Refonte du site internet de l'agence A Vos Sites Pros
Refonte du site internet de l’agence A Vos Sites Pros

Cher visiteur,

Une fois n'est pas coutume, c'est à la première personne que je vais rédiger ce post pour vous parler de la refonte du site internet de mon agence et de la mise en ligne de la nouvelle version le 25 juillet dernier. Cette refonte et cette migration de la nouvelle version, en remplacement de l'ancienne, font suite à une période particulière que vous imaginez. Et que vous avez vous-même vécue.

C'est ainsi que je vous écris avec une certaine émotion après ces mois ô combien éprouvants, aussi bien professionnellement qu'humainement.
J'espère que vous avez réussi comme moi à surmonter tant bien que mal ce moment. J'ai essayé pour ma part de mettre à profit la baisse d'activité et le temps dégagé pour renouveler mon activité et donner un second souffle à mon entreprise de création de site internet.
La crise du Covid-19 que nous venons de vivre a mis à rude épreuve notre confiance en l'avenir, mais j'ai envie de croire qu' "à quelque chose malheur est bon", comme dit le proverbe.

Ainsi, j'ai le plaisir de vous présenter la nouvelle version du site web de l'agence A Vos Sites Pros que nous avons développée avec mon équipe pendant le confinement :

Refonte du site internet de l'agence A Vos Sites Pros

 

J'ai eu la chance de pouvoir travailler dans un petit havre de paix, m'étant exilée avant le 17 mars, et ainsi passer plus sereinement ces mois d'enfermement ; mon projet n'en serait pas arrivé jusque là sans ce petit coin de paradis en Normandie, que je vous recommande : https://www.airbnb.fr/rooms/41230598.

Je vous laisse découvrir le nouveau site et me tiens à votre écoute pour accompagner votre entreprise dans sa transformation digitale.

Prenez soin de vous.

Sabrina

 

Un formateur RGPD pour assurer la conformité de votre entreprise
Un formateur RGPD pour assurer la conformité de votre entreprise

Le RGPD, cet inconnu qu'on ne présente plus. Le Règlement européen sur la protection des données est en application depuis le 25 mai 2018 mais toutes les entreprises ne sont pas encore conformes...

Enfin, plus que l'entreprise en elle-même, il s'agit surtout des traitements de données de personnes qu'elle a sous sa responsabilité. D'ailleurs autant vis-à-vis de l'externe (fichiers clients, fichiers prospects, etc.) que de l'interne (payes, gestion RH, etc.).

En plus de la conformité du site internet, il s'agit de mettre en conformité l'intégralité de l'entreprise ou s'approcher le plus possible des 100% . Pour cela, un formateur RGPD sera probablement nécessaire... En plus de toute bonne intention inhérente à la réussite du projet de conformité !

 

I/ Pourquoi un formateur RGPD ?

DPO (Data protection officer), la clé de voûte du RGPD Tout dépend en réalité de la situation de votre entreprise, à savoir l'état d'avancement de la conformité, le nombre de salariés et le type de données traitées.

En effet, dans certains cas, un DPO (délégué à la protection des données) doit normalement obligatoirement être désigné. Pour justement assurer cette mise en conformité et la maximiser. Dans ce cas, ce nouveau visage dans l'entreprise contrôlera l'application du RGPD et la conformité des traitements de données au texte. Cependant, il arrive que le DPO ne soit pas nommé alors qu'il devrait l'être, souvent pour des raisons de coûts. Ou votre entreprise n'en a tout simplement pas l'obligation.

Ainsi, un formateur RGPD pourra être fort utile pour donner des outils aux opérationnels et managers et assurer la conformité à tous les étages. De plus, celui-ci apprendra comment distiller une culture "Informatique et Libertés" propice à cette mise en conformité.

Enfin, cela va sans dire, un formateur RGPD est toujours utile même lorqu'un DPO officie dans l'entreprise. Surtout quand ce dernier n'a pas le temps matériel d'effectuer lui-même les formations. Ou, plus fréquemment, s'il s'agit d'un DPO externe, prestataire extérieur, payé sur facture.

 

II/ Un formateur RGPD qualifié

Un site internet pour les avocats Pour que la formation soit efficace et utile, il convient que l'entreprise choisisse un formateur expérimenté. Qui connaisse le terrain et ses problématiques. En effet, rien de pire qu'un formateur RGPD théorique, diplômé mais sans aucune expérience de terrain.

Le professionnel pourra ainsi montrer les outils nombreux de la conformité. Comme le logiciel PIA de la CNIL. 100% gratuit et surtout 100% conforme ! De plus, le formateur qualifié pourra répondre aux questions pratique des intervenants à la formation. Et il attirera naturellement leur attention sur les points les plus sensibles.

 

L'agence web A Vos Sites Pros met à la disposition des entreprises et de ses clients un formateur RGPD. Ce formateur dispensera des formations RGPD sur-mesure en fonction de l'état d'avancement de la conformité et des problématiques sectorielles de l'entreprise. Et ceci pourra servir les entreprises souhaitant rendre conforme leur site web, créés ou non par l'agence.

Bilan du RGPD à 6 mois de l'entrée en application
Bilan du RGPD à 6 mois de l’entrée en application

RGPD. Est-il encore besoin de présenter cette acronyme ? Les quatre lettres les plus célèbres de cette année (au moins) sont encore et toujours dans l'actualité. Notamment car le Règlement général sur la protection des données fête ses 6 mois ! Il est temps de faire le bilan, calmement, en se remémorant chaque instant.
Entré en application le 25 mai 2018, le RGPD a fortement impacté entreprises privées et administrations publiques. En effet, la protection des données de tiers doit être aujourd'hui au cœur de leurs préoccupations.

Bilan du bilan à 6 mois. Orchestré par la CNIL, Commission Nationale "Informatique et Libertés", mesdames et messieurs.

 

I/ Bilan de la CNIL

A dire vrai, la Commission Nationale de l'Informatique et des Libertés avait déjà dressé un premier bilan à 4 mois. En effet, elle avait trouvé intéressante de ne pas attendre justement une période symbolique de six mois, voire un an, pour délivrer ses premières observations. Toujours est-il que ce point semi-annuel montre bien la direction prise par la gardienne des données personnelles. Et, plus généralement, la prise en compte par les acteurs du RGPD et le contrôle de l'application des dispositions du texte par la CNIL.

