Refonte du site internet de l'agence A Vos Sites Pros
Refonte du site internet de l’agence A Vos Sites Pros

Cher visiteur,

Une fois n'est pas coutume, c'est à la première personne que je vais rédiger ce post pour vous parler de la refonte du site internet de mon agence et de la mise en ligne de la nouvelle version le 25 juillet dernier. Cette refonte et cette migration de la nouvelle version, en remplacement de l'ancienne, font suite à une période particulière que vous imaginez. Et que vous avez vous-même vécue.

C'est ainsi que je vous écris avec une certaine émotion après ces mois ô combien éprouvants, aussi bien professionnellement qu'humainement.
J'espère que vous avez réussi comme moi à surmonter tant bien que mal ce moment. J'ai essayé pour ma part de mettre à profit la baisse d'activité et le temps dégagé pour renouveler mon activité et donner un second souffle à mon entreprise de création de site internet.
La crise du Covid-19 que nous venons de vivre a mis à rude épreuve notre confiance en l'avenir, mais j'ai envie de croire qu' "à quelque chose malheur est bon", comme dit le proverbe.

Ainsi, j'ai le plaisir de vous présenter la nouvelle version du site web de l'agence A Vos Sites Pros que nous avons développée avec mon équipe pendant le confinement :

Refonte du site internet de l'agence A Vos Sites Pros

 

J'ai eu la chance de pouvoir travailler dans un petit havre de paix, m'étant exilée avant le 17 mars, et ainsi passer plus sereinement ces mois d'enfermement ; mon projet n'en serait pas arrivé jusque là sans ce petit coin de paradis en Normandie, que je vous recommande : https://www.airbnb.fr/rooms/41230598.

Je vous laisse découvrir le nouveau site et me tiens à votre écoute pour accompagner votre entreprise dans sa transformation digitale.

Prenez soin de vous.

Sabrina

 

Un formateur RGPD pour assurer la conformité de votre entreprise
Un formateur RGPD pour assurer la conformité de votre entreprise

Le RGPD, cet inconnu qu'on ne présente plus. Le Règlement européen sur la protection des données est en application depuis le 25 mai 2018 mais toutes les entreprises ne sont pas encore conformes...

Enfin, plus que l'entreprise en elle-même, il s'agit surtout des traitements de données de personnes qu'elle a sous sa responsabilité. D'ailleurs autant vis-à-vis de l'externe (fichiers clients, fichiers prospects, etc.) que de l'interne (payes, gestion RH, etc.).

En plus de la conformité du site internet, il s'agit de mettre en conformité l'intégralité de l'entreprise ou s'approcher le plus possible des 100% . Pour cela, un formateur RGPD sera probablement nécessaire... En plus de toute bonne intention inhérente à la réussite du projet de conformité !

 

I/ Pourquoi un formateur RGPD ?

DPO (Data protection officer), la clé de voûte du RGPD Tout dépend en réalité de la situation de votre entreprise, à savoir l'état d'avancement de la conformité, le nombre de salariés et le type de données traitées.

En effet, dans certains cas, un DPO (délégué à la protection des données) doit normalement obligatoirement être désigné. Pour justement assurer cette mise en conformité et la maximiser. Dans ce cas, ce nouveau visage dans l'entreprise contrôlera l'application du RGPD et la conformité des traitements de données au texte. Cependant, il arrive que le DPO ne soit pas nommé alors qu'il devrait l'être, souvent pour des raisons de coûts. Ou votre entreprise n'en a tout simplement pas l'obligation.

Ainsi, un formateur RGPD pourra être fort utile pour donner des outils aux opérationnels et managers et assurer la conformité à tous les étages. De plus, celui-ci apprendra comment distiller une culture "Informatique et Libertés" propice à cette mise en conformité.

Enfin, cela va sans dire, un formateur RGPD est toujours utile même lorqu'un DPO officie dans l'entreprise. Surtout quand ce dernier n'a pas le temps matériel d'effectuer lui-même les formations. Ou, plus fréquemment, s'il s'agit d'un DPO externe, prestataire extérieur, payé sur facture.

 

II/ Un formateur RGPD qualifié

Un site internet pour les avocats Pour que la formation soit efficace et utile, il convient que l'entreprise choisisse un formateur expérimenté. Qui connaisse le terrain et ses problématiques. En effet, rien de pire qu'un formateur RGPD théorique, diplômé mais sans aucune expérience de terrain.

Le professionnel pourra ainsi montrer les outils nombreux de la conformité. Comme le logiciel PIA de la CNIL. 100% gratuit et surtout 100% conforme ! De plus, le formateur qualifié pourra répondre aux questions pratique des intervenants à la formation. Et il attirera naturellement leur attention sur les points les plus sensibles.

