il a davantage pour but de contrôler, conseiller et informer.

Attention aux conflits d’intérêts : le PDG ne peut être délégué par exemple, ce qui suppose donc que les TPE n’auront nul besoin d’en nommer un (ce qui n’empêche absolument pas de protéger les données !).

Afin de déclarer votre délégué à la protection des données, un formulaire est disponible en ligne en date du 25 mai 2018 sur le site de la CNIL.

Source à lire pour en savoir davantage : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

Cartographier les données

Votre structure doit disposer de documents internes présentant les éléments suivants :

enregistrement des personnes qui traitent les données ou ayant accès au registre (celui, celle ou ceux qui vont justement s’occuper de ces datas au sein de votre entreprise)
préciser quelles sont les données traitées : adresses emails, sexe, adresse postale, en spécifiant le risque (comme en cas de données relatives à la santé par exemple)
le but recherché avec le traitement de telles données (qu’en faites-vous ?)
la localisation des données : serveur, localisation, et si vous les faites traiter par un prestataire externe, précisez-le très clairement
la durée de vie de ces données : jusqu’à quand souhaitez-vous les conserver ou les traiter ? Ce qui pose une question webmarketing d’ailleurs plutôt évidente : vos newsletters sont-elles vraiment bien conçues et non envahissantes ? Pensez « user experience » ! La durée de vie des données est à préciser pour chaque catégorie de donnée traitée.
et surtout, quelles sont les mesures en place pour sécuriser les données enregistrées ? Accessibilité, encodage, cryptage…

En résumé : quoi, qui, quand, pourquoi, jusqu’à quand, comment ?

Un peu plus de précisions, encore une fois sur le site de la CNIL 🙂 : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles . Un document Excel est également fourni sur cette page, à remplir afin déjà de se poser les bonnes questions mais également de se mettre en conformité.

Prenons cependant les choses dans l’ordre et en toute bonne logique. Si vous réalisez de la prospection ou des relances correctement conçues, vous ne devriez utiliser que les données qui sont liées au type de structure à laquelle vous appartenez.

Un premier cas concret

Voici un exemple :

Je vends sur mon Prestashop des produits de beauté pour femmes. Le traitement des données effectué concerne donc en majorité un public féminin, je n’aurais a minima besoin que d’un nom, sexe, adresse email afin de réaliser des newsletters ou emails de relance

Il y a en conséquent trois catégories de données traitées : nom, email et sexe. La considération envers la sensibilité pourra donc être évaluée sans « trop » de contraintes, car elles n’auront pas un impact aussi important que dans le cas suivant, qui vous fera comprendre les bonnes questions à se poser selon votre secteur d’activité et les données traitées.

Un second cas, plus sensible

Autre considération, toujours sur une base Prestashop

Je vends sur mon Prestashop des produits pour améliorer la vie des personnes du troisième âge. Mon public est donc de tous sexes, mais j’ai besoin en un sens de cibler des personnes qui ont des soucis de santé en raison de leur âge avancé. Je priorise leur numéro de téléphone afin de les prospecter ou les contacter

Dans ce dernier cas, les données sont bien plus sensibles, il faudra en conséquent avoir une considération toute particulière, bien plus élevée que pour le précédent site. Imaginez par-dessus le marché si vos produits sont des jouets connectés pour enfants, dont la configuration requiert une inscription en ligne…

Il y a donc peu ou prou tout autant de catégories de données traitées dans le dernier exemple, cependant elles sont bien plus sensibles. En effet, vous aurez probablement dans ce cas la possibilité de connaître l’état de santé de vos clients/prospects. Ces données sont par conséquent d’une confidentialité absolue. C’est donc à vous de bien veiller à ce qu’elles soient exploitées à bon escient, sans outrepasser le droit qui vous est accordé lorsque vous avez récolté ces données personnelles.

Les cas litigieux

Attention aux données très litigieuses, comme l’association de personnes à des considérations raciales, religieuses, sur la santé, l’orientation sexuelle, la génétique, la biométrie, les mineurs, et ce qui touche de près ou de loin à des infractions ou des délits.

Posez-vous la question si à la place de vos prospects/clients vous aimeriez voir vos données traitées avec un mauvais regard.

Du côté des internautes

Sur cette partie, un regard sera apporté du côté administration d’un site, mais également du côté client/prospect/visiteur : une personne comme vous et moi ! Nous avons souvent entendu parler de piratage, mais bien souvent il s’agit à l’origine d’une faille dans la sécurisation des données, que vous devez garantir !