 

34% d'augmentation de plaintes déposées à l'autorité administrative, 1000 notifications de failles de sécurité, des millions de personnes touchées... Si le RGPD passe aussi et surtout par l'obligation de sécurisation des systèmes, l'ampleur de la tâche est immense. En effet, vu l'augmentation exponentielle de ces résultats au fur et à mesure des mois (les notifications étaient de 750 environ par exemple à 4 mois), le bilan dans les six prochains mois pourrait être catastrophique ! Rendez-vous le 25 mai 2019...

 

II/ Bilan des professionnels

CNIL

Disons-le sans ambages : le RGPD n'est pour l'instant pas très bien vécu par les professionnels. Si la mise à jour des mentions légales, du bandeau cookies ou plus généralement du site web a plutôt été réalisée, la cartographie de l'ensemble des traitements dans l'entreprise pêche. Pis, l'esprit du RPGD a été plus ou moins dévoyé. Et certains designers et développeurs utilisent des techniques pour arriver à leurs fins (exemple : pop-up avec un énorme bouton "J'accepte" à l'entrée d'un site, avant la consultation du contenu, pour recueillir quasiment à coup sûr et de manière quelque peu forcée le consentement des internautes).

Un bilan donc mitigé, pour ne pas dire cruel. En effet, certains déplorent plutôt un effet de mode qu'autre chose. Avec une bonne dose d'hypocrisie, lié à l'affichage : les mentions légales à répétition sur le site, plus que de raison bien qu'obligatoires, ne servent qu'à rassurer les personnes. Mais si l'on gratte un peu, les bonnes pratiques affichées ne sont pas suivies en pratique. Et la protection des données n'est donc pas si effective que cela.

Sur toutes ces questions, il faut absolument aller lire l'excellent article "sans langue de bois" du Journal du Net à ce sujet. Rendez-vous donc encore le 25 mai 2019...

Un site internet pour les avocats
Un site internet pour les avocats

La transformation digitale des professions juridiques, avocats, huissiers ou notaires, ne date pas d'hier. En effet, la valeur ajoutée d'un site internet n'est plus à démontrer. Toutefois, la création d'un site web ne doit pas être prise à la légère et les avocats ne devraient pas se contenter du strict minimum. Pourquoi ? Car le site internet est une formidable source d’attractivité pour leur activité et un reflet digital de leur modernité.

D'expérience, nous avons remarqué que bon nombre d'avocats privilégiaient spontanément le fond à la forme. Sûrement une réminiscence de leurs études et l'environnement direct de travail, codes et livres de droit à l'appui !

DPO (Data protection officer), la clé de voûte du RGPD Pourtant, le site web est bien l'antithèse. En effet, là où les référentiels juridiques ne comportent aucune illustration, le site internet est avant tout un espace qui se doit d'être visuel, et même "tape à l’œil". Là où les livres de droit se composent de centaines de milliers de signes, avec des phrases de plus de trois ou quatre lignes, le site internet doit être concis, percutant, fonctionnant par mots-clés.

Deux conceptions diamétralement opposées se toisent donc. Et leur mariage, parfois forcé, ne donne pas toujours des bons résultats. Mais rien n'est perdu ! Il convient donc de tout mettre en oeuvre pour bâtir un site internet pour les avocats vivant et moderne.

 

Un site internet moderne pour les avocats

Quelques avocats devront se faire violence quant à l'idée de départ qu'ils se font d'un site internet. Et a fortiori celui qui deviendra le leur.

Premièrement, le mieux est de se faire accompagner et de ne pas se lancer tout seul. Même si le Web 2.0 regorge d'outils gratuits ou peu onéreux (en apparence) pour créer son site soi-même, l’œil d'un professionnel du web ne sera pas superflu. Notamment en considération de ce qui a été dit en introduction.

Deuxièmement, il faut de notre point de vue privilégier les chartes graphiques modernes, voire clinquantes tout en restant élégantes. En effet, un style trop épuré et trop basique ne donne pas envie et rejaillit sur l'image que votre potentiel client peut se faire de vous, à tort. Les avocats représentent une profession respectée, solennelle par certains côtés, mais cette situation ne doit pas pour autant rimer avec "austérité".

Troisièmement, un site internet en "responsive design" est obligatoire aujourd'hui. Rappelez-vous que la majorité des personnes consultera votre site à partir de leur smartphone.

Enfin, évitez tant que faire se peut de vous inspirer un peu trop des sites web de vos confrères avocats. En effet, mieux vaut affirmer sa personnalité et choisir l'habillage de son site en faisant fi de ce qui se fait ou pourrait se faire dans la profession. Comme dit plus haut, n'hésitez pas à demander de l'aide à l'agence de création de site internet qui saura vous aiguiller.

 

Un site internet concis et percutant pour les avocats

Nous l'avons évoqué, en plus de la forme, le travail du fond est tout aussi important. Oubliez donc les pavés de présentation et les "tartines" à n'en plus finir sur vous et votre activité, personne ne lira tout cela... En effet, le visiteur lambda passe globalement peu de temps sur les sites, il en consulte beaucoup. Il veut se faire un avis rapide sur les sites d'avocats qu'il visionne, avis qui sera finalement une impression plus qu'autre chose.

L'idée est donc de limiter votre site web à moins de 1000 mots, hors mentions légales. Etre le plus percutant possible, voilà la stratégie à adopter pour attirer l'attention du visiteur !

Dans la même veine, il faut veiller à ne pas utiliser un langage trop professionnel ou à destination d'utilisateurs avertis. Vous vous adressez au plus grand nombre, la plupart du temps à des gens qui n'ont aucune connaissance en droit. Les justiciables, étrangers à la matière et à la terminaison juridiques, vous remercieront de leur parler simplement. Ceci renforcera d'ailleurs le côté "percutant" de votre site internet.