 

L'agence web A Vos Sites Pros met à la disposition des entreprises et de ses clients un formateur RGPD. Ce formateur dispensera des formations RGPD sur-mesure en fonction de l'état d'avancement de la conformité et des problématiques sectorielles de l'entreprise. Et ceci pourra servir les entreprises souhaitant rendre conforme leur site web, créés ou non par l'agence.

Bilan du RGPD à 6 mois de l'entrée en application
Bilan du RGPD à 6 mois de l’entrée en application

RGPD. Est-il encore besoin de présenter cette acronyme ? Les quatre lettres les plus célèbres de cette année (au moins) sont encore et toujours dans l'actualité. Notamment car le Règlement général sur la protection des données fête ses 6 mois ! Il est temps de faire le bilan, calmement, en se remémorant chaque instant.
Entré en application le 25 mai 2018, le RGPD a fortement impacté entreprises privées et administrations publiques. En effet, la protection des données de tiers doit être aujourd'hui au cœur de leurs préoccupations.

Bilan du bilan à 6 mois. Orchestré par la CNIL, Commission Nationale "Informatique et Libertés", mesdames et messieurs.

 

I/ Bilan de la CNIL

A dire vrai, la Commission Nationale de l'Informatique et des Libertés avait déjà dressé un premier bilan à 4 mois. En effet, elle avait trouvé intéressante de ne pas attendre justement une période symbolique de six mois, voire un an, pour délivrer ses premières observations. Toujours est-il que ce point semi-annuel montre bien la direction prise par la gardienne des données personnelles. Et, plus généralement, la prise en compte par les acteurs du RGPD et le contrôle de l'application des dispositions du texte par la CNIL.

 

34% d'augmentation de plaintes déposées à l'autorité administrative, 1000 notifications de failles de sécurité, des millions de personnes touchées... Si le RGPD passe aussi et surtout par l'obligation de sécurisation des systèmes, l'ampleur de la tâche est immense. En effet, vu l'augmentation exponentielle de ces résultats au fur et à mesure des mois (les notifications étaient de 750 environ par exemple à 4 mois), le bilan dans les six prochains mois pourrait être catastrophique ! Rendez-vous le 25 mai 2019...

 

II/ Bilan des professionnels

CNIL

Disons-le sans ambages : le RGPD n'est pour l'instant pas très bien vécu par les professionnels. Si la mise à jour des mentions légales, du bandeau cookies ou plus généralement du site web a plutôt été réalisée, la cartographie de l'ensemble des traitements dans l'entreprise pêche. Pis, l'esprit du RPGD a été plus ou moins dévoyé. Et certains designers et développeurs utilisent des techniques pour arriver à leurs fins (exemple : pop-up avec un énorme bouton "J'accepte" à l'entrée d'un site, avant la consultation du contenu, pour recueillir quasiment à coup sûr et de manière quelque peu forcée le consentement des internautes).

Un bilan donc mitigé, pour ne pas dire cruel. En effet, certains déplorent plutôt un effet de mode qu'autre chose. Avec une bonne dose d'hypocrisie, lié à l'affichage : les mentions légales à répétition sur le site, plus que de raison bien qu'obligatoires, ne servent qu'à rassurer les personnes. Mais si l'on gratte un peu, les bonnes pratiques affichées ne sont pas suivies en pratique. Et la protection des données n'est donc pas si effective que cela.

Sur toutes ces questions, il faut absolument aller lire l'excellent article "sans langue de bois" du Journal du Net à ce sujet. Rendez-vous donc encore le 25 mai 2019...

Un site internet pour les avocats
Un site internet pour les avocats

La transformation digitale des professions juridiques, avocats, huissiers ou notaires, ne date pas d'hier. En effet, la valeur ajoutée d'un site internet n'est plus à démontrer. Toutefois, la création d'un site web ne doit pas être prise à la légère et les avocats ne devraient pas se contenter du strict minimum. Pourquoi ? Car le site internet est une formidable source d’attractivité pour leur activité et un reflet digital de leur modernité.

D'expérience, nous avons remarqué que bon nombre d'avocats privilégiaient spontanément le fond à la forme. Sûrement une réminiscence de leurs études et l'environnement direct de travail, codes et livres de droit à l'appui !

DPO (Data protection officer), la clé de voûte du RGPD Pourtant, le site web est bien l'antithèse. En effet, là où les référentiels juridiques ne comportent aucune illustration, le site internet est avant tout un espace qui se doit d'être visuel, et même "tape à l’œil". Là où les livres de droit se composent de centaines de milliers de signes, avec des phrases de plus de trois ou quatre lignes, le site internet doit être concis, percutant, fonctionnant par mots-clés.

