Le règlement général sur la protection des données (RGPD/GPDR), c’est quelque chose dont vous avez entendu parler, mais vous ne savez pas concrètement ce que vous devez faire et pire, combien cela va vous coûter ? Comment savoir si vous êtes en ordre ? C'est le but de cet article.
S’il y a bien quelque chose de flou, c'est les GDPR et ePrivacy. Même la CNIL ne s'y retrouve pas. L'ePrivacy est une proposition de la Commission européenne visant à renforcer la protection de la vie privée des citoyens européens et à ouvrir de nouvelles perspectives commerciales. Parmi les grands thèmes abordés figurent l’utilisation des cookies et les pratiques associées, ainsi que le recueil du consentement des internautes.
Le règlement ePrivacy n’est pas encore finalisé, mais une première version est disponible ; elle est consultable ici. La version finale, une fois publiée, devrait remplacer la directive ePrivacy actuelle et s’harmoniser davantage avec le RGPD.
C'est compliqué, pas bien expliqué, à la foi juridique et technique, mais toutes les entreprises doivent s’y conformer. Dans ce billet, je passe en revue l'essentiel des actions à mettre en place sur un site classique de PME.
Il y a trois axes à prendre en compte, les cookies, la récolte de données et la newsletter.
Les cookies
Sur un site classique, qui ne se trouve pas remplis de pub et ne récolte pas de la data, on pourrait penser qu'un bandeau "Ce site utilise les cookies" pourrait suffire, mais il semble que ce ne soit pas aussi simple.
La première question à vous poser c'est "faut-il installer un CMP (consent management provider), c'est-à-dire un gestionnaire de consentement sur votre site ?"
Même si votre site est simple et basique, il est fort probable que la réponse soit « oui » .
Pour commencer, vous ne pouvez pas forcer l'acceptation des cookies et vous ne pouvez pas installer de cookies (non techniques) sans l'accord de l'internaute. Votre bandeau doit donc être intelligent et empêcher l'ajout de cookie sans l'accord de l'internaute. Il doit permettre à l'internaute de choisir quel cookie il accepte.
Vous devez également prendre en compte les cookies publiés par des plug-ins et widgets de votre site, je pense à un widget Facebook, par exemple et finalement penser aux codes iframes/embeds tel que les vidéos de Youtube.
Finalement, un accord n'est pas infini, loin de là, il faut donner la possibilité à l'internaute de revenir en arrière à tout moment.
Où trouver un CMP ?
Les CMP sont payants et souvent pas simples à installer. Faire appel à un développeur est clairement recommandé. En voici quelques un :
Un exemple concret, mon site. Ce site est assez peu complexe, j'y ai intégré un CMP léger basé sur la version Open Source du Cookie Manager tarteaucitron.js https://opt-out.ferank.eu/fr/
Si vous avez un site qui tourne sur Wordpress, vous pouvez intégrer leur plugin pour 15 euros par mois. De mon côté, je n'ai rien à payer, je me suis chargé de l'intégration. (au fait, vous pouvez me contacter par email si vous avez besoin d'un devis).
Ce site contient 3 sources de cookies. Google Analytics, Youtube (en third party) et Adsense (même si je ne l'utilise plus, je l'ai ajouté au consentement). Sur beaucoup de sites, on va ajouter le Facebook Pixel et des widgets twitter/Facebook, pinterest, … AddThis, Google Tag Manager, Google Maps, reCAPTCHA, Dailymotion, …. )
Pour commencer, il faut faire le tri dans vos plug-ins, certains sont inutiles et récoltent pourtant des données. La plupart des tags analytiques sont faciles à intégrer avec un CMP.
Le plus compliqué, c'est les embeds youtube, dailymotion, instagram ou autre. Pour cela, j'ai dû coder un peu pour les détecter et remplacer leur code.
Sur le site, on ne peut plus lire une vidéo Youtube sans accord.
La récolte de données
C'est déjà plus simple pour un site classique. Vous devez réfléchir si la donnée récoltée est justifiée. Par exemple les logs du serveur, si vous ne les traitez pas pour un usage détourné sont totalement justifiées. Par contre, si vous récupérez les emails de votre formulaire de contact pour remplir une base de données clients ou prospects, c'est diffèrent, vous devez absolument mettre en place une case à cocher (Opt-in) avec une explication claire de l'usage faite de la donnée.
Vous devez également vous assurer de toujours pouvoir supprimer la donnée en cas de demande. Une autre récolte de donnée à surveiller, c'est votre outil d'analyse d'audience. Probablement Google Analytics. Avec une intégration et configuration par défaut, il est conforme au GDPR (si vous avez le consentement pour son ajout de cookie), par contre, si vous l'avez customisé, je vous recommande de faire appel à un expert.
Google Analytics avait envoyé un email concernant la mise en conformité GDPR :
« [Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR) .
Ce mail correspond à la mise en conformité de Google Analytics avec le règlement Général sur la protection des données ou RGPD pour les intimes. Il s’agit de réaliser plusieurs actions sur votre compte Google Analytics et ce, avant le 28/05/2018, date de mise en application de ce règlement.
Mais rien d’alarmant dans cette première étape. Seules 3 actions sont nécessaires à ce stade et s’activent directement dans l’interface de Google Analytics.
- Accepter l’accord de traitement des données (DPA)
- Déclarer les administrateurs du traitement des données
- Valider le temps de rétention des données. »
Plus d'infos sur cette page : https://privacy.google.com/intl/fr_fr/businesses/compliance/#?modal_active=none
La newsletter
Vous avez probablement reçu pas mal de mails de type "Confirmation de l'abonnement à la newsletter", la raison est que chaque base de donnée de newsletter doit être validée par double opt-in.
Qu'est-ce qu'une inscription email par Double Opt-In ?
Contrairement à une inscription par e-mail unique, une double inscription par e-mail nécessite qu'un utilisateur confirme qu'il ou elle a rejoint activement votre liste de diffusion. Cela est généralement effectué en générant un e-mail à l'utilisateur après son inscription. Cet e-mail oblige alors l'utilisateur à cliquer sur un lien dans l'e-mail afin de confirmer qu'il est le propriétaire de l'adresse e-mail et qu'il souhaite recevoir des e-mails de votre part.
La réglementation GDPR impose un accord explicite de ce type, mais concrètement, les éditeurs ont joué sur le côté flou de la législation en envoyant des emails qui considéraient que vous validez votre inscription si vous ne faites rien (Opt-out). Mon avis sur la question est qu'il est effectivement préférable de ne pas trop se conformer à la législation si vous risquez de perdre 75% de votre base de données. Si votre base est jeune, c'est différent.
Ne vous compliquez pas la vie avec des bases de données de clients, mail chimp, par exemple, gère très bien le double opt-in. Il suffit de l'activer. https://mailchimp.com/fr/help/about-double-opt-in/
Pour le reste, je pense que l'essentiel est parcouru ici, mais selon la taille de votre entreprise, votre business et l'usage que vous faites de vos données. Notez que je ne suis pas juriste et il peut être nécéssaire de faire appel à un expert, enfin, si vous en trouvez un ;-)