De nombreux traitements de données personnelles peuvent être réalisés à partir du site Internet de l’agence et doivent donc être conformes aux obligations et principes posés par le RGPD.
Il s’agit principalement de revoir les modalités de consentement, de compléter le site Internet de mentions spécifiques à la confidentialité des données traitées et de faire en sorte que les visiteurs puissent exercer leurs droits
I – Auditer la conformité du site de l’agence
Rappelons que le RGPD ne s’applique qu’à partir du moment où entre en jeu un traitement de données personnelles.
Par conséquent, les sites pour lesquels aucune donnée personnelle ne sont collectées auprès des visiteurs ne nécessite aucune adaptation particulière.
En revanche, seront concernées par une éventuelle mise en conformité les sites au sein desquels les visiteurs sont amenés à transmettre des données personnelles. Il peut s’agir :
- d’un formulaire de contact, d’une inscription à une newsletter ;
- de certains cookies ;
- d’un forum de discussion et d’espaces permettant les commentaires ;
- tout autre applicatif du site collectant des données personnelles des utilisateurs du site.
La méthodologie de l’audit est relativement simple, fondée sur le cheminement suivant :
II – Principes de mise en conformité
1/ Généralités sur le consentement
Si le site engage un quelconque traitement de données, le directeur de publication (architecte libéral, dirigeants de société) doit d’abord s’assurer que le traitement est licite. Les données collectées par le biais d’un site ne relevant généralement pas d’un cadre précontractuel ou contractuel, il appartient donc dans un premier temps de s’assurer que les utilisateurs expriment leur consentement (article 6 du RGPD) au traitement des données qu’ils vont communiquer.
En pratique, le consentement au sens du RGPD est fondé sur le principe du OPT-IN ou double OPT-IN, et proscrit les techniques de soft OPT-IN et OPT-OUT :
- l’opt-in suppose que l’internaute exprime clairement et lui-même son consentement.
- le double opt-in consiste à doubler le consentement par l’envoi d’un email à l’utilisateur afin qu’il confirme son consentement donné sur le site.
- la technique du soft OPT-IN consiste à pré-cocher la case relative au consentement. Cette méthode est désormais proscrite.
- les mécanismes de OPT-OUT qui consistent à exprimer un désaccord ou à seulement permettre à l’utilisateur de réclamer par la suite le retrait de ses données ne sont plus permis.
Il n’est pas interdit de collecter des données distinctes relatives à des objectifs différents dans un même formulaire, tant que les objectifs sont précisés pour chaque donnée collectée et que l’utilisateur puisse exprimer son consentement de manière distincte.
2/ Application du RGPD aux formulaires de contact
3/ Application du RGPD aux newsletters
L’enjeu de la newsletter réside une nouvelle fois dans l’obtention du consentement des destinataires.
Bien évidemment, pour être complètement conforme, la newsletter adressée à ceux qui y ont consenti devra permettre une mise en œuvre opérationnelle de l’exercice de leurs droits.
4/ RGPD et cookies
Sont considérés comme des cookies, les traceurs déposés et lus par exemple lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile et ce, quel que soit le type de terminal utilisé. (Fiche de la CNIL – Cookies & traceurs : que dit la loi ?)
L’utilisation de cookies était déjà réglementée par la directive 2009/136/CE qui oblige :
- à obtenir le consentement préalable de l’utilisateur avant le stockage d'informations sur l’un de ses équipements ou l'accès à des informations déjà stockées ;
- sauf, si ces actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.
Le RGPD ne fait que confirmer l’attention particulière à apporter sur les témoins de connexions, évoqué dans le considérant n°30, et qui peuvent constituer des données personnelles au sens du règlement. Les cookies pouvant être utilisés pour identifier une personne et opérer un traitement de données personnelles, ils doivent donc rentrer dans un cadre licite au sens du RGPD. Les cookies liés à des opérations de publicité ciblée, de certaines mesures d’audience ou de réseaux sociaux, doivent donc notamment faire l’objet d’un consentement libre, explicite, univoque et clair.
Dans le cas où des cookies seraient utilisés sur le site, un simple bandeau d’information en bas ou haut de page d’accueil du site de l’agence permet de se mettre en conformité, en précisant l’objectif recherché et en respectant les conditions de forme du consentement.
Sur le même sujet
22 novembre 2024