Votre site doit être sécurisé !

Un HTTPS please !

Il est important de disposer du HTTPS sur votre site, surtout sur les pages contenant des données sensibles, comme tout formulaire. Prestashop par exemple inclut pas mal d’outils pour générer cela, et mettre en place un HTTPS sur un WordPress/WooCommerce n’est pas non plus d’une grande complexité (surtout si vous avez des notions en base de données SQL). En ce qui concerne la mise en place du HTTPS sur votre Prestashop, la Team a un bon vieux tutoriel plutôt efficace, mais il faudra vous tourner du côté de votre hébergeur pour obtenir le certificat requis pour cette mise en place.

Le HTTPS, pour rappel, certifie en quelque sorte que les données transitant entre le site internet et votre ordinateur ne sont pas interceptées ou corrompues par un tiers. Plus fort encore, Google vous offre un léger boost SEO pour sa mise en place. On imagine bien qu’à terme cela sera généralisé (après tout, la base d’un bon référencement naturel est le qualitatif).

Surveillez bien vos pages donc, autant sécuriser l’ensemble de votre site internet. Personnellement, je préfère ne pas m’inscrire sur un site non sécurisé, mais on peut y trouver une déformation professionnelle :-p

Une administration cachée

Si vous utilisez WordPress, par pitié installez des plugins modifiant l’URL de l’administration de votre site ! Il en existe une foule, totalement gratuits, qui vous permettront d’avoir un back-office bien caché. Certains comme WP Hide Login, ou encore Cerber Security vous éviteront d’avoir un jour des soucis ou des tentatives de piratage.

Si vous utilisez Prestashop, ne renommez jamais votre dossier d’administration en « admin », « administrator » ou que sais-je encore. Ce sont des aberrations complètes qui me hérissent le poil, rien qu’à les voir. Le dossier de l’administration d’un Prestashop peut être renommé à volonté, soyez imaginatif et astucieux quant à son nom.

Sécurisez vos codes d’accès : stop au toto, titi, tutu, admin, dragon (merci Game of Thrones), 0000, 123456, admin et autres illogismes très dangereux. Un bon mot de passe est constitué de lettres (majuscules & minuscules), de chiffres et de caractères spéciaux, sur une base à mon sens minimale de 14 caractères. Oubliez toute date de naissance, tout lien personnel, ce sont les premières choses qui seront testées.

Les cookies, ces vilains fichiers

Concernant les cookies, il est évident que vous devez avertir l’internaute que vous en utilisez. En revanche, contrôlez régulièrement ceux que vous envoyez, et réfléchissez au traitement que vous en faites. Limitez le nombre de cookies autant que possible. Ces petits fichiers ont tout de même mauvaise réputation, et d’aucuns savent qu’ils peuvent être utilisés à mauvais escient…

Qu’il s’agisse du côté administration de votre site ou du côté de votre compte client personnel, demandez-vous à qui vous fournissez les accès.

Si vous avez divulgué des accès à l’administration de votre site, peut-être est-il temps d’en changer les accès, sauf si la personne effectue une tierce maintenance informatique

Les codes bancaires

N’enregistrez jamais les codes de carte bleue sur votre site. Ceci ne devrait être traité que par les banques et organismes de grande envergure, j’ai pour sainte horreur la case à cocher qui propose d’enregistrer ma carte pour de futurs paiements. Cela peut représenter un gain de temps, mais il s’agit également d’un traitement de données que je considère entant qu’internaute comme très sensible.

Lorsque vous cédez l’accès à votre administration de site, n’oubliez pas non plus que vous devez bien faire attention aux codes des modes de paiement que vous avez en place, ceux-ci peuvent parfois être récupérés, et via un accès FTP détournés. Ne donnez donc pas vos accès au FTP par exemple, privilégiez la création d’accès spécifiques que vous pourrez supprimer plus tard.

Quid des mentions légales ?

Vos mentions légales doivent donc afficher clairement le traitement des données que vous effectuez conformément à la loi Informatique et Liberté. De plus, il est utile de renseigner des informations concernant l’utilisation des cookies que vous effectuez en interne (ce qui est justement directement lié au message à ce sujet qui s’affiche lors de la première visite d’un internaute).