 

Un site internet bien référencé pour les avocats

Mentions légales Dernier aspect important d'un projet digital réussi pour les avocats : la question du référencement. Ici encore, mieux vaut avoir affaire à des professionnels du web pour cette question. Typiquement, le travail du SEO est une composante inévitable pour tout site internet.

Plus simple, le référencement se travaille aussi par la mise à jour régulière du site et l'ajout de contenus. Donc plus votre site internet est vivant, plus Google portera pour lui de la considération. C'est tout à fait logique si l'on veut être pertinent : quoi de plus négatif qu'un site web "abandonné" depuis des années et finalement obsolète ? Les internautes, très naturellement, préfèrent un contenu renouvelé et au goût du jour. La présence d'une section de "blog", alimentée par des articles juridiques et de doctrine par exemple, est un indéniable plus voire même un pré-requis.

Enfin, les avocats développant leur site internet ne peuvent ignorer les conditions propres à leur profession. Ainsi, selon notamment les articles 10.5 et 10.6 du règlement intérieur national (RIN) de la profession, les avocats doivent :

  • informer le Conseil national des barreaux de la mise en ligne du site web
  • veiller à ce que le nom de domaine contienne en toutes lettres leur nom ou celui de leur cabinet
  • vérifier les mentions légales qui respectent un modèle minimal assez précis (voir plus d'informations ici)
  • rendre leur site conforme au RGPD
Obligations du responsable de site en matière de données personnelles
Obligations du responsable de site en matière de données personnelles

En matière de protection des données personnelles, de nombreuses obligations pèsent sur le responsable d'un site web. On l'appellera aussi dans ce cadre un responsable de traitement.

 

En effet, le responsable de traitement est celui qui détermine les moyens et finalités du traitement. C'est-à-dire que, dès lors qu'un traitement de données existe sur un site web (comme un formulaire de contact), celui qui est à l'initiative du traitement et qui décide de son implémentation sur le site sera responsable du devenir des données des utilisateurs transmises à cette occasion.

Les obligations sont énumérées par la loi, et c’est sur la base du respect de ces obligations que l’on peut vérifier le niveau de conformité d’un traitement. A ce sujet, la loi "Informatique et Libertés" a laissé place au désormais célèbre Règlement général sur la protection des données (RGPD).

 

I/ Obligations de forme relatives à la protection des données personnelles

Les obligations issues du principe d' "accountability"

Il s'agit d'un « principe général de responsabilité » ou d' « obligation de documenter sa conformité ». Ainsi, le responsable devra garder des traces écrites des diligences engagées pour démontrer le respect des obligations en matière de protection des données. Cette nouveauté vient contrebalancer la suppression des déclarations CNIL, effectives depuis le 25 mai 2018.

Les documents à établir, à tenir à jour et conserver pour prouver la conformité des traitements au RGPD sont :

  • le registre des traitements : liste des traitements mis en œuvre au sein de la structure avec des fiches permettant de déterminer les finalités du traitement, les destinataires, etc.
  • la documentation contractuelle liée aux partenaires, aux sous-traitants ou plus généralement aux tiers
  • les opérations de sensibilisation et de formation des personnels
  • les procédures internes, rédigées par le délégué à la protection des données, les managers...
  • les études d’impact
  • ...

 

Les obligations issues du principe de l'approche par les risque

Le niveau de protection des données se règle en fonction du risque et de la dangerosité du traitement ainsi que des risques pour la vie privée.
Cela signifie que la personne qui tient à jour la documentation devra aussi évoluer le niveau de sensibilité de chacun des traitements. Et plus le traitement est sensible, plus les niveaux de protection devront être serrées et les exigences renforcées.

 

Les obligations issues du principe de protection des données dès la conception, le "privacy by design"

L'idée est que la création d'un outil technologique, le plus souvent informatique, intégrera, dès le début, les problématiques de protection des données.
Ainsi, la dimension de protection des données, au cœur du projet dès sa conception, appréhendera non seulement les aspects techniques mais aussi organisationnels. En effet, tous les process concernant la durée de conservation des données, la gestion des droits des personnes, etc., devront être envisagées d'emblée.

 

II/ Obligations de fond relatives à la protection des données personnelles

Les obligations de collectes loyales et licites des données

D'un côté, les données personnelles doivent être collectées directement auprès des personnes concernées, et jamais à leur insu.
De l'autre, le traitement ne doit jamais porter sur un domaine illicite (exemple : fichiers clients pour un trafic de drogue).

 

Les obligations de proportionnalité

Ainsi, un traitement ne peut porter que sur des données personnelles collectées pour des finalités (gestion clients, gestion RH, etc.) déterminées, explicites et légitimes et pour des données adéquates, pertinentes et non excessives.
En effet, en matière de protection des données, on doit se demander à quoi sert le traitement, ne serait-ce que pour évaluer sa sensibilité.

Au sujet des données "non excessives", le RGPD a rajouté l'idée de minimisation des données. Ainsi, le responsable de traitement collecte collecter les données strictement nécessaires à la finalité du traitement.

 

Les obligations relatives à la durée de conservation des données

Par ce principe, il est impossible de garder des données personnelles pour une durée illimitée. En effet, il s'agit du fameux "droit à l’oubli". Il faut donc fixer une durée de conservation à l’issue de laquelle les données vont être détruites.
Ainsi, les données se conservent pour une durée proportionnée au regard de la finalité du traitement :

Durée de conservation = durée de la relation contractuelle avec le client + durée d’archivages.

 

Les obligations de sécurité et confidentialité des données

Le concept de  sécurité, selon la réglementation, couvre deux situations :

  1. veiller à l’intégrité des données : les données ne doivent pas être altérées, modifiées, détruites de manière inopinée,
  2. empêcher l’accès aux données pour des tiers non autorisés, incluant des tiers au sein d’une même entreprise.

 

Le RGPD créé des obligations de notification des failles de sécurité à la CNIL. Et ce pour tout responsable de traitement lorsqu'il y a un accès non autorisé à des données personnelles. Le responsable doit préciser à l'autorité de contrôle les mesures correctives prises par lui.