Deux conceptions diamétralement opposées se toisent donc. Et leur mariage, parfois forcé, ne donne pas toujours des bons résultats. Mais rien n'est perdu ! Il convient donc de tout mettre en oeuvre pour bâtir un site internet pour les avocats vivant et moderne.

 

Un site internet moderne pour les avocats

Quelques avocats devront se faire violence quant à l'idée de départ qu'ils se font d'un site internet. Et a fortiori celui qui deviendra le leur.

Premièrement, le mieux est de se faire accompagner et de ne pas se lancer tout seul. Même si le Web 2.0 regorge d'outils gratuits ou peu onéreux (en apparence) pour créer son site soi-même, l’œil d'un professionnel du web ne sera pas superflu. Notamment en considération de ce qui a été dit en introduction.

Deuxièmement, il faut de notre point de vue privilégier les chartes graphiques modernes, voire clinquantes tout en restant élégantes. En effet, un style trop épuré et trop basique ne donne pas envie et rejaillit sur l'image que votre potentiel client peut se faire de vous, à tort. Les avocats représentent une profession respectée, solennelle par certains côtés, mais cette situation ne doit pas pour autant rimer avec "austérité".

Troisièmement, un site internet en "responsive design" est obligatoire aujourd'hui. Rappelez-vous que la majorité des personnes consultera votre site à partir de leur smartphone.

Enfin, évitez tant que faire se peut de vous inspirer un peu trop des sites web de vos confrères avocats. En effet, mieux vaut affirmer sa personnalité et choisir l'habillage de son site en faisant fi de ce qui se fait ou pourrait se faire dans la profession. Comme dit plus haut, n'hésitez pas à demander de l'aide à l'agence de création de site internet qui saura vous aiguiller.

 

Un site internet concis et percutant pour les avocats

Nous l'avons évoqué, en plus de la forme, le travail du fond est tout aussi important. Oubliez donc les pavés de présentation et les "tartines" à n'en plus finir sur vous et votre activité, personne ne lira tout cela... En effet, le visiteur lambda passe globalement peu de temps sur les sites, il en consulte beaucoup. Il veut se faire un avis rapide sur les sites d'avocats qu'il visionne, avis qui sera finalement une impression plus qu'autre chose.

L'idée est donc de limiter votre site web à moins de 1000 mots, hors mentions légales. Etre le plus percutant possible, voilà la stratégie à adopter pour attirer l'attention du visiteur !

Dans la même veine, il faut veiller à ne pas utiliser un langage trop professionnel ou à destination d'utilisateurs avertis. Vous vous adressez au plus grand nombre, la plupart du temps à des gens qui n'ont aucune connaissance en droit. Les justiciables, étrangers à la matière et à la terminaison juridiques, vous remercieront de leur parler simplement. Ceci renforcera d'ailleurs le côté "percutant" de votre site internet.

 

Un site internet bien référencé pour les avocats

Mentions légales Dernier aspect important d'un projet digital réussi pour les avocats : la question du référencement. Ici encore, mieux vaut avoir affaire à des professionnels du web pour cette question. Typiquement, le travail du SEO est une composante inévitable pour tout site internet.

Plus simple, le référencement se travaille aussi par la mise à jour régulière du site et l'ajout de contenus. Donc plus votre site internet est vivant, plus Google portera pour lui de la considération. C'est tout à fait logique si l'on veut être pertinent : quoi de plus négatif qu'un site web "abandonné" depuis des années et finalement obsolète ? Les internautes, très naturellement, préfèrent un contenu renouvelé et au goût du jour. La présence d'une section de "blog", alimentée par des articles juridiques et de doctrine par exemple, est un indéniable plus voire même un pré-requis.

Enfin, les avocats développant leur site internet ne peuvent ignorer les conditions propres à leur profession. Ainsi, selon notamment les articles 10.5 et 10.6 du règlement intérieur national (RIN) de la profession, les avocats doivent :

  • informer le Conseil national des barreaux de la mise en ligne du site web
  • veiller à ce que le nom de domaine contienne en toutes lettres leur nom ou celui de leur cabinet
  • vérifier les mentions légales qui respectent un modèle minimal assez précis (voir plus d'informations ici)
  • rendre leur site conforme au RGPD
Obligations du responsable de site en matière de données personnelles
Obligations du responsable de site en matière de données personnelles

En matière de protection des données personnelles, de nombreuses obligations pèsent sur le responsable d'un site web. On l'appellera aussi dans ce cadre un responsable de traitement.

