Mis en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est venu apporter des précisions sur les conditions d’obtention du consentement des utilisateurs d’un site et sur la nécessité d’en démontrer l’utilité. Le 1er octobre 2020, la CNIL a publié ses nouvelles lignes directrices, notamment au sujet des cookies et traceurs.Dans le but de toujours mieux protéger les données personnelles des internautes, la CNIL laisse aux créateurs de sites internet jusqu’à mars 2021 pour se mettre en conformité avec ces nouvelles règles.Nous faisons dès à présent le point avec vous sur la conformité RGPD des sites web.
Qu’est-ce que la conformité RGPD ?
Le règlement général sur la protection des données, plus connu sous le sigle « RGPD», a pour rôle d’encadrer le traitement des données personnelles sur le territoire de l’Union Européenne.
Basé sur les évolutions des nouvelles technologies et de la société dans laquelle nous vivons, notamment avec l’usage toujours plus important du numérique ou le développement du commerce en ligne, ce règlement permet d’adapter le contexte juridique aux pratiques quotidiennes des internautes et professionnels du digital.
Le RGPD fait suite à la Loi française Informatique et Libertés de 1978, ainsi qu’aux recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL) de 2013.
Au-delà de mieux contrôler le recueil des données personnelles des internautes, le RGPD permet d’harmoniser les règles en Europe, offrant ainsi un cadre juridique précis aux professionnels ayant recours au numérique.
La conformité RGPD, comme son nom l’indique, consiste donc à ajuster son site internet, afin de prendre en compte les différentes règles imposées par la CNIL.
Qui est concerné par la mise à jour du RGPD ?
Selon la CNIL, toute organisation publique ou privée qui traite des données personnelles, pour son compte ou non, est concernée par le RGPD dès lorsqu’elle est établie sur le territoire de l’Union Européenne ou que son activité cible des résidents européens.
La mise à jour du RGPD doit également être respectée par les sous-traitants qui gèrent les données personnelles pour le compte d’organismes faisant appel à leurs services.
Quelles sont les nouvelles règles en vigueur ?
Au cours de l’année 2021, ce sont principalement les cookies et les traceurs qui feront l’objet d’actions de mise en conformité et de contrôles. Pour ce faire, la CNIL prévoit d’agir selon un plan constitué de deux phases.
- À partir de la publication des lignes directrices et de la recommandation : la CNIL veille au respect des principes exposés depuis 2013. En cas de non-respect, elle applique des mesures correctrices, voire des sanctions, aux contrevenants.
- Après la période d’adaptation, soit 6 mois après la publication : des missions de contrôles sont effectuées. Conformément à la jurisprudence du Conseil d’État, la CNIL est apte à poursuivre des manquements portant à l’atteinte au droit au respect à la vie privée.
La nouvelle réglementation du RGPD comprend la mise à jour de plusieurs critères.
- Refuser les cookies doit désormais être aussi accessible et simple que de les accepter : depuis 2018, les sites proposent généralement aux internautes d’accepter les conditions du site relatives aux cookies et autres traceurs. Avec la mise à jour du RGPD, un bouton « refuser » devra également apparaître, afin de faciliter la protection des données des utilisateurs. De même, ces derniers devront pouvoir changer d’avis facilement.
- Le consentement positif ou négatif doit être réitéré à une fréquence régulière : selon les recommandations de la CNIL, les sites internet doivent redemander le consentement de leurs utilisateurs, idéalement tous les 6 mois.
- Le soft opt-in n’est à présent plus accepté : si le fait de faire dérouler une page ou d’en consulter une autre suffisait comme preuve de consentement du dépôt de cookie, la nouvelle réglementation ne le tolère plus. Désormais, les utilisateurs doivent impérativement cliquer sur un bouton « j’accepte » ou « je refuse » avant que le site ne puisse déclencher les cookies et traceurs.
- L’acceptation des conditions générales d’utilisation (CGU) n’est pas suffisante : pour être considéré comme valable, le consentement à l’utilisation de cookies doit être explicite.
- Le couplage de finalités n’est plus autorisé : si un cookie a plusieurs finalités, l’utilisateur doit avoir la possibilité d’accepter ou refuser chaque finalité, et non le cookie dans son intégralité.
- L’information transmise à l’utilisateur doit être complète : la collecte de données personnelles doit être justifiée auprès des utilisateurs. De même, la liste des partenaires doit être mise à disposition des internautes, tout comme les conséquences encourues en cas de refus ou d’acceptation de traceurs.
Pour être en règle avec les nouvelles lignes directrices du RGPD, les sites internet devront être mis à jour avant mars 2021.
En conformité avec le RGPD, Digiposte vous propose de conserver vos documents administratifs en toute sécurité. Vos données personnelles sont ainsi protégées, tout en étant facilement consultables. Essayez Digiposte dès maintenant !