 

Les obligations d'interdiction de collecte de certaines données

Dans trois cas, la collecte de données est par principe interdite :

  1. données sensibles : données de santé, biométriques, génétiques, relatives aux orientations sexuelles, politiques, religieuses, et d'appartenance syndicale.
  2. numéros de sécurité sociale : sauf dans les cas où la loi le permet. Cette collecte est par exemple nécessaire pour la gestion de la paye dans une entreprise.
  3. données relatives à des infractions, condamnations ou mesures de sûreté : ce sont les fichiers qui vont contenir des données relatives à des condamnations pénales ou à des qualifications pénales.

 

Les obligations d'encadrement des transferts de données hors de l'Union Européenne

Les transferts de données hors Union Européenne sont en principe interdits. Ce principe est, comme souvent, assorti d’exceptions :

  • principe de libre circulation des données au sein de l’UE : transfert autorisé dans les autres pays de l’Union.
  • transfert autorisé dans les pays de l’espace économique européen qui ont signé un accord avec l’UE.
  • transfert dans des pays hors UE lorsque ces pays bénéficient d’un accord d’adéquation de la part de la Commission Européenne : un pays va adopter une réglementation de protection des données et va demander à l’Union de reconnaître cette réglementation comme équivalente à celle de cette dernière. Les pays ayant obtenu cet accord sont par exemple Andorre, l'Argentine, le Canada, la Nouvelle-Zélande, les Etats-Unis (cf. supra), Israël…
    En cas d’absence d’exception légale, on peut utiliser une exception contractuelle.
  • les BCR (Binding Corporate Rules) : ce sont les chartes d’un groupe d’entreprises dont toutes les filiales et entités du groupe s’engagent à respecter le droit européen de protection des données.
  • transfert dans un pays hors Union sans aucune protection particulière avec l’accord exprès de la personne : c'est toujours possible si le transfert de données est ponctuel et non-systématique, comme l'envoi d’argent à l’international par exemple.

 

Pour aller plus loin

Audit de conformité de votre site internet au RGPD
Audit de conformité de votre site internet au RGPD

Ça y est, nous y sommes ! Le 25 mai 2018 est passé et le Règlement général sur la protection des données (RGPD) est en application. Avec toutes les obligations que cela comporte ! Du coup, vous vous demandez si votre site internet est conforme à la législation européenne ? Probablement pas... Et si vous êtes sûr que non, un audit de conformité au RGPD s'avère indispensable pour les jours voire les semaines à venir.

Pour anticiper la réalisation de cet audit, il faut avant tout se poser les bonnes questions. En effet, une bonne partie d'entre elles constitue ce que l'on appelle couramment dans le métier la "check-list Informatique et Libertés". Suivez le guide.

 

Audit de conformité au RGPD : les bonnes questions à se poser

Fastidieuse en apparence, cette étape est pourtant cruciale et conditionne la suite des événements.

D'abord soyons précis dans les termes. Comme son nom l'indique, la "check-list Informatique et Libertés" va au-delà du règlement européen nouvellement entré en application. En effet, elle concerne plus généralement la conformité de votre site internet aux règles générales et fondamentales de protection des données personnelles. Ainsi, un site internet dont les traitements de données sont en phase avec ces principes est déjà une excellente chose.

Rappelons tout de même qu'il existe des traitements de données en dehors du site web. En effet, pour une entreprise, il sont mêmes majoritaires : fichiers clients, fichiers de gestion RH, fichiers de marketing ciblé, etc.

 

Ainsi, les bonnes questions à se poser pour évaluer la conformité des traitements de données issues de son site web au RGPD sont :

  1. Est-ce que je collecte des données que l'on pourrait qualifier d' « interdites » (sensibles, d’infractions pénales, de sécurité sociale) ?
  2. Les données sont-elles collectées de manière loyale et licite ?
  3. Si oui, sont-elles bien proportionnées à la finalité du traitement ?
  4. Mon site web est-il parfaitement sécurité et protège-t-il efficacement les données des utilisateurs ?
    En effet, c'est une question importante lorsque le site a été créé avec WordPress.
  5. Mes utilisateurs sont-ils informés des traitements de données opérés via le site internet ?
  6. Ai-je défini une politique de conservation et d'archivage de ces données ?
  7. Une procédure relative aux droits des personnes sur leurs données est-elle été définie (droit d'accès, de suppression...) ?
  8. Y a-t-il transfert de ces données hors de l'Union Européenne ?

 

Audit de conformité au RGPD : les nouvelles exigences du règlement

Déjà évoqué à maintes reprises dans notre blog, le règlement européen vient la plupart du temps réaffirmer les principes établis et en créer de nouveaux. Ainsi, ces derniers points induisent de nouvelles questions à se poser, venant compléter la check-list :

  1. les consentements donnés par mes utilisateurs sur le site sont-ils éclairés ?
    Ceci renvoie à l'article 4.11 du RGPD qui énonce une "manifestation de volonté, libre, spécifique, éclairée et univoque" ainsi qu'un "acte positif clair'.
  2. le droit à la portabilité est-il assuré à partir de mon site ?
    En effet, les données de mes utilisateurs doivent être téléchargeables dans un format ouvert et réutilisable (généralement en XML).
  3. Les informations données à mes utilisateurs sont-elles suffisamment loyales et claires ?
    Si non, il faudra retravailler les mentions légales du site.
  4. Les données que je demande sont-elles les plus pertinentes et les seules utiles au vu de la raison d'être du traitement ?
    Se pose alors la question de la minimisation des données, condition sine qua non d'un site web conforme au RGPD.
  5. Plus généralement, dois-je désigner un délégué à la protection des données pour mon entreprise ?

 

Audit de conformité au RGPD : un peu d'aide ?

L'agence web A Vos Sites Pros vous propose deux formules de mises en conformité :

  • un audit simple vous indiquant la marche à suivre pour des actions à réaliser vous-même,
  • un suivi et des actions de conformité réalisées par l'agence.

 

Pour aller plus loin :

DPO (Data protection officer), la clé de voûte du RGPD
DPO (Data protection officer), la clé de voûte du RGPD

DPO. Encore un acronyme après le RGPD, le Règlement général sur la protection des données.

