Le guide ultime du RGPD pour se mettre en conformité !

En ce début d’année 2018, l’univers du web est en pleine agitation… Aujourd’hui, il nous semble essentiel de vous parler d’un sujet important, qui bruisse sur toutes les lèvres : le RGPD. Si vous êtes marketeur ou chef d’entreprise, vous avez dû entendre parler de cette nouvelle législation, qui entrera en application le 25 mai. Le RGPD ou Règlement Général pour la Protection des Données, ne cesse de faire parler de lui ! Vous l’avez peut-être aussi rencontré sous l’acronyme anglais GDPR. Mais si vous possédez un site web et que vous n’avez pas encore entendu parler du RGPD, alors il est temps de vous renseigner un peu pour vous y préparer… Nous avons donc pris le parti de vous renseigner sur les différents points-clés à examiner pour mettre votre site WordPress ou votre boutique WooCommerce en conformité avec la nouvelle législation. Cependant, il ne s’agit là que d’une source d’informations générales, qui ne peuvent être interprétées comme un véritable conseil juridique.

Aryup étant une société spécialisée dans la protection des données, nous nous ferons un plaisir de vous aider à entrer en conformité.

SOMMAIRE

  • Qu’est-ce que le RGPD ?

    • Qu’est-ce qu’une donnée à caractère personnel ?

    • Qu’est-ce que la législation prévoit ?

    • Qui sera concerné ?

    • Qu’en sera-t-il des développeurs et agences Web ?

    • Quelles sanctions risque-t-on ?

  • Quels changements devrez-vous faire sur votre site Internet ?

    • La mise à jour de vos conditions d’utilisation et votre politique de confidentialité

    • La révision de l’intégralité de vos formulaires sur vos sites Internet

    • La mise en conformité des commentaires

    • La mise au point sur vos différents plugins

    • La mise en place d’un process de sécurité des données

    • L’instauration d’un registre interne de traitement des données

Le Règlement Général pour la Protection des Données est une réglementation européenne prennant application très prochainement, c’est-à-dire le 25 mai. Cette dernière fur votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.

Le but de cette réglementation, venant secouer les pratiques des professionnels et particuliers sur le web, est d’assurer à tout individu le contrôle et la protection des données à caractère personnel qu’il dissémine lors de ses navigations sur la toile.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel est considérée comme une donnée permettant d’identifier directement ou indirectement un individu.

On peut identifier directement un internaute grâce à son nom, son prénom, son adresse email ou encore son numéro de téléphone, et tout type de donnée démographique comme par exemple sa fonction professionnelle, son sexe, son âge, ou géographique comme sa localisation, son lieu de travail, etc.

Comptent aussi dans ces données à caractère personnel les informations purement numériques d’un internaute comme son adresse IP, ou ses data comportementales soit les actions menées sur un site web, comme les visites ou les clics. Même les données partagées de sa propre initiative, comme la mise en ligne d’une photo ou un like, comptent.

Qu’est-ce que la législation prévoit ?

Pour faire simple, le RGPD comporte trois volets importants, qu’il est impératif de prendre en compte :

  • Une amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel. Que ce soit via des formulaires, ou bien vis-à-vis des cookies, le visiteur doit être informé qu’il partage ses données, et savoir explicitement à quelles fins.
  • Une traçabilité et la haute sécurité des données des utilisateurs. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
  • Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.

Autant d’éléments qui vont influencer la manière de créer et de gérer un site web.

Qui sera concerné ?

Le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle.

Si vous collectez, utilisez ou stockez ce type de données, vous serez dans la cible de cette législation et donc potentiellement dans le viseur de la CNIL ! Et ce, quels que soient votre secteur d’activité ou la taille de votre structure.

À noter que le RGPD s’applique également aux données internes aux entreprises comme celles que vous récoltez sur vos employés, dans des fichiers du personnel, par exemple.

Même si votre entreprise ou vous-même êtes basés, ou que vous stockez vos données, en-dehors de l’Union Européenne, le RGPD s’applique à votre activité.

La législation se place en effet du point de vue de l’internaute, c’est-à-dire que si vous traitez des données d’un individu résidant dans l’un des 28 membres de l’UE, vous êtes concerné.

Qu'en sera-t-il des développeurs et agences Web ?

Les développeurs et les agences WordPress sont également concernés, en tant que sous-traitants. Si le traitement que nous faisont des données de vos clients ne rentre pas en conformité avec le RGPD, nous risquons également de nous faire taper sur les doigts.