 

En effet, le responsable de traitement est celui qui détermine les moyens et finalités du traitement. C'est-à-dire que, dès lors qu'un traitement de données existe sur un site web (comme un formulaire de contact), celui qui est à l'initiative du traitement et qui décide de son implémentation sur le site sera responsable du devenir des données des utilisateurs transmises à cette occasion.

Les obligations sont énumérées par la loi, et c’est sur la base du respect de ces obligations que l’on peut vérifier le niveau de conformité d’un traitement. A ce sujet, la loi "Informatique et Libertés" a laissé place au désormais célèbre Règlement général sur la protection des données (RGPD).

 

I/ Obligations de forme relatives à la protection des données personnelles

Les obligations issues du principe d' "accountability"

Il s'agit d'un « principe général de responsabilité » ou d' « obligation de documenter sa conformité ». Ainsi, le responsable devra garder des traces écrites des diligences engagées pour démontrer le respect des obligations en matière de protection des données. Cette nouveauté vient contrebalancer la suppression des déclarations CNIL, effectives depuis le 25 mai 2018.

Les documents à établir, à tenir à jour et conserver pour prouver la conformité des traitements au RGPD sont :

  • le registre des traitements : liste des traitements mis en œuvre au sein de la structure avec des fiches permettant de déterminer les finalités du traitement, les destinataires, etc.
  • la documentation contractuelle liée aux partenaires, aux sous-traitants ou plus généralement aux tiers
  • les opérations de sensibilisation et de formation des personnels
  • les procédures internes, rédigées par le délégué à la protection des données, les managers...
  • les études d’impact
  • ...

 

Les obligations issues du principe de l'approche par les risque

Le niveau de protection des données se règle en fonction du risque et de la dangerosité du traitement ainsi que des risques pour la vie privée.
Cela signifie que la personne qui tient à jour la documentation devra aussi évoluer le niveau de sensibilité de chacun des traitements. Et plus le traitement est sensible, plus les niveaux de protection devront être serrées et les exigences renforcées.

 

Les obligations issues du principe de protection des données dès la conception, le "privacy by design"

L'idée est que la création d'un outil technologique, le plus souvent informatique, intégrera, dès le début, les problématiques de protection des données.
Ainsi, la dimension de protection des données, au cœur du projet dès sa conception, appréhendera non seulement les aspects techniques mais aussi organisationnels. En effet, tous les process concernant la durée de conservation des données, la gestion des droits des personnes, etc., devront être envisagées d'emblée.

 

II/ Obligations de fond relatives à la protection des données personnelles

Les obligations de collectes loyales et licites des données

D'un côté, les données personnelles doivent être collectées directement auprès des personnes concernées, et jamais à leur insu.
De l'autre, le traitement ne doit jamais porter sur un domaine illicite (exemple : fichiers clients pour un trafic de drogue).

 

Les obligations de proportionnalité

Ainsi, un traitement ne peut porter que sur des données personnelles collectées pour des finalités (gestion clients, gestion RH, etc.) déterminées, explicites et légitimes et pour des données adéquates, pertinentes et non excessives.
En effet, en matière de protection des données, on doit se demander à quoi sert le traitement, ne serait-ce que pour évaluer sa sensibilité.

Au sujet des données "non excessives", le RGPD a rajouté l'idée de minimisation des données. Ainsi, le responsable de traitement collecte collecter les données strictement nécessaires à la finalité du traitement.

 

Les obligations relatives à la durée de conservation des données

Par ce principe, il est impossible de garder des données personnelles pour une durée illimitée. En effet, il s'agit du fameux "droit à l’oubli". Il faut donc fixer une durée de conservation à l’issue de laquelle les données vont être détruites.
Ainsi, les données se conservent pour une durée proportionnée au regard de la finalité du traitement :

Durée de conservation = durée de la relation contractuelle avec le client + durée d’archivages.

 

Les obligations de sécurité et confidentialité des données

Le concept de  sécurité, selon la réglementation, couvre deux situations :

  1. veiller à l’intégrité des données : les données ne doivent pas être altérées, modifiées, détruites de manière inopinée,
  2. empêcher l’accès aux données pour des tiers non autorisés, incluant des tiers au sein d’une même entreprise.

 

Le RGPD créé des obligations de notification des failles de sécurité à la CNIL. Et ce pour tout responsable de traitement lorsqu'il y a un accès non autorisé à des données personnelles. Le responsable doit préciser à l'autorité de contrôle les mesures correctives prises par lui.