Le "Data protection officer", ou en français délégué à la protection des données, est la surprise de cette année 2018. Enfin "surprise", oui et non. En effet, le texte du RGPD a été adopté fin avril 2016 et publié le 24 mai 2016. Pour entrer en vigueur le lendemain. Il n'est donc pas si nouveau que cela ! Mais son entrée en application, elle, a été différée de plus de deux ans pour avoir lieu logiquement le 25 mai 2018. C'est-à-dire... Demain !

Ce règlement européen est un texte communautaire (au sens de l'Union Européenne) réaffirmant les grands principes relatifs à la protection des données. Son but est de trouver un juste équilibre entre développement économique à l'heure du Big Data et respect de la vie privée des individus. Tâche difficile ! Vraiment ? Rassurez-vous, le RGPD a tout prévu. En effet, il propose de faire entrer dans les organismes traitant de la donnée un nouveau personnage : le DPO. Petit tour d'horizon de son statut et de ses missions.

 

DPO = CIL²

La raison d'être du DPO est de vérifier la conformité des traitements de données au nouveau RGPD et à l'ensemble de la législation "Informatique et Libertés". Dit autrement, il veillera à la bonne application des textes encadrant l'utilisation des données personnelles des individus. Dans une perspective encore une fois de garantie des droits fondamentaux, et notamment le respect de la vie privée.

Mais il existait déjà en France depuis 2004 un référent sur ces questions : le « correspondant informatique et libertés », le CIL. D'autres pays de l'Union Européenne utilisaient également ce dispositif, parfois de manière obligatoire. Alors qu'en France, le CIL était facultatif (on en parle au passé car la fonction de CIL est supprimée de fait à partir du 25 mai 2018).

Le DPO, schématiquement, est donc un CIL 2.0, une mise à jour du précédent dispositif. D'ailleurs, contrairement à ce dernier, le DPO est obligatoire dans bon nombre de cas. Ainsi, il faudra désigner un délégué :

  1. quand on est un organisme public,
  2. lorsque son activité de base est liée à la donnée, traitée régulièrement et dans des volumes importants (profilage, scoring, analyse comportementale...),
  3. si son activité consiste à traiter des données sensibles (santé, origines, orientations sexuelle, politique, religieuse...) ou d’infractions pénales.

 

DPO, un "gentil contrôleur" (G.C.)

Un des grands principes posé par le Règlement sur la protection des données est l' "accountability". C'est-à-dire que les formalités administratives auprès de la CNIL pour mettre en place des traitements de données sont (quasiment toutes) supprimées. En contrepartie, on enjoint les entités juridiques publiques et privées de se "responsabiliser". En effet, c'est comme cela que l'on peut traduire en français cette notion d'accountability.

Et cette responsabilisation passe par la documentation de la conformité. En clair, les organismes vont devoir pouvoir justifier de leurs bonnes actions pour respecter la législation. C'est ici, notamment, que le DPO intervient. En effet, sorte d' "arme de conformité massive", il va évaluer le niveau de sensibilité des traitements d'une entreprise ou d'une administration pour prioriser les actions à mettre en oeuvre. Et passer à la moulinette tous les autres traitements de données personnelles qu'il rencontre. Enfin, pour les cas de moindre importance, comme la conformité d'un site web ou de ses mentions légales, il pourra aussi donner son avis.

 

DPO, au croisement des chemins digitaux

A côté de cette mission de contrôle qui ne porte pas son nom, le RGPD encourage la réalisation d’audits. En effet, pour faire de bonnes recommandations, il faut savoir ce qui se fait. Le DPO sera donc la personne idoine pour centraliser tous les documents utiles à la réalisation de la mise de conformité. Et c'est là l'autre grand aspect de la fonction de DPO : il est un consultant transversal dans l'organisme où il officie.

Ainsi, il est primordial que le délégué soit associé à tous les projets informatiques en amont (« privacy by design »). Le DPO travaillera donc avec l'ensemble des directions d'un organisme (informatique, marketing, RH...). A ce titre, il devisera avec l'ensemble des managers mais aussi des opérationnels qui se doivent de coopérer avec lui. A l'inverse, le DPO est aussi à la disposition de tous les salariés ou agents si ceux-ci ont la moindre question dans l'exercice de leur fonction.

Finalement, le DPO coordonne la politique en conformité. Il ne pourra le faire qu'en étant présent à tous les étages de l'entreprise, un électron libre qui doit contribuer à l’émergence ou au renforcement d’une véritable culture de la conformité.

 

Pour en savoir plus sur le rôle du DPO :

 

Pour aller plus loin :

Création de site internet conforme au RGPD
Création de site internet conforme au RGPD

Webdesign - Thèmes graphiques La création de site internet est aujourd'hui fortement conditionnée par le RGPD, le Règlement général sur la protection des données. Ce règlement européen, en application le 25 mai 2018, est une étape majeure pour la protection des données des internautes à l'heure du Big Data.

Et le niveau d'exigence élevée, à la base à destination des réseaux sociaux et GAFAM, s'impose à tous. En effet, toutes les entreprises, petites ou grandes, doivent intégrer les règles du RGPD dès la conception de leur process. Ceci s'appelle le "privacy by design". Ainsi, il serait aujourd'hui extrêmement malvenu de créer son site web en méconnaissant les règles relatives au RGPD. Et, du coup, devoir à la toute fin remettre à plat plusieurs aspects pour se mettre en conformité au texte européen.

Petit guide de bonnes pratiques pour une création de site internet conforme au RGPD réussie.

 

Création de site internet conforme au RGPD : la question des mentions d'information

Le réflexe est d'être le plus clair et transparent possible. En effet, les deux maîtres mots du moment sur Internet sont : loyauté et transparence. Et à ce titre, la page des mentions légales, classique, a cette limite de tout concentrer en une seule et même page.

Dans ce cadre, la bonne pratique est d'extraire de cette page les informations légales concernant la protection des données. Et de créer une page dissociée avec ces éléments, intitulée par exemple "Données personnelles" (comme la CNIL).