Il s’agit donc dès maintenant pour nous de revoir la manière dont nous abordons cette utilisation des données dans vos contrats clients, actuels et futurs.

Voici quelques éléments à ajouter à vos contrats, dans une partie spécifique à l’utilisation que nous faisons de vos données :

Le nom et les coordonnées de votre Délégué à la Protection des Données (DPO) (pas besoin d’en nommer un si vous ne brassez pas une masse de data quotidiennement), la méthode que vous utilisez pour récolter, stocker et utiliser vos données, vos méthodes de sécurisation des données, vos éventuelles relations à d’autres sous-traitants, qui utiliseraient ces mêmes données, votre méthode de notification de faille de sécurité, et éventuellement votre processus de rectification ou suppression des données à la demande des utilisateurs.

Quelles sanctions risque-t-on ?

Avant même le RGPD, le droit français prévoyait déjà des sanctions pénales en cas d’infractions portant sur des données personnelles. Certes, celles-ci étaient rarement appliquées, ou par des amendes relativement faibles.

Mais le RGPD vient renforcer le système de sanctions déjà mis en place. Et les amendes administratives détaillées dans la législation sont beaucoup plus dissuasives. Il est prévu qu’elles pourront atteindre 2 à 4 % du chiffre d’affaires de la personne ou de l’entreprise concernée, et jusqu’à 20 millions d’euros pour les infractions les plus graves.

C’est pourquoi nous allons maintenant vous guider pas à pas dans la mise en conformité de votre site face à ces nouvelles obligations.

La mise à jour de vos conditions d’utilisation et votre politique de confidentialité

Il est nécessaire d’apposer, à même son site web, des mentions d’information claires et transparentes pour les utilisateurs.

Même si cela devait déjà être le cas avant l’arrivée du RGPD, il va quand même vous falloir plancher sérieusement sur deux éléments-clés telles que la politique de confidentialité de votre site, ainsi que ses conditions générales d’utilisation et de vente (si vous avez une boutique).

1 - La politique de confidentialité

Voilà un élément à modifier en vue du RGPD, qui va vous demander de bien analyser comment vous traitez vos données utilisateurs.

Votre page de politique de confidentialité, généralement située dans votre pied de page, doit désormais expliquer concrètement ce que vous faites avec ces données.

Il vous faudra donc y faire apparaître :

– Vos coordonnées, ainsi que l’éditeur du site, et son hébergeur.
– Quel type de données vous récoltez lors de l’inscription ou de la commande sur votre site web : noms, prénoms, email, téléphone, adresse postale, adresse IP…
– Pourquoi vous collectez ces données : communication par newsletters, facturation, suivi du comportement de l’utilisateur sur le site…
– Combien de temps vous stockez ces données : vous pouvez garder les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
– Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données. C’est ce qui nous intéressera dans l’étape 5 de cet article.

Ces éléments doivent impérativement apparaître dans une page intégrée à votre pied de page.

Votre page de Politique de Confidentialité doit aussi apparaître dès lors que vos utilisateurs partageront leurs données (dans les formulaires de contact ou de téléchargement). Pour cela, il vous suffit de rajouter une case à cocher supplémentaire à votre formulaire. Cette dernière ne doit évidemment pas être pré-cochée.

Cette case, très commune sur la plupart des sites, demande à l’utilisateur de confirmer “J’ai lu et accepte la politique de confidentialité de ce site” (en incluant un lien URL vers votre page dédiée).

L’objectif est que l’utilisateur donne à voir un consentement clair, et l’acte de cocher la case compte comme tel.

2 - Les Conditions Générales d’Utilisation RGPD

La page de Conditions Générales d’Utilisation de votre site va devoir également muter face au RGPD. Comme vous le savez déjà sans doute, il s’agit de la page qui indique à vos visiteurs les conditions légales qui vous lient à eux.

Il est recommandé d’y ajouter dès maintenant votre politique de confidentialité toute neuve, avec toutes les directives RGPD que vous y avez incluses.

Mettre en place ces éléments sur votre site Internet, c’est avant tout vous éviter des soucis avec eux (signalements à la CNIL et autres menaces…), et installer un climat de confiance.