 

Les obligations d'interdiction de collecte de certaines données

Dans trois cas, la collecte de données est par principe interdite :

  1. données sensibles : données de santé, biométriques, génétiques, relatives aux orientations sexuelles, politiques, religieuses, et d'appartenance syndicale.
  2. numéros de sécurité sociale : sauf dans les cas où la loi le permet. Cette collecte est par exemple nécessaire pour la gestion de la paye dans une entreprise.
  3. données relatives à des infractions, condamnations ou mesures de sûreté : ce sont les fichiers qui vont contenir des données relatives à des condamnations pénales ou à des qualifications pénales.

 

Les obligations d'encadrement des transferts de données hors de l'Union Européenne

Les transferts de données hors Union Européenne sont en principe interdits. Ce principe est, comme souvent, assorti d’exceptions :

  • principe de libre circulation des données au sein de l’UE : transfert autorisé dans les autres pays de l’Union.
  • transfert autorisé dans les pays de l’espace économique européen qui ont signé un accord avec l’UE.
  • transfert dans des pays hors UE lorsque ces pays bénéficient d’un accord d’adéquation de la part de la Commission Européenne : un pays va adopter une réglementation de protection des données et va demander à l’Union de reconnaître cette réglementation comme équivalente à celle de cette dernière. Les pays ayant obtenu cet accord sont par exemple Andorre, l'Argentine, le Canada, la Nouvelle-Zélande, les Etats-Unis (cf. supra), Israël…
    En cas d’absence d’exception légale, on peut utiliser une exception contractuelle.
  • les BCR (Binding Corporate Rules) : ce sont les chartes d’un groupe d’entreprises dont toutes les filiales et entités du groupe s’engagent à respecter le droit européen de protection des données.
  • transfert dans un pays hors Union sans aucune protection particulière avec l’accord exprès de la personne : c'est toujours possible si le transfert de données est ponctuel et non-systématique, comme l'envoi d’argent à l’international par exemple.

 

Pour aller plus loin

Audit de conformité de votre site internet au RGPD
Audit de conformité de votre site internet au RGPD

Ça y est, nous y sommes ! Le 25 mai 2018 est passé et le Règlement général sur la protection des données (RGPD) est en application. Avec toutes les obligations que cela comporte ! Du coup, vous vous demandez si votre site internet est conforme à la législation européenne ? Probablement pas... Et si vous êtes sûr que non, un audit de conformité au RGPD s'avère indispensable pour les jours voire les semaines à venir.

Pour anticiper la réalisation de cet audit, il faut avant tout se poser les bonnes questions. En effet, une bonne partie d'entre elles constitue ce que l'on appelle couramment dans le métier la "check-list Informatique et Libertés". Suivez le guide.

 

Audit de conformité au RGPD : les bonnes questions à se poser

Fastidieuse en apparence, cette étape est pourtant cruciale et conditionne la suite des événements.

D'abord soyons précis dans les termes. Comme son nom l'indique, la "check-list Informatique et Libertés" va au-delà du règlement européen nouvellement entré en application. En effet, elle concerne plus généralement la conformité de votre site internet aux règles générales et fondamentales de protection des données personnelles. Ainsi, un site internet dont les traitements de données sont en phase avec ces principes est déjà une excellente chose.

Rappelons tout de même qu'il existe des traitements de données en dehors du site web. En effet, pour une entreprise, il sont mêmes majoritaires : fichiers clients, fichiers de gestion RH, fichiers de marketing ciblé, etc.

 

Ainsi, les bonnes questions à se poser pour évaluer la conformité des traitements de données issues de son site web au RGPD sont :

  1. Est-ce que je collecte des données que l'on pourrait qualifier d' « interdites » (sensibles, d’infractions pénales, de sécurité sociale) ?
  2. Les données sont-elles collectées de manière loyale et licite ?
  3. Si oui, sont-elles bien proportionnées à la finalité du traitement ?
  4. Mon site web est-il parfaitement sécurité et protège-t-il efficacement les données des utilisateurs ?
    En effet, c'est une question importante lorsque le site a été créé avec WordPress.
  5. Mes utilisateurs sont-ils informés des traitements de données opérés via le site internet ?
  6. Ai-je défini une politique de conservation et d'archivage de ces données ?
  7. Une procédure relative aux droits des personnes sur leurs données est-elle été définie (droit d'accès, de suppression...) ?
  8. Y a-t-il transfert de ces données hors de l'Union Européenne ?

 

Audit de conformité au RGPD : les nouvelles exigences du règlement

Déjà évoqué à maintes reprises dans notre blog, le règlement européen vient la plupart du temps réaffirmer les principes établis et en créer de nouveaux. Ainsi, ces derniers points induisent de