 

Création de site internet conforme au RGPD : la question des formulaires

Création de site web - A Vos Sites Pros Éléments incontournables de tout site internet : les formulaires, de contact, d'abonnement à une newsletter, de commande... En effet, chaque site en possède au moins un, le formulaire de contact. Tout à fait banal, il n'en constitue pas moins un traitement de données personnelles, en l’occurrence une collecte, plus en général une transmission, stockage et réutilisation. Ainsi, ce formulaire est soumis au droit des données personnelles, et donc au RGPD.

Ici, l'idée est d'avoir le consentement clair des personnes à voir leurs données réutilisées par le rajout d'une case à cocher par exemple. Et d'être toujours loyal et transparent et expliquer simplement l'utilité de la collecte initiale et le devenir des données récupérées.

Egalement, le RGPD impose la minimisation des données. C'est-à-dire qu'il est interdit de demander des informations disproportionnées par rapport à la raison d'être du formulaire.

 

Création de site internet conforme au RGPD : la question de la sécurité

Matière difficile et réservée, pour qu'elle soit bien appréhendée, à un public averti... Pourtant, la sécurité est au cœur du Règlement général sur la protection des données, et à juste titre. Car comment assurer le respect optimal de la vie privée des internautes si des bases de données entières se retrouvent "dumpées" (mises en libre téléchargement) sur Internet ?

Malheureusement, en matière de sécurité informatique, le risque zéro n'existe pas. En effet, il est impossible de sécuriser à 100% un site web. Mais on peut intégrer la question de la sécurité en amont de la procédure de création de site internet pour limiter les risques. D'autant plus que le RGPD prévoit que le responsable d'un site notifie le piratage à la CNIL. Et l'autorité de contrôle décidera si ce responsable doit ou non informer les utilisateurs de la révélation de leurs données personnelles ! Une très mauvaise image pour l'entreprise et un bad buzz inévitable...

 

Création de site internet WordPress et RGPD

Développement web Il y aurait tant d'autres points de création de site internet conforme au RGPD à aborder... Nous aurions pu aussi évoquer la mise en place de procédure automatique ou non du droit d'accès aux données (et portabilité), d'effacement, de rectification, etc.

Mais au-delà de chaque point à étudier, le RGPD est surtout une philosophie globale de responsabilisation des acteurs. En effet, les obligations demandées aux professionnels ne doivent pas faire oublier l'opportunité que chacun s'empare de ce sujet du respect de la vie privée. Et ce, surtout lorsque le CMS WordPress est utilisé pour la création de site internet.

L'agence web A Vos Sites Pros utilise ce système de gestion de contenus et propose, pour son pack "Projet", des sites internet conformes au RGPD. Ceci prend en compte des aspects chers à WordPress : les célèbres commentaires, l'extension Woocommerce pour une boutique en ligne, etc.

Un mot enfin concernant la sécurité, évoquée dans cet article. Soyons honnêtes, WordPress, bien qu'il soit le plus pratique, n'est pas le CMS le plus sûr, en raison de sa célébrité notamment. En effet, WordPress est aux sites internet ce que Windows est aux ordinateurs ! RGPD ou pas, l'agence prend ce sujet très au sérieux et protège autant qu'elle le peut ses WordPress. Grâce à de nombreuses techniques, bonnes pratiques et plug-ins, limitant ainsi au maximum les risques. Ce que demande le RGPD !

 

Pour aller plus loin :

Votre Wordpress conforme au RGPD
Votre WordPress conforme au RGPD

Si près d'un tiers des sites web dans le monde sont des WordPress, plus des trois-quarts ne respectent pas l'ensemble des règles informatiques et libertés ! Et le tout nouveau RGPD, le Règlement général sur la protection des données, en réaffirme les grands principes, allant plus loin pour certains, avec de lourdes sanctions à la clé pour les responsables de site en cas de non-respect.
Dans cette situation, il serait extrêmement dommage de perdre de la crédibilité auprès de vos utilisateurs et clients ou de risquer les foudres de la Commission Nationale Informatique et Libertés (CNIL), l'autorité de contrôle en matière de données personnelles. Pourquoi ne pas obtenir l'inverse avec un site WordPress conforme au RGPD avant le 25 mai 2018* ?

 

Un WordPress conforme au RGPD, ça prend du temps

Sur ce point, ne nous racontons pas d'histoires. La mise en conformité au RGPD ne se fait et ne peut pas se faire en un claquement de doigts. Elle résulte plutôt d'un accompagnement personnalisé avec audit complet du site web. A minima, un WordPress conforme au RGPD signifie en effet que les traitements de données internes d'un site (par exemple une collecte de données à partir d'un bon vieux formulaire de contact) sont repensés et ajustés pour une plus grande protection de la vie privée des utilisateurs.

Logo WordPress

Ainsi, les mêmes types d'interventions émergent dans la plupart des cas, et dont les plus importantes sont :

  • la mise à jour des mentions légales du site, et plus particulièrement la création ou la mise à niveau d'une page dédiée à la politique de confidentialité,
  • la mise en conformité du "bandeau cookies", quasiment systématique sur les sites pour peu qu'une mesure d'audience de type Google Analytics soit utilisée. Et les sites internet, sur ce point, ne sont presque jamais dans la légalité.

 

D'autres éléments sont à vérifier et à paramétrer. Comme la présence d'une procédure pour satisfaire aux droits d'accès et portabilité, de rectification et d'effacement des données utilisateurs.
Ou la certitude de ne pas traiter de données sensibles (ou de l'éviter à tout prix). Ou encore de ne pas collecter des données non strictement nécessaires et disproportionnées vu la finalité du traitement. Par exemple demander l'adresse postale dans un formulaire de contact juste pour répondre par mail.
[...] Ceci plus bien d'autres éléments, tel est le prix d'un site WordPress conforme au Règlement européen sur la protection des données !

 

Un WordPress conforme au RGPD, ce n'est pas si compliqué

Formations RGPD ... Tout dépend de quel point de vue on se place et de l'énergie que l'on y met ! Mais la mise en conformité d'un site web, WordPress ou non d'ailleurs, n'est pas insurmontable.
Se faire accompagner d'un professionnel est toujours meilleur. Typiquement, un délégué à la protection des données ou un prestataire web ou informatique spécialisé dans la question. En effet, l'entité sous-traitante saura évaluer d'un rapide coup d’œil les manquements les plus graves à la réglementation. Et, en conséquence, faire émerger rapidement les actions prioritaires à mettre en oeuvre.

