%20(1).png){kind=small}
MISE EN CONFORMITE RGPD
Vous souhaitez mettre votre site Internet en conformité avec le Règlement Général sur la Protection des Données (RGPD) ?
Le RGPD encadre la collecte et l’utilisation des données personnelles de vos clients, prospects et plus généralement de tout utilisateur de votre site Internet. La directive e-privacy régule également l’utilisation des cookies par le biais de votre site Internet.
Votre entreprise est passible de sanctions administratives importantes en cas de non-respect des dispositions du RGPD.
Un avocat spécialisé en nouvelles technologies et data vous conseille sur les modalités de collecte et de traitement des données personnelles collectées via votre site Internet, vous assiste dans la mise en œuvre de la documentation nécessaire pour conformité au RGPD (politique de cookies, politique de confidentialité, bandeau cookies, formulaires de collecte, etc.) et plus généralement dans le respect de vos obligations au regard du RGPD.
A titre optionnel, vous pouvez également bénéficier d’un accompagnement complémentaire pour la revue de vos mentions légales, de vos CGU et de vos CGV.
Qu’est-ce que la mise en conformité RGPD de votre site Internet ?
Le RGPD est un règlement de l’Union européenne, applicable depuis le 25 mai 2018. Il a vocation à encadrer la collecte et le traitement des données personnelles relatives à des personnes physiques situées au sein de l’Union européenne.
Le RGPD s’applique à tout éditeur d’un site Internet, personne physique ou personne morale, de droit privé ou public, qui est établi sur le territoire de l’Union européenne et collecte/traite des données par le biais de son site Internet.
Le RGPD s’applique également à toutes les personnes qui ne sont pas établies sur le territoire de l’Union européenne mais qui collectent et traitent les données personnelles d’individus résidant dans l’Union européenne en les ciblant dans leurs activités, par exemple :
- en offrant des biens ou des services à ces personnes, qu’un paiement soit exigé ou non (ex : une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD) ; ou
- en suivant le comportement de ces personnes, dès lors que ce comportement a lieu au sein de l’Union européenne (par exemple, un site Internet édité par une entreprise américaine qui permet de tracer les connexions d’utilisateurs situés au sein de l’Union européenne).
En pratique, l’obligation de mise en conformité de son site Internet avec le RGPD est applicable à toute structure qui exploite une activité au sein de l’Union européenne par le biais de son site Internet et qui effectue un traitement de données par le biais de son site Internet.
Les experts de MyFormality peuvent auditer votre site Internet et vous conseiller sur les mesures à mettre en œuvre afin de respecter vos obligations au regard du RGPD (et de la directive e-privacy).
Quelles sont les obligations d’un éditeur de site Internet au regard du RGPD (et de la directive e-privacy) ?
Les obligations du RGPD sont nombreuses et les étapes pour la mise en conformité de votre site internet sont multiples. Les principales obligations pour respecter les dispositions du RGPD sont détaillées ci-dessous.
Si un acteur économique exploitant un site Internet à destination du public français et collectant des données personnelles ne respecte pas les obligations du RGPD, il encourt des sanctions administratives et pénales.
Selon l’article 83 du RGPD, le non-respect des obligations incombant à l’éditeur du site Internet en vertu du RGPD peut entraîner des amendes pouvant atteindre 10 000 000 euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, et dans certains cas 20 000 000 euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, selon l’obligation concernée.
La loi française prévoit également des sanctions pénales visant à réprimer le non-respect des obligations en matière de traitement des données à caractère personnel. A titre d’exemple, l’article 226-18 du Code pénal prévoit des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (1 500 000 euros pour une entreprise) en cas de collecte de « données à caractère personnel par un moyen frauduleux, déloyal ou illicite ».
Obligation de respecter les principes essentiels de protection des données personnelles lors de la collecte et du traitement :
Les experts de MyFormality vous assistent dans l’analyse des traitements effectués par le biais de votre site Internet afin de déterminer s’ils respectent les critères du RGPD (collecte transparente, licite et loyale ; limitation des finalités ; minimisation des données ; exactitude ; intégrité et confidentialité ; limitation de la conservation), et de vous conseiller toutes modifications et actions prioritaires qui seraient nécessaires pour assurer le respect des principes essentiels de protection des données (par exemple : quelles durées de conservation).
Obligation d’information des personnes concernées lors de la collecte :
L’éditeur du site Internet doit informer les personnes qui accèdent à son site (utilisateur, internaute, prospect ou client) et dont les données sont collectées directement ou indirectement via le site (par exemple au moyen d’une inscription à une newsletter, d’un formulaire de contact, lors de l’ouverte d’un compte, de l’achat de produits ou de la souscription à des services, etc.), de la collecte et du traitement de leurs données personnelles.
Il est donc nécessaire de rédiger une politique de confidentialité. Il s’agit d’un écrit à destination des usagers du site récapitulant les informations sur le traitement de leurs données personnelles conformément aux articles 13 et 14 du RGPD.
Naturellement, l’obligation de mettre en place une politique de confidentialité destinée à informer les usagers du site sur la collecte et le traitement de leurs données personnelles s’accompagne de l’obligation de mettre à jour ces informations.
Par ailleurs, si votre site Internet utilise des formulaires de contact, d’inscription à une newsletter, formulaire de création de compte client, etc., vous avez une obligation d’information des usagers concernant la collecte de leurs données personnelles et de l’utilisation qui en est faite, via une mention figurant au bas dudit formulaire.
Les experts de MyFormality vous assistent dans la rédaction de la politique de confidentialité et des mentions présentes sous les formulaires, afin de vous assurer qu’elles sont conformes au RGPD, suffisamment exhaustives et qu’elles reflètent bien la réalité de tous les traitements effectués par le biais du site Internet. Ils vous assistent également dans l’audit de votre site Internet afin de vous assurer que ces mentions d’information sont facilement accessibles et lisibles pour l’usager.
La gestion des cookies :
Qu’est-ce qu’un cookie ? Il s’agit d’un fichier textuel qui est déposé sur l’équipement terminal de l’usager lorsqu’il visite un site Internet et qui est généré soit directement par le site Internet visité soit par une application tierce.
En général, les cookies ont différentes fonctions : mémoriser l’identifiant client ou le contenu du panier d’achat sur un site marchand, mémoriser la langue d’affichage de la page web, enregistrer les données de navigation, tracer la navigation de l’usager à des fins de mesure d’audience ou de performance, analyser les habitudes des usagers afin de leur proposer des offres commerciales, etc.
Conformément à la directive e-privacy, l’éditeur d’un site Internet qui dépose des cookies sur le terminal de l’usager doit l’en informer et le cas échéant obtenir son consentement.
Si votre site Internet recourt aux cookies, il sera donc nécessaire d’expliquer l’utilité des cookies et décrire leur utilisation, de recueillir le cas échéant le consentement de l’usager pour leur utilisation et de lui permettre de refuser les cookies non essentiels avant leur dépôt sur le terminal de l’usager.
A cet égard, certains cookies nécessitent le consentement de l’utilisateur pour leur validité (l’exemple typique étant les cookies publicitaires). En revanche, certains cookies, qui se révèlent nécessaires à une fonctionnalité demandée par l’utilisateur, ne nécessiteront pas le recueil du consentement.
L’information est fournie via une politique de cookies qui doit être accessible sur le site Internet et/ou par le biais d’un bandeau des cookies dont les préférences peuvent être paramétrées.
Il faut par ailleurs mettre en place des moyens simples de refuser tous les cookies non nécessaires.
Les experts de MyFormality vous assistent afin de déterminer si les cookies utilisés requièrent ou non le consentement de l’usager, et afin de vous assister dans la rédaction de la politique de confidentialité, la bannière des cookies et la mise en place des modules de gestion des préférences sur votre site Internet.
Obligation de documentation des traitements :
L’obligation de tenir un registre des activités de traitement s’applique à toutes les entreprises ou organisations comptant un minimum de 250 employés, quels que soient les traitements concernés, et notamment en cas de traitement effectué par le biais d’un site Internet.
Cette obligation s’applique également à toute entreprise ou organisation comptant moins de 250 employés si le traitement effectué est susceptible de comporter un risque pour les droits et libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte sur des données sensibles ou des données personnelles relatives à des condamnations pénales et à des infractions.
Ce registre doit contenir un certain nombre d’informations telles que : l’identification du responsable de traitement, les finalités du traitement, les catégories de données personnelles collectées, les personnes concernées, la durée de conservation des données, les transferts hors Union européenne et les coordonnées du délégué à la protection des données.
Il doit être régulièrement mis à jour et tenu à la disposition de la CNIL en cas de contrôle.
Les experts de MyFormality vous assistent dans la rédaction et la mise à jour du registre des activités de traitement, afin de vous assurer qu’il est conforme au RGPD, suffisamment exhaustif et qu’il reflète bien la réalité de tous les traitements effectués par le biais du site Internet.
Obligation de signer un contrat de traitement de données avec tout sous-traitant qui traite les données personnelles des usagers pour le compte de l’éditeur du site Internet :
En cas de recours à un sous-traitant (par exemple pour expédier les commandes, adresser les emailings de prospection commerciale, gérer la relation client ou prospect, héberger les données personnelles, etc.), l’éditeur du site Internet doit choisir un sous-traitant qui présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
Par ailleurs, le recours à un sous-traitant doit être encadré par contrat.
Les experts de MyFormality vous assistent dans la rédaction et négociation de ce type de contrat.
Obligation de sécuriser les transferts de données hors de l’Union Européenne :
Si les données collectées via le site Internet sont en tout ou partie transférées hors de l’Union européenne, l’éditeur du site Internet doit mettre en œuvre un des moyens de sécurisation du transfert prévus par le RGPD.
Les transferts peuvent par exemple être sécurisés par la signature de clauses contractuelles, ou les données personnelles peuvent être transférées vers un pays considéré comme disposant d’une protection adéquate par la Commission européenne, ou être transférées dans le cadre de règles contraignantes d’entreprises, etc.
Les experts de MyFormality vous assistent dans l’identification des flux de transferts hors Union européenne et dans la sécurisation de ces transferts notamment au travers de la rédaction et de la négociation de clauses contractuelles avec les importateurs de données situés hors Union européenne.
Désignation d’un délégué à la protection des données dans certains cas :
Les experts MyFormality vous assistent dans l’analyse de vos traitements afin de déterminer la nécessité ou non de désigner un délégué à la protection des données.
En effet, la désignation d’un délégué à la protection des données n’est obligatoire que dans trois cas.
Dans les autres cas, la désignation d’un délégué à la protection des données n’est pas obligatoire, mais toujours fortement recommandée.
Obligation de garantir la sécurité des données en mettant en œuvre les mesures techniques et organisationnelles appropriées, adaptées au niveau de risque :
Les experts de MyFormality vous assistent dans la rédaction et la validation sur le plan juridique de toutes les procédures internes nécessaires pour garantir la sécurité des données (politique de sécurité, politique de gestion des habilitations, charte informatique, politique de gestion des failles de sécurité etc.).
Obligation de répondre aux demandes effectuées par les personnes concernées qui exercent leurs droits :
Les experts de MyFormality vous assistent dans la gestion des demandes de usagers de votre site Internet afin d’exercer leurs droits d’accès, de rectification, d’effacement, d’opposition, de limitation ou de portabilité de leurs données personnelles, etc.
Si ces demandes sont récurrentes, il est généralement recommandé d’élaborer une procédure de gestion des demandes des personnes concernées.
Les experts de MyFormality vous assistent dans la rédaction et la validation sur le plan juridique de ce type de procédure.
