Importance de la mise en conformité des sites web de vos clients (RGPD, ePrivacy, etc.) ?
La méconnaissance générale de la mise en conformité RGPD
Entré en vigueur le 25 mai 2018, le RGPD est applicable à l’ensemble des organismes amenés à collecter, traiter ou héberger les données personnelles dans un territoire de l’Union européenne. Il est aussi applicable à tous les organismes hors UE amenés à traiter des données de résidents de l’UE.
De nombreux organismes (entreprises, agences web, collectivités…) n’ont cependant pas encore pris conscience des réels enjeux se cachant derrière la réglementation : la protection des données personnelles des individus.
Grâce à l’outil RGPD Admeet pour les agences web, simplifiez la mise en règle RGPD des sites web de vos clients.
Le risque de sanctions liées au non-respect du RGPD
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité nationale compétente en la matière en France. Elle est chargée d’informer et protéger les droits des personnes, d’accompagner la conformité des organismes publics et privés, mais aussi de contrôler et de sanctionner les organismes non conformes au RGPD et à la loi informatique et libertés.
Ces sanctions vont du rappel à l’ordre à des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, en passant par des suspensions, des injonctions sous astreinte ou encore la publicité des décisions.
En janvier 2023, la Cour d’appel de Grenoble a confirmé qu’une des qualités essentielles d’un site web est de ne pas collecter de manière illégale des données personnelles. Les sites ne respectant pas l’obligation d’information et la gestion du consentement se rendent alors coupables d’une infraction pénale avec des sanctions pouvant atteindre 3 ans de prison et 45 000 €. Les agences web qui ne conseillent pas leurs clients sur cette conformité s’exposent à ce que leur client invoque une nullité du contrat pour non-conformité du site web produit.
Les agences web qui développent un site web pour un client se doivent de connaître à tout moment la liste complète des cookies et autres traceurs qu’elles placent sur celui-ci. Elles doivent porter une attention particulière à l’utilisation des plug-ins sur des Content Management Platform, comme WordPress ou autres. Les agences web ont notamment pour obligation de connaître le nom des cookies, leurs propriétaires, leurs finalités et leurs durées de vie. En effet, toutes les informations relatives aux cookies et traceurs sur les sites de leurs clients doivent être reprises dans la politique de cookies du site internet pour que ce dernier soit conforme. Comme l’indique la jurisprudence ci-dessus, une agence web non rigoureuse sur les cookies et autres traceurs sur le site web de ses clients peut engager sa responsabilité en cas de litige avec son client.
Les grands points RGPD à respecter pour une agence web
Les 4 grandes étapes que reprend la CNIL (autorité de contrôle française) dans cet article pour entamer une mise en conformité RGPD sont les suivantes :
- La constitution d’un registre de vos traitements des données personnelles, pour vous aider, l’autorité de contrôle belge (APD) publie des modèles de registre de traitements simplifiés ;
- Le tri dans vos données (papier ou numérique) ;
- Le respect des droits des personnes concernées par vos traitements ;
- La sécurisation de vos données personnelles.
Il est essentiel de mettre en place un programme de mise en conformité RGPD pour les organismes. En tant qu’agence web, vous devez mettre en conformité votre site internet, afin d’informer vos clients des traitements de données, notamment via une politique de confidentialité, une politique de cookies et une bannière de consentement au placement des cookies conforme à la directive ePrivacy. Par ailleurs, la politique de confidentialité doit couvrir l’ensemble des traitements de données réalisés par votre agence web, et pas seulement ceux portés par votre site web.
Les responsabilités des acteurs du traitement pour une agence web
Les modalités opérationnelles des traitements ont des conséquences sur la qualification juridique d’une agence web vis-à-vis de ses clients.
Définition d’un traitement de données personnelles
Une donnée personnelle est définie comme toute information relative à une personne physique identifiée ou identifiable (personne concernée) de manière directe (nom, prénom, etc.) ou indirecte (adresse IP, matricule, client, etc.).
Un traitement de données personnelles est une ou plusieurs opérations portant sur des données personnelles, quel que soit le procédé utilisé (automatisé ou non).
Le rôle du responsable de traitement et du sous-traitant
Un responsable de traitement est l’organisme qui détermine :
- Les finalités du traitement, c’est-à-dire l’objectif de l’utilisation des données personnelles ;
- Les moyens du traitement, à savoir le type de données, les durées de conservation, les personnes concernées, etc.