Rappelons aussi qu'un site WordPress conforme au RGPD n'est de loin pas le seul domaine (c'est le cas de le dire) d'intervention et à évaluer. En effet, le RGPD ne concerne pas que le site internet mais tous les traitements de fichiers. Quels qu'ils soient et où qu'ils soient. Si vous avez en back-office dans votre ordinateur un fichier client sur Excel, celui-ci est soumis à la même réglementation. C'est donc tout un process qu'il s'agit de revoir pour se mettre en conformité avec le RGPD.

 

Mais concrètement, comment arrive-t-on à un WordPress conforme au RGPD ?

Mais, pour l'heure, que faire sur son WordPress ? Dans l'ordre d'importance :

  • passer son site http en https pour une sécurité et une confidentialité accrues des données
  • création d'une nouvelle page de politique de confidentialité (si elle n'existe pas) dissociée de vos mentions légales classiques et CGU
  • mise à jour des mentions juridiques pour informer les utilisateurs des droits nouveaux, renforcés ou rééquilibrés par le RGPD
  • mise à jour de tous les traitements de données de son site (formulaire d'abonnement à la newsletter, formulaire de contact)
  • facilitation pour les utilisateurs de l'accès à leurs données - mise en oeuvre du droit à la portabilité des données
  • mise à jour du "bandeau cookie" en cas d'utilisation de services intrusifs pour la vie privée. Par exemple les mesures d'audience, publicités ciblées, boutons de partage de réseaux sociaux, etc.
  • ...

 

WordPress et "bandeau cookie", une histoire compliquée

Bandeau "cookie" version RGPDDisons-le, la conformité de la plupart des points évoqués précédemment peut être réalisée à l'aide d'un ou plusieurs plug-in(s) WordPress prêt(s) à l'emploi. D'ailleurs, des dizaines de modules fleurissent en ce moment à quelques jours de l'entrée en application du Règlement européen. Néanmoins, ils sont disparates en termes de prise en main ainsi que de respect aux règles énoncées par le RGPD.

Un point ceci étant pose actuellement problème : le (fameux) "bandeau cookie". Beaucoup de choses ont déjà été dites (et écrites, jusque dans notre blog). Pour résumer, en l'état actuel :

  • la directive "paquet télécom" de 2009 demande le consentement préalable des personnes pour tout dépôt de cookies potentiellement intrusifs pour la vie privée comme dans les cas de mise en place de mesures d'audience. Et rien qu'à ce stade, la majorité des sites web ne respectent pas ces dispositions vieilles de 9 ans.
  • le Règlement européen sur la protection des données renforce la notion de réversibilité du consentement donné ou refusé originellement.


A ce sujet, la réalité pratique est que, sauf erreur, AUCUN plug-in ne satisfait aujourd'hui pleinement aux dernières avancées du RGPD sur la remise en cause par l'utilisateur de son consentement. On peut tabler sur l'apparition rapide d'une solution simple arrivant à ce résultat mais elle se fait tout de même attendre...

___
* le 25 mai 2018 est la date d'entrée en application du Règlement général sur la protection des données (RGPD)

 

Pour aller plus loin :

Bandeau cookie
Un “bandeau cookie” 100% conforme au RGPD

Le "bandeau cookie", cet inconnu...

Vous savez, c'est la fameuse bande apparaissant généralement en haut des sites internet à la première visite ou en pop-up. Et réapparaissant après le vidage du cache du navigateur web. Ce bandeau vous informe que des cookies seront déposés sur votre terminal, ordinateur, tablette ou smartphone. Et c'est là que les ennuis commencent...

 

I/ Bon nombre de sites sont en illégalité avec leur "bandeau cookie"

Disons le d'emblée : une grande partie des entreprises ne respectent pas à 100% la loi sur cette question.

Schématiquement, on exige 3 éléments concernant ce que l'on appelle les cookies "marketing" (suivi statistique de visite via Google Analytics, géolocalisation, publicité ciblée, embbed de vidéos, embbed de boutons de réseaux sociaux...) :

  • expliquer aux internautes la finalité du dépôt : à quoi sert le cookie ? Mesures d'audience, publicités ciblées ? Les deux ? Ainsi, il faut informer clairement les utilisateurs.
  • permettre aux internautes de refuser le dépôt : il est impossible pour les utilisateurs de "subir" et de ne pas pouvoir refuser le traitement de données.
  • obtenir le consentement des internautes : ce consentement est obtenu si l'utilisateur effectue une action marquant clairement son acceptation (nous reviendrons plus tard sur cette notion).

Aussi étonnant que cela puisse paraître, les sites web ne réalisent en général pleinement que la première situation, et encore... En clair, le "bandeau cookie" informe seulement qu'un ou plusieurs cookie(s) est / sont déposé(s). Souvent de manière évasive. Et que l'on effectue ou pas une action, le cookie s'inscrit sur le terminal, sans consentement préalable donc.

 

Mais comment en est-on arrivé là ? Plusieurs raisons :

  • méconnaissance : nul n'est censé ignorer la loi, tout le monde le sait, mais ceci restera toujours un vœux pieux. En effet, combien de gens en France connaissent clairement ce principe ? Ou même comprennent vaguement les règles du bandeau cookie ? ...
  • difficultés techniques : ... et même si le principe a bien été compris, il peut paraître relativement compliqué de le matérialiser sur un site internet. D'ailleurs, pendant longtemps, aucune notice claire n'était véritablement donnée aux éditeurs pour recueillir valablement le consentement.
  • incompréhension :  certains ne comprennent pas l'utilité tandis que d'autres ne conçoivent pas qu'une loi puisse à ce point ne pas être respectée.
  • malice : ne soyons pas naïfs, beaucoup font aussi semblant de ne pas comprendre. En effet, le cookie ne peut se déposer qu'à partir du moment où la personne a donné son consentement. A contrario, s'il refuse ou ne le donne pas, le cookie n'est pas déposé et le service n'est pas dispensé. Ainsi, les responsables de sites, pour beaucoup, décident de passer outre cette obligation pour continuer à diffuser des bannières de publicités ciblées ou alimenter à 100% leurs statistiques de visite par exemple.