Mettez un lien vers votre page contact, et si vous avez une personne dédiée au traitement des données, n’hésitez pas à le préciser.

Précisez le nom, l’adresse et l’URL de votre hébergeur. Si celui-ci vous propose des services d’hébergement, il a en un sens accès à votre database. Il entre donc en compte en ce qui concerne le traitement des données de votre site internet.

Réactivité & accessibilité

Quand bien même vous respectez les différents éléments cités plus haut, sachez que ce n’est toujours pas suffisant. Voici encore quelques points à prendre en considération pour être optimal face à cette loi européenne.

La page contact

Votre page de contact doit facilement être accessible depuis toutes les pages de votre site internet. Mettez en conséquent un lien dans le menu, la barre latérale ou le pied de page.

Dans le cas d’un e-commerce, vous devez déjà proposer les retours produits par ce biais, conformément à la loi en vigueur. Il ne sera pas compliqué en conséquent de proposer une demande simple de suppression ou modification des données de l’internaute.

Cela signifie également que si votre formulaire dispose de nombreux champs requis, il faudra soit les reconsidérer, soit créer un nouveau formulaire.

Le délai de droit à l’oubli est de deux semaines, chose que j’aborde tout de suite.

Deux semaines de délai maximum

Réactivité signifie que la demande d’un internaute concernant le traitement de ses données doit être priorisée. La CNIL précise qu’en cas de non respect sur une durée dépassant deux semaines, vous pouvez encourir jusqu’à 4% de votre chiffre d’affaires !

Répondez donc très rapidement aux demandes, par-dessus le marché cela vous fera peut-être avoir une meilleure communication avec vos visiteurs/clients. Mettez-vous à la place de la personne qui effectue la demande, et pensez-y lorsque ce sera réellement vous qui chercherez à modifier vos données sur un site 🙂

L’export des données par l’internaute

La spécificité du RGPD est que l’internaute inscrit sur un site doit pouvoir extraire ses données personnelles de manière à les réutiliser sur un site externe. En règle générale, ces données sont au format JSON ou XML (comme c’est le cas de WordPress d’ailleurs).

Le but de réutilisation par une machine est un peu difficile voire très contraignant, tous les sites n’utilisant pas les mêmes technologies. Ainsi, proposer un maximum de formats généralement lus par les sites ou les CMS permet de se prémunir de beaucoup de considérations.

On parle de lecture machine, il est logique que l’internaute devra disposer de compétences spécifiques afin de comprendre et lire ces formats. Un document Excel ne serait donc pas conforme, malgré qu’il puisse facilement être lu par un humain.

Sous Prestashop, l’export des données se ferait donc via l’interface « Mon compte », un peu sur le même principe que Woocommerce. Mais dans le cas d’un autre type de site, il faudra procéder différemment (comme un shortcode sur un WordPress simple).

Et en cas d’attaque ou de piratage ?

On se souvient de Yahoo et autres gros sites qui avaient subi de nombreuses attaques, parfois extrêmement fortes et touchant les données personnelles d’énormément de personnes. Si cela vous arrive, vous devez impérativement prévenir la CNIL et vos clients dans un délai maximal de 72h. Ignorer cette procédure reviendrait à laisser les données à des personnes mal intentionnées et pouvant donc procéder à un traitement des plus dangereux (usurpation d’identité, vol de codes bancaires, etc).

Autant prévenir que guérir : multipliez vos ressources en matière de sécurité, recontrôlez-les régulièrement, tenez-vous informé des dernières mises à jour de vos outils et CMS (Prestashop, Joomla, WordPress, WooCommerce et consorts). Il est de bon ton dans le développement de préciser que la majorité des piratages proviennent d’un mauvais développement ou d’une inattention de la part de l’utilisateur.

En conclusion

Ne tardez pas à travailler sur ces différents points abordés ! L’échéance étant le 25 mai, prévoyez des pages explicatives et récapitulant la sécurisation des données auxquelles vous avez accès, et la manière dont vous les traitez. Respectez envers et contre tout la vie privée des gens. Je reçois systématiquement sur une de mes boites Gmail la même newsletter dont je me moque éperdument, et malgré mes demandes de spam ou de désinscription, je reçois encore et toujours des notifications…

La Team vous a préparé un plugin WordPress/WooCommerce pour la RGPD afin de vous aider à préparer et travailler sur ces différents points, et un module Prestashop est dans les fourneaux 🙂

EDIT du 20/04/2018 : Prestashop vient de communiquer à ce sujet. Un module sera disponible pour les versions 1.5 à 1.7, mais sera payant pour tous les sites n’étant pas en 1.7.