La révision de l'intégralité de vos formulaires sur vos sites Internet

Les éléments qui vont sans doute être le plus impactés par le RGPD sur le web sont les formulaires. Il s’agit en effet d’un point de contact-clé entre vous et vos visiteurs, où ils partagent avec vous leurs données à caractère personnel.

Nombreux sont les sites qui mettent en place des formulaires, notamment pour proposer l’inscription à une newsletter ou le téléchargement de documents. Or, à ce point de contact, vos utilisateurs vous partagent des données personnelles : email, prénom, nom au minimum.

Que vous déléguiez cette tâche à un plugin, ou que vous ayez construit vos formulaires vous-même, il faut en tous cas vérifier qu’il est possible de :

– Rajouter une case à cocher indiquant que l’utilisateur consent à partager ses données (“J’autorise l’entreprise X à enregistrer mes données”)
– Spécifier la raison de la récolte des données (“Entrez votre adresse email pour recevoir notre newsletter”)
– Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment

Notez également que vous ne pouvez plus demander à un client de vous laisser des données qui n’ont aucun rapport avec ce pour quoi ils s’inscrivent.

Si vous leur demandez par exemple de s’inscrire à une newsletter, inutile de leur demander leur sexe ou encore leur âge.

Pour les formulaires de contact, la problématique semble assez similaire, il doit y figurer une case de consentement à cocher.

Elle doit être placée en-dessous ou à côté du bouton “Envoyer”, pour éviter toute méprise, avec une ligne de texte type “En cochant cette case, j’accepte la Politique de confidentialité de ce site”.

La mise en conformité des commentaires

Les commentaires sont un autre point de contact entre vos visiteurs et vous, où ils vous laissent potentiellement des données. Sur ce point, deux possibilités s’offrent à vous pour être sûr de récolter le consentement de ceux qui souhaitent s’y exprimer.

1 - N’autoriser la publication de commentaires que lorsque l’utilisateur est connecté à son compte

Dans ce cas, “Un utilisateur doit être enregistré et connecté pour publier des commentaires”.

Si la personne est enregistrée, elle a forcément accepté votre politique de confidentialité lors de la création de son compte. Donc inutile de lui redemander.

Le visiteur souhaitant laisser son message devra cocher la case s’il donne son consentement à conserver ses données (nom, prénom, adresse email, site web) pour pré-remplir le formulaire de commentaire lors de ses prochaines connexions au site.

La mise au point sur vos différents plugins

Pour savoir si vos extensions restent dans les clous du RGPD, il va nous falloir mener notre petite enquête personnelle.

Nous allons commencer par lister toutes vos extensions qui pourraient avoir un rapport avec :

– La récolte du consentement et des données de vos utilisateurs : plugins de formulaires, de commentaires, de retargeting…
– L’utilisation de vos données utilisateurs : plugins de personnalisation de contenus, de suivi du comportement des visiteurs, de newsletters, de marketing automatisé, …
– Ensuite, cherchez sur les sites officiels de ces plugins ou dans leur documentation ce que font leurs développeurs pour s’aligner avec le RGPD.

Bon nombre d’entre elles, parmi les plus utilisées, ont déjà lancé des mises à jour pour être réglementaires. Il nous faudra donc mettre celles-ci à jour dès que possible.

Dans le cas où une extension n’est pas encore apte à respecter le RGPD, il est conseillé de trouver rapidement une alternative pour la remplacer. Pas aisé, certes, mais absolument nécessaire.

Toutes les API qui ont été autorisées (Facebook, Twitter, ou Mailchimp) sont également concernées. Tant que nous savons quelles API votre site utilise, quelles données elles traitent, et que nous consignons tout cela dans votre registre, pas besoin de les éliminer de votre site Internet.

La mise en place d'un process de sécurité des données

Il est plus que jamais de la responsabilité de celui qui détient des données d’en prendre soin, notamment en les protégeant contre toute faille de sécurité, mais aussi en permettant aux individus d’avoir un droit de regard dessus.

1 - La création d'un process d’effacement ou de modification des données

Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez plus le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser.

Google Analytics vient d’ailleurs d’intégrer cela à sa solution, mais rassurez-vous l’historique des visites sera conservé.

Les données marketing, par exemple, peuvent être conservées 3 ans maximum après le dernier contact avec l’individu.

Mais le RGPD prévoit aussi qu’il est nécessaire d’informer tout utilisateur, avant qu’il ne partage ses données, qu’il est en droit de retirer à tout moment son consentement. Et par-dessus le marché, la législation spécifie que cela doit se faire aisément pour l’utilisateur.