Le sous-traitant a pour rôle de traiter des données personnelles pour le compte du responsable de traitement. Il est une entité distincte du responsable de traitement, réalisant le traitement selon ses instructions et pas pour ses propres objectifs.
À ce titre, une agence web est qualifiée de sous-traitant lorsqu’elle s’occupe d’une prestation nécessitant le traitement des données personnelles pour le compte de leur client. Par exemple, lorsqu’elle stocke les données collectées sur leur serveur.
L’agence web a également ses propres sous-traitants. En tant que responsable de traitement, elle doit s’assurer de la conformité de ses sous-traitants en mettant en place une convention de traitement des données personnelles conformes.
Ce contrôle passe par l’adoption de bons réflexes, en se posant les questions suivantes :
- Le contrat prévoit-il l’échange ou la mise à disposition de données personnelles ?
- L’objet du contrat est-il d’organiser des traitements sur instruction et pour le compte du client ?
Si la réponse à la seconde question est positive, alors il sera nécessaire d’inclure des clauses d’encadrement de la sous-traitance dans le contrat pour s’assurer du respect du RGPD et de définir les obligations et droits de chaque partie.
La documentation légale obligatoire sur le site web de vos clients
La politique de confidentialité
Politique de confidentialité comme garantie du droit à l’information
Une politique de confidentialité ou de vie privée doit être accessible depuis le site internet de vos clients (lien en bas de page et accessible sur les formulaires de collecte comme les formulaires de contact, de jeu concours…) pour répondre aux obligations d’information des personnes concernées. Il convient d’identifier, dans les formulaires, si les données personnelles sont obligatoires ou non et d’expliquer les conséquences de cette non-transmission. Les politiques de confidentialité des sites web des clients doivent couvrir tous les traitements de données externes de l’organisation et pas seulement ceux réalisés via le site web.
Les mentions d’information permettent d’informer les personnes concernées et d’assurer le principe de transparence. Elles doivent être positionnées sur chaque zone de collecte de données. Ces mentions, plus courtes que la politique de confidentialité complète, sont acceptables uniquement si elles renvoient via un lien vers la politique complète.
Cette mention devra contenir :
- L’identité du responsable de traitement ;
- La finalité du traitement ;
- Le lien vers la politique de confidentialité.
La différenciation entre la politique de confidentialité et les Conditions Générales de Vente
Il est important de distinguer ces deux documents. Une erreur fréquente est de vouloir les associer pour ne rédiger qu’un seul texte, ce qui entraîne une perte de lisibilité pour les utilisateurs.
Les CGV visent à informer les clients sur les conditions de vente d’un produit ou d’une prestation. Elles constituent le contrat et permettent de fixer un cadre juridique à la relation commerciale. Elles sont obligatoires lorsque l’offre de services est adressée à des consommateurs dans le cadre de relations BtoC.
La politique de confidentialité, document obligatoire, vise à répondre à l’obligation d’information de la personne dont les données sont traitées. La personne concernée doit pouvoir prendre connaissance des informations à ce sujet de manière simple et accessible. Même si la politique de confidentialité fait partie intégrante des CGV, il est obligatoire de présenter la politique de confidentialité dans un document séparé sur votre site internet.
Les mentions obligatoires contenues dans la politique de confidentialité
Différentes informations doivent figurer dans la politique de confidentialité :
- Les catégories de données et leurs sources (en cas de collecte indirecte) ;
- Les coordonnées et l’identité du responsable de traitement et du DPO, si applicable ;
- Les données traitées, leurs finalités et la base légale du traitement. Il est primordial d’indiquer les finalités de traitement des données personnelles, de pouvoir les justifier. En effet, on ne peut collecter et traiter des données que dans un but légitime, légal et précis ;
- L’existence d’une décision automatisée s’il y a ;
- Les durées et/ou critères de conservation pour chaque finalité de traitement ;
- Les destinataires ;
- Les possibles transferts en dehors de l’Espace économique européen (EEE) ;
- Les droits des personnes sur leurs données personnelles et les modalités d’exercice de ces droits ;
- Le droit de déposer plainte auprès de l’autorité de contrôle.
À ce titre, Admeet permet de générer une politique de confidentialité conforme aux obligations et adaptée aux attentes de votre agence web et celles de vos clients.
La politique de cookies et la bannière cookies
Qu’est-ce qu’un cookie ?
Les cookies sont de petits fichiers qui se déposent sur le terminal (ordinateur, smartphone, etc.) d’un visiteur d’un site web et permettent de collecter des informations sur celui-ci. Différents types de cookies sont à distinguer :
Les cookies ne nécessitant pas le consentement de la part des utilisateurs :
- Les cookies nécessaires permettent le fonctionnement du site web d’un point de vue de l’utilisateur. Par exemple, l’enregistrement des choix du gestionnaire de cookies, ou encore des cookies relatifs au captcha de sécurité…
Les cookies nécessitant le consentement explicite des utilisateurs avant dépôt :
- Les cookies marketing comprenant la publicité ciblée, notamment la personnalisation du contenu via les réseaux sociaux ;
- Les cookies statistiques permettent de mesurer et d’analyser l’audience du site internet. Si certaines conditions sont respectées, ces cookies ne nécessitent pas de consentement si les données sont complètement anonymisées, et ne sont alors plus considérées comme des données personnelles. La CNIL définit les conditions à respecter pour que ces cookies soient exemptés de consentement ;
- Les cookies fonctionnels permettent une expérience personnalisée à l’utilisateur, en améliorant sa navigation sur le site web (comme l’intégration d’une plateforme tiers).
La mise en place de la documentation légale relative aux cookies
La bannière cookies et la gestion du consentement
La bannière cookies a pour objectif de :
- Répondre à l’obligation d’information ;
- Gérer le consentement des utilisateurs.
Utiliser Admeet facilite la conformité de cette bannière et l’obtention d’un consentement valide. Les bannières cookies Admeet ne contiennent pas de dark patterns qui pourraient influencer le choix des utilisateurs.
Vous devez paramétrer les scripts de consentement et d’installation des cookies. Les cookies nécessaires doivent être installés dès la première visite. Par contre, les cookies dits non nécessaires ne peuvent être installés qu’une fois le consentement de l’utilisateur donné. Il est aussi important de permettre aux internautes de changer d’avis à tout moment en laissant la bannière cookies accessible sur toutes les pages du site via un bouton « gestion cookies ».
Pour en savoir plus sur les cookies, consultez notre guide sur la gestion des cookies sur votre site web.
La politique de cookies
La politique de cookies permet d’expliquer à l’utilisateur comment et pourquoi le site web utilise des cookies. Cette politique doit contenir :
- L’objet de la politique de cookies ;
- L’identité du ou des responsables de traitement par rapport au traitement des données personnelles ;
- La précision d’une utilisation de cookies tiers si tel est le cas ;
- Les coordonnées de l’organisme si l’utilisateur souhaite le contacter ;
- La date de la dernière mise à jour ;
- Une introduction générale sur la définition de ce qu’est un cookie ;
- Les catégories de cookies qui existent ;
- La liste des cookies utilisés (nom, type, finalité, durée de conservation et technologie) ;
- La possibilité de gestion des préférences utilisateur via la bannière de consentement ;
- La possibilité de gestion des préférences utilisateur via le navigateur internet.
Juridiquement, la politique de cookies fait partie intégrante de la politique de confidentialité. Il est cependant recommandé par certaines autorités de protection, notamment l’autorité de protection des données belge, que cette politique cookies fasse l’objet d’un document séparé par souci de clarté.
Elle doit être accessible via la bannière cookies. Les bannières cookies Admeet intègrent une politique de cookies garantissant la conformité de votre site.
Les autres mentions légales obligatoires
Les mentions qu’un site doit contenir et rendre accessible à tous les utilisateurs :
- Nom de l’éditeur responsable du site ;
- La dénomination de la société ;
- L’adresse du siège social ;
- L’adresse email de contact ;
- Les coordonnées de l’hébergeur du site.
Sécuriser son site internet d’agence web
L’analyse de la conformité du parcours des données
La conformité réglementaire impose également la sécurisation des données et donc des sites internet. La sécurité des URL, du parcours de connexion et des accès au back-office des sites internet est capitale dans la protection des données.
Les points d’attention en cas de recours à un prestataire d’hébergement
Il est important de bien choisir son prestataire d’hébergement. Les axes de vigilance sont les suivants :
- S’assurer de la mise en place de mesures de sécurité et de confidentialité appropriées et suffisamment transparentes ;
- Connaître la localisation géographique des serveurs hébergeant les données ;
- S’assurer que l’hébergeur est certifié ou agréé pour son activité.
Les règles d’hébergement des sites web de vos clients en tant qu’agence web
L’agence web ne doit surtout pas négliger l’hébergement et la sécurité des sites web de ses clients. En effet, il convient qu’elle prête une attention particulière et qu’elle applique les mêmes exigences aux sites de ses clients qu’elle appliquerait au sien.