Source : https://www.prestashop.com/fr/blog/decouvrez-les-solutions-de-prestashop-en-reponse-aux-nouvelles-exigences-en-matiere-de-protection-des-donnees-2

Documentez-vous sans cesse auprès de la CNIL, qui fournit non seulement des explications en plusieurs étapes, mais aussi des vidéos partagées via leur compte Twitter : https://twitter.com/CNIL

La seule question que je me pose à présent est celle des GAFAM : les entités comme Google, Amazon, Facebook, Apple et Microsoft seront-elles impactées par cette législation européenne ?

Imprimer

2 Responses

TheInsertus

4 avril 2018 | Répondre

Plus proche de nous : la Caisse nationale dAssurance maladie est épinglée par la CNIL, en particulier à travers le le Système national dinformation inter-régimes de lassurance maladie (Sniiram) recense les identités et les caractéristiques de tous les patients, toutes les prestations remboursées dans le cadre des soins réalisés en médecine de ville, ainsi que la consommation de soins en établissement. La mise en demeure de la Cnil a été rendue publique en raison de « la particulière sensibilité des données traitées, du volume des données enregistrées et du nombre important dorganismes habilités à y accéder ». Ces données sont effectivement très sensibles au regard de lusage que pourraient en tirer tous ceux qui mettent en oeuvre et tire profit de la marchandisation de la santé, et ils sont légion
DUONG

15 mai 2018 | Répondre

Si vous avez une boutique PrestaShop, leur module RGPD officiel est sorti la semaine dernière sur leur marketplace, suite à la description du module, il a l’air assez complet et répond aux obligations principales du RGPD : https://addons.prestashop.com/fr/legislation/32323-rgpd-officiel-by-prestashop-16.html

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	1 year	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category "Analytics".
cookielawinfo-checkbox-necessary	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.

Cookie	Durée	Description
tk_lr	1 year	This cookie is set by JetPack plugin on sites using WooCommerce. This is a referral cookie used for analyzing referrer behavior for Jetpack
tk_or	5 years	This cookie is set by JetPack plugin on sites using WooCommerce. This is a referral cookie used for analyzing referrer behavior for Jetpack
tk_r3d	3 days	The cookie is installed by JetPack. Used for the internal metrics fo user activities to improve user experience
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
CONSENT	10 years 1 months 1 day 11 hours 22 minutes	No description
cookielawinfo-checkbox-functional	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-others	1 year	No description
fCIBleowNc	1 day	No description
KewTLzuSbIiYMpq-	1 day	No description
OjpDzRwUlor	1 day	No description
tk_ai	5 years	Gathers information for WordPress by themselves, first party analytics tool about how WP services are used. A collection of internal metrics for user activity, used to improve user experience.
tk_qs	30 minutes	Gathers information for WordPress by themselves, first party analytics tool about how WP services are used. A collection of internal metrics for user activity, used to improve user experience.
_gat_gtag_UA_138061973_1	1 minute	No description

Loi RGPD : quel impact sur vos sites ?

Êtes-vous concerné ?

Du côté de l’entreprise

La nomination d’un délégué à la protection des données

Cartographier les données

Un premier cas concret

Un second cas, plus sensible

Les cas litigieux

Du côté des internautes

Votre site doit être sécurisé !

Un HTTPS please !

Une administration cachée

Les cookies, ces vilains fichiers

Les codes bancaires

Quid des mentions légales ?

Réactivité & accessibilité

La page contact

Deux semaines de délai maximum

L’export des données par l’internaute

Et en cas d’attaque ou de piratage ?

En conclusion

Cyssoo

Derniers billets de Cyssoo

Billets semblables

Comment créer un child theme (WordPress)

Cinq fonctions WooCommerce utiles

Ever SEO : automatiser les balises title et meta description sur Prestashop

Cinq modifications Prestashop utiles

Constantes de WordPress

Prestashop : changer de nom de domaine sans perte de référencement

Configurer un module de paiement CM CIC sur Prestashop

WordPress : ajoutez votre site à Google actualités

2 Responses

TheInsertus

DUONG

Laisser un commentaire Annuler la réponse