Obligation d’effectuer des analyses d’impact relatives à la protection des données (« Data Privacy Impact Assessments ») :
Lorsque le traitement mis en œuvre via le site Internet est susceptible d’engendrer un risque élevé pour la vie privée des personnes, il est nécessaire d’effectuer une analyse d’impact afin de déterminer la nature du risque et d’apporter les mesures correctives qui s’imposent, afin de protéger les données.
Il est parfois nécessaire également de consulter la CNIL.
Les experts de MyFormality vous assistent dans l’élaboration de vos analyses d’impact et la consultation de la CNIL.
Obligation de notification des violations de données personnelles :
Quand des données collectées via votre site Internet sont détruites, perdues, altérées, divulguées ou que des tiers non autorisés accèdent à ces données, cette violation de données personnelles doit être notifiée à la CNIL dans les meilleurs délais et au plus tard sous 72h après en avoir eu connaissance, si la violation engendre un risque pour les personnes concernées.
Si la violation entraîne un risque élevé pour les personnes concernées, l’éditeur du site Internet doit également informer ces personnes concernées de la violation, dans les meilleurs délais.
Les experts de MyFormality vous conseillent afin de déterminer si une notification est nécessaire, et si oui, vous assistent dans la mise en œuvre de cette obligation de notification (rédaction de la notification à la CNIL, rédaction des emails/courriers d’information aux personnes concernées, etc.).
Accompagnement complémentaire à titre optionnel (hors RGPD et directive e-privacy)
Les mentions légales :
Les mentions légales doivent être apparentes sur tout site Internet, pour conformité à la loi pour la confiance dans l’économie numérique qui impose la fourniture d’un certain nombre d’informations obligatoires sur l’éditeur du site Internet.
Les experts de MyFormality peuvent rédiger ou contrôler la conformité de vos mentions légales avec la réglementation en vigueur.
Les conditions générales de vente ou de service :
Les conditions générales de vente ou de service définissent les règles qui gouvernent la vente de vos produits ou la fourniture de vos prestations via votre site Internet.
Il est impératif de rédiger et de publier vos conditions générales de vente ou de service sur votre site Internet lorsque vous vendez des produits ou fournissez des services sur Internet.
Si vos produits et services sont destinés à des consommateurs, des règles spécifiques doivent être respectées.
Les experts de MyFormality vous accompagnent dans la rédaction et la mise en conformité de vos conditions générales de vente et de services, et plus généralement dans l’audit et la mise en conformité du parcours de vente sur votre site Internet.
Les conditions générales d’utilisation (CGU) :
Les conditions générales d’utilisation précisent les modalités d’utilisation du site Internet et encadrent les relations entre l’utilisateur et l’exploitant du site Internet.
Il n’existe aucune obligation légale pour l’éditeur du site Internet de faire figurer des conditions générales d’utilisation. En revanche, la rédaction de telles conditions est fortement recommandée en ce qu’elle présente de nombreux avantages.
En effet, les CGU permettent d’expliquer aux utilisateurs de votre site Internet comment l’utiliser. Il est également possible par le biais des conditions générales d’utilisation de limiter votre responsabilité concernant l’utilisation du site Internet en stipulant une clause limitative de responsabilité. Une raison supplémentaire de rédiger des conditions générales d’utilisation se trouve dans la possibilité de protéger, par le biais d’une clause insérée dans les CGU, votre site Internet (notamment la propriété intellectuelle afférente au site et à son contenu).
Les experts de MyFormality peuvent vous accompagner dans la rédaction de vos conditions générales d’utilisation.
Publicité des produits ou services et affichage des prix :
La rédaction des offres concernant vos produits, vos prestations etc. doit respecter certaines règles afin notamment de ne pas être qualifiée de pratique commerciale interdite et être sanctionnée à ce titre.
Les experts de MyFormality peuvent contrôler la conformité de vos publicités et de l’affichage des prix que vous pratiquez.