Une procédure simple doit donc permettre à vos utilisateurs de :

– Retirer leur consentement
– Accéder à leurs données
– Les modifier
– Demander à les effacer
– Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)

Il est ainsi conseillé de créer une page spécifiquement dédiée à cette procédure sur votre site, contenant un formulaire de demande précis. Il faut inclure cette page non seulement au pied de page, mais à tous les points de contact où vos utilisateurs sont susceptibles de vouloir retirer leur consentement. Il sera donc nécessaire de penser à faire de même sur les newsletters, mais aussi dans les bandeaux de signalement de cookies, ou encore aux bannières publicitaires si il y en a…

Une boîte email spécifique doit impérativement être crée, de type protectiondesdonnees@votresite.com, nous permettant de recevoir toutes les demandes d’exercice du droit des personnes.

Puis, à réception de chaque demande de retrait de consentement, il nous faudra supprimer ou modifier les données personnelles de l’internaute au plus vite et sur l’ensemble des lieux de stockage (y compris dans les fichiers de sauvegarde de votre site Internet).
Pour une demande de portabilité des données, il nous faudra exporter toutes les données que vous possédez dans un format lisible par une machine, afin que la personne puisse transmettre ses données à une autre entité sans avoir à les ressaisir. Le format n’étant pas défini, ni la structure, tout est à ce jour possible.

2 - Se préparer à une éventuelle faille de sécurité

Il nous faudra également vous assurer que nous garantissons efficacement la sécurité des données à caractère personnel de vos internautes.

Voici quelques éléments qu’il nous faudra donc prendre en compte :

– Il est nécessaire de mettre en place des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la data, pseudonymisation, cryptage. Nos process internes doivent être clairs à ce sujet.
– Il nous faudra informer la CNIL dans les 72 heures en cas de faille de sécurité. Dans certains cas, il nous faudra même informer l’utilisateur concerné, notamment si la faille est susceptible d’engendrer un risque élevé pour ses droits et libertés.

L'instauration d'un registre interne de traitement des données

Avant le RGPD, toute entreprise traitant des données utilisateurs à caractère personnel devait le signaler par le biais d’un système de déclaration ou d’autorisation.

Dès le 25 mai, cette procédure ne sera plus nécessaire, et sera remplacée par une autre obligation, celle de tenir un registre de traitement des données.

L’idée est donc de mettre en place, en interne, une documentation complète qui atteste que vous êtes en conformité avec le RGPD. Une cartographie des données pour montrer patte blanche.

Pour créer ce document, si vous agissez en qualité de responsable de traitement, vous inspirer du modèle de registre que la CNIL a diffusé sur son site web. Votre registre devra répondre à trois questions-phares au sujet de votre traitement des données :

QUI ? Listez les personnes en interne amenées à traiter des données et le cas échéant, vos sous-traitants en vous assurant qu’ils sont également dans une démarche de mise en conformité au RGPD et en prévoyant de réviser vos contrats
QUOI ? Cartographier les traitements de données personnelles réalisées par votre structure (type de données collectées, finalités des traitements, preuve des consentements recueillis, informations portées à la connaissance des personnes concernées, etc.)
COMMENT ? Vérifier comment ces données sont traitées (transfert à l’étranger ou non, hébergement ou non, archivage ou suppression de données, etc.) et quelles mesures de sécurité sont mises en place en interne

Ce registre doit être perpétuellement tenu à jour.

Véritable chef d’orchestre des données personnelles, le DPD (Délégué à la Protection des Données) aura vocation à remplacer l’actuel Correspondant Informatique et Libertés (CIL), et aura pour mission, notamment, de contrôler le respect du RGPD par l’entité et de coopérer avec la CNIL.

Il peut s’agir d’une personne en interne (poste technique, juridique…) ou en externe (avocats, consultants…). Les petites structures peuvent se partager un DPO entre elles.

Nommez un fanatique de data, qui se penchera précisément sur le droit et vos pratiques en matière de données personnelles, et qui tiendra à jour votre registre.

Nous savons qu’un site-vitrine ou un blog ne brassent pas le même type de données qu’un site e-commerce, il est donc essentiel pour nous de vous faire un point à ce sujet afin que vous sachiez ce qu’il adviendra de vos sites e-commerce.

