La conformité RGPD d’un site internet passe par deux éléments principaux : sécurité informatique et information RGPD. Deux éléments qui particulièrement contrôlés par la CNIL ces derniers temps et sanctionnés, le cas échéant. On rappellera d’ailleurs que son intérêt pour les sites internet est aussi dû à l’arrivée prochaine du Règlement E-Privacy.
On se référera ici aux recommandations de la CNIL dans son Guide sur la sécurité des données personnelles. En bref, il vous faudra :
- Utiliser un protocole TLS à jour ;
- Prévoir une connexion en HTTPS et limiter les ports de communication ;
- Et comme pour n’importe quel outil, limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées.
Pour aller plus loin et limiter le risque, on se référera également aux recommandations de l’ANSSI.
Sur ce sujet, l’Agence a mis à votre disposition deux documents :
- Un guide pour maîtriser les standards de sécurité côté navigateur ; et,
- Une note technique contenant des recommandations sur la sécurité des sites internet.
Côté information RGPD :
Dans un article précédent, nous vous parlions déjà de la question de l’information sur les sites internet. Quelles sont donc les mentions d’informations RGPD obligatoires sur un site internet ?
Le site officiel de l’administration française fait un très bon travail de synthétisation sur les mentions légales obligatoires ; alors pour en savoir plus, consultez ce lien.
- Les mentions d’informations relatives aux traitements des données à caractère personnel ;
Comment informer une personne conformément aux exigences du RGPD ? La mention d’information doit être un reflet fidèle de l’activité de traitement. Elle permet aux personnes de comprendre pourquoi leurs données sont traitées mais également comment, et surtout, comment garder la maîtrise de leurs données.
Pour produire une mention conforme aux exigences du RGPD, nous vous recommandons de consulter l’article de la CNIL concernant l’information des personnes, ici.
- Les mentions d’informations relatives aux cookies.
Il s’agit du fameux “bandeau cookie” qui sera complété par une politique cookie plus détaillée. Comme indiqué dans nos publications précédentes :
- Avant le dépôt des cookies sur le terminal de l’internaute qui visite votre site, vous devez fournir une information claire et précise sur les cookies utilisés et leurs finalités ;
- Pour les cookies de publicité, des cookies de réseaux sociaux ou certains cookies de mesure d’audience, le consentement de l’utilisateur est obligatoire. Pas de consentement équivaut à pas de cookie déposé ! Seuls les cookies nécessaires au bon fonctionnement du site peuvent être déposés sans le consentement de l’internaute.
Dans une publication récente, la CNIL est revenue sur le sujet des “cookies-wall” ou “murs de traceurs”. Cette pratique a pour objectif d’obliger le visiteur d’un site à consentir ou à refuser les cookies avant de pouvoir accéder au contenu du site.
Cette pratique, perçue d’un mauvais œil par de nombreux utilisateurs et par la CNIL, devrait selon elle être limitée et justifiée au cas par cas.
Vous avez quelques minutes de plus ? On vous propose de voir et de revoir le Webinar de notre partenaire Actecil sur le sujet des sites internet et de leur conformité ici.
Et si vous avez encore des questions sur le sujet ? N’hésitez pas à nous contacter ! 😉
SOURCES :