 

II/ L'évolution de la doctrine concernant le "bandeau cookie"

Bandeau cookie illégal

Une directive européenne de 2002, mise à jour sur la question des cookies par une autre directive de 2009, ont créé à l'époque un régime spécial. En effet, à mi-chemin entre l'opt-in (accord) et l'opt-out (pas d'opposition), la transposition en droit français dans la loi Informatique & Libertés (article 32.II) a donné un opt-in dégradé (ou "super opt-out").
Ainsi, on demandait l’ « accord » de la personne concernée (et non le « consentement »). C'est-à-dire que le consentement était présumé si, sur la page du site où atterrissait l'utilisateur :

  • un bandeau d'information apparaissait. Ce bandeau devait renvoyer vers une mention spécifique sur les cookies expliquant très précisément comment le site mettait en place le marketing ciblé et comment l’utilisateur pouvait s’y opposer (par la configuration du navigateur ou par un bouton arrêtant l’opération).
  • ET que cet utilisateur effectuait une action montrant son accord et le fait qu'il ne se soit pas opposé au dépôt de cookies. La règle était d'attendre une action à minima significative, soit :
    • un clic sur un bouton marquant clairement l'acceptation,
    • la poursuite de la navigation (avec changement de page obligatoire, le défilement [scroll] dans la page ne suffisait pas)
    • un clic dans un élément interactif de la page en cours (activation de la recherche, lien ancre pour un "one page", etc.).

C'est seulement à ce moment-là que le cookie pouvait se déposer et que le "bandeau cookie" pouvait s'effacer.

Problème : cette poursuite de la navigation en allant sur d'autres pages faisait que bon nombre de cookies étaient déposés du simple fait de la rapidité des internautes à changer de page sans avoir parfaitement pris connaissance des tenants et aboutissants et de l'information dispensée dans le bandeau. Donc cet "accord" n'était pas un véritable "consentement" au sens du RGPD.

 

III/ Un vrai consentement pour le "bandeau cookie"

Bouton ok du bandeau cookie

Ainsi, pour ces sites web non conformes, une optimisation immédiate du "bandeau cookie" est à réaliser. Et le dépôt de cookie est à proscrire si le consentement n'est pas valablement reçu.
D'ailleurs, ce dépôt de cookie en l'absence d'accord de l'utilisateur peut se vérifier simplement en ajoutant une extension à son navigateur. N'oubliez pas que vos utilisateurs peuvent le vérifier aussi. Et, le cas échéant, signaler à la CNIL le manquement ! En effet, la CNIL peut réaliser des contrôles à distance et sanctionner les sites récalcitrants.

Nota : les cookies dits "techniques", qui ne sont utiles que pour le bon affichage du site et la bonne marche des fonctionnalités (comme le panier d'un site e-commerce), ne sont pas soumis à un consentement préalable avant dépôt.

 

Mais avant même de discuter de ce dépôt, il est préférable de vérifier la phrase d'information qui l'accompagne. En effet, les termes choisis pour avertir les utilisateurs ne doivent pas être confus ou inintelligibles. Ceci doit même aller jusqu'à définir ce qu'est un cookie ! Après tout, pour beaucoup, il ne s'agit que d'un gâteau succulent...

 

Mauvaise phrase "En poursuivant votre navigation sur le site, des cookies seront déposés sur votre site." - Ce modèle de phrase présente 3 problèmes :

  • la poursuite de la navigation n'est plus une condition suffisante pour qu'un consentement soit valablement reçu et qu'un cookie marketing soit déposé,
  • il n'est pas expliqué ce qu'est exactement un "cookie",
  • il n'est surtout pas expliqué la finalité du dépôt de cookie marketing : suivi Analytics, bouton "J'aime" de Facebook, publicité ciblée... ?

 

Bonne phrase Donc une phrase acceptable au sens des lois de protection des données ressemblerait plutôt à cela :

"Des cookies, petits fichiers informatiques, peuvent être déposés sur votre terminal. Si vous y consentez, le responsable du site pourra recueillir des statistiques de visites anonymes pour optimiser la navigation."

 

Enfin, l'intitulé du bouton d'acceptation ne doit pas, lui non plus, être ambigu. A ce titre, un "J'accepte" puissant est préférable à un "OK" laconique.

 

IV/ Le renforcement du consentement par le RGPD : la CNIL va plus loin concernant le "bandeau cookie"

CNIL Le RGPD a renforcé le consentement par son article 7 et énonce notamment :

  • qu'il doit résulter d'un acte ou d'une manifestation de volonté non ambigu(e) (continuer sa navigation sur un site n'est donc pas un acte clair),
  • qu'à tout moment, l'utilisateur peut reprendre le consentement qu'il a donné. Ou autoriser le consentement préalablement refusé,
  • que l'internaute puisse décider au cas par cas des cookies qui se déposent ou non sur son terminal.

La majorité des sites web actuels, WordPress ou non, ne permettent pas d'obtenir un tel résultat. C'est pourquoi une mise en conformité du "bandeau cookie" est à réaliser.

Et au-delà du bandeau, c'est l'ensemble de son site, WordPress ou non, qui est à mettre en conformité, y compris la mise à jour des mentions légales. En clair, votre site internet n’est probablement pas conforme au Règlement européen sur la protection des données.

L’agence A Vos Sites Pros propose un process d’accompagnement personnalisé de mise en conformité de votre site internet WordPress avec le RGPD avant le 25 mai 2018, date de son entrée en application :

– audit du site internet,
– une sécurisation renforcée du WordPress,
– une mise à niveau du « bandeau cookie » 100% RGPD compatible,
– mentions juridiques globales mises à jour,
– …

Et pour comprendre mieux tous les tenants et aboutissants, vous pouvez faire appel à un formateur RGPD.

Pour aller plus loin :

//www.avossitespros.com/wp-content/uploads/2018/03/footer_logo.png