Vous découvrirez ainsi quelques spécificités à ne pas négliger dans votre mise en conformité. Bien sûr, cela ne vous dispense pas de mettre en place tout ce dont nous venons de parler précédemment.

Des conditions générales de vente adaptées

Les Conditions Générales de Vente ou CGV s’apparentent à des Conditions Générales d’Utilisation ou CGU, elles supposent un rapport marchand entre l’utilisateur et le site web. Il est absolument obligatoire de les apposer sur une page dédiée, dans le pied de page de votre site Internet.

Si vous ne disposez pas encore de cette page, il est grand temps que nous vous la créeons !

Une fois cette page créée, une case supplémentaire apparaîtra lorsqu’un utilisateur atterrira sur votre page de commande. Il devra alors cocher cette case pour attester qu’il a bien lu ces Conditions Générales de Vente, et accepte de les suivre.

Des pages de commande où apparaît votre Politique de Confidentialité

Dans le cas d’un site e-commerce, votre Politique de Confidentialité devra apparaître clairement dans vos formulaires de commande.

Il nous faudra encore une fois rajouter la fameuse case à cocher “J’ai lu et j’accepte la politique de confidentialité de ce site”.

Des formulaires E-Commerce d’inscription

Un client peut décider de ne s’inscrire qu’à la page de commande d’un produit mais il est également possible d’activer l’inscription depuis la page “Mon compte”.

Il nous faudra, dès cette page d’inscription, ajouter un texte qui stipule que toute personne qui s’inscrit a pris connaissance et accepte votre politique de confidentialité.

Nous rajouterons donc quelques lignes à la page d’inscription “Mon compte”, juste en-dessous du bouton “Inscription”.

Facile !

Des avis clients en conformité avec la législation

Sur les sites E-Commerce, rien de tel pour accroître la crédibilité de son produit que les avis clients. Le RGPD vient également changer la donne sur ces éléments, qui demandent eux aussi une récolte préalable du consentement de l’utilisateur pour les publier.

Pour vous assurer que vous êtes en règle de ce point de vue, c’est simple : il nous suffira de n’autoriser leur publication que lorsque le visiteur aura acheté le produit (et aura donc préalablement accepté votre politique de confidentialité, et donné son consentement).

Si les acheteurs sont certifiés, c’est qu’ils ont passé commande et ont accepté votre politique de confidentialité. CQFD.

Des soucis avec votre plugin d’abandon de panier

Si vous avez un site E-Commerce, il y a fort à parier que vous disposiez d’un plugin d’abandon de panier, pour rattraper les petits étourdis qui n’auraient pas finalisé leur commande.

Le problème, vous le voyez sans doute venir de loin, maintenant que vous êtes des experts du RGPD : la récolte du consentement !

Car, lorsqu’un utilisateur abandonne son panier, ces plugins collectent quand même des données, et ce sans qu’il ait eu le temps de cocher la case sur les Conditions Générales de Vente.

La solution, qui contourne un peu le problème mais le résout temporairement serait que nous rajoutions un petit texte invitant l’utilisateur à consulter votre Politique de Confidentialité, juste en-dessous du champ où il doit laisser son adresse email.

L’idéal serait tout de même que nous trouvions par la suite un plugin d’abandon de panier qui soit totalement conforme au RGPD.

Dans votre quotidien pour trouver ou convertir des clients, vous maniez de la data.

Vous prospectez pour trouver de nouveaux clients, vous envoyez des emails pour fidéliser ceux qui vous suivent, vous faites du retargeting pour récupérer les visiteurs que vous n’avez pas convertis en contacts, etc.

Bref, vous jonglez avec des données à caractère personnel.

Mais bon nombre de ces pratiques vont désormais proscrites… tout du moins si vous n’en informez pas au préalable vos utilisateurs, dans votre Politique de Confidentialité. Nous en revenons toujours au même point.

Voici donc une rapide checklist des leviers marketing pour lesquels vous devez récolter le consentement de vos utilisateurs :

– L’envoi d’emails que ce soit pour vos newsletters marketing ou vos emails de prospection
– Le profilage soit le suivi des comportements de vos utilisateurs sur votre site web, comme leur historique d’achat ou le temps qu’ils passent sur une page
– Le retargeting soit le fait de re-présenter une publicité à un prospect qui a laissé des cookies sur votre site

Pour l’heure, l’objectif premier est de montrer notre bonne volonté à la CNIL face au RGPD, malgré les questions qui subsistent encore autour de ces pratiques. La législation e-Privacy, qui va venir augmenter les directives RGPD à l’horizon 2020, nous en dira sans doute plus, notamment sur l’utilisation des cookies.

Mais qu’en sera-t-il de vos fidèles visiteurs, qui ont déjà accepté de recevoir vos newsletters ou de s’inscrire à votre forum ? C’est encore une toute autre chose.

Nous devrons leur re-demander leur consentement, explicitement et spécifiquement, sous peine d’être hors la loi si nous utilisons leurs données de quelque manière que ce soit.

Nous vous conseillons donc de leur préparer un bel email, très transparent, que nous leur enverrons avant le 25 mai, pour le leur demander. Finalement, c’est sera une bonne manière de vous reconnecter avec votre audience, et de faire preuve de toute la bonne foi qui vous anime face au RGPD.

De notre point de vue, le RGPD est une belle occasion de repenser votre stratégie marketing, pour laisser plus de liberté aux clients dans les choix qu’ils peuvent faire.

Faisons place à la toute-puissance du référencement et du bon contenu bien ficelé !

Certes nous vous donnons des conseils, mais que faisons-nous donc, de notre côté ?

Nous allons être francs. Les outils que nous utilisons aujourd’hui sur le site ne nous permettent pas de respecter intégralement toutes les directives, malgré le fait que nous soyons aussi concernés par la législation.

Nos différents plugins sur notre site ou encore présents sur votre site ne sont pas encore compatibles au RGPD. Mais cela devrait être bon pour le 25 mai.

Rassurez-vous, nous nous creusons les méninges pour nous mettre en conformité et vous également!

La piste la plus intéressante et la plus simple que nous ayons à ce jour trouvée est le plugin GDPR Framework. S’il n’est pas encore traduit en Français, il permet cependant de :

– Créer automatiquement une page dédiée à l’effacement des données des utilisateurs
– Permettre aux utilisateurs d’exporter automatiquement leurs données, sur simple demande
– Anonymiser ou supprimer automatiquement ces données, à la demande de l’utilisateur concerné
– Ajouter automatiquement des cases à cocher aux formulaires d’opt-in
– Ajouter automatiquement au footer de votre site les pages de politique de confidentialité et de conditions générales d’utilisation

Après, comprenez bien que vous installer un plugin ne vous mettra pas automatiquement en règle. Cela prendra un peu de temps.

Si le RGPD semble être une nouvelle législation contraignante, nous avions pour souhait de terminer cette note sur une tonalité un peu critique, et surtout positive. Vous verrez qu’il y a du bon dans toute cette pagaille !

Les points de vigilance

Il va falloir que nous vous mettions rapidement en conformité si ce n’est déjà fait et que nous révisions votre processus d’opt-in sur vos formulaires, que nous créeons votre registre et que nous revoyons vos éventuels contrats avec vos clients ou sous-traitants… Il y a du boulot !

Notons également le côté encore assez peu clair de la législation. Dans le texte du RGPD, il y a de nombreux renvois aux lois nationales de chacun des pays. En France, la loi informatique et libertés est en cours de modification pour y intégrer les dispositions sur le RGPD. Le projet de loi est actuellement devant le Sénat. N’oubliez donc pas, si vous traitez les données d’utilisateurs résidant dans d’autres pays de l’UE, de vous renseigner sur l’application de la législation là-bas. Vous pouvez notamment trouver des informations à ce sujet sur le site de la CNIL.

Les points positifs

Les entreprises, ainsi que les agences et développeurs, qui adapteront leurs pratiques au RGPD bénéficieront d’une véritable image d’expert, et d’une crédibilité accrue. En mettant en place des Conditions Générales d’Utilisation claires, et en montrant vos efforts à même votre site web, vous créez une véritable relation de confiance avec vos utilisateurs.

Le RGPD est également l’occasion de vous pencher un peu plus sur l’expérience que vous proposez à vos utilisateurs sur votre site web, ainsi que sur la sécurité de votre site et des données qu’il récolte.

Au-delà de toute considération d’ordre professionnel, on peut être heureux qu’une législation nous permette de reprendre enfin la main sur les données personnelles que nous égrainons sur Internet car nous sommes tous des internautes après tout.

En tous cas, nous nous demandons à quoi va ressembler le web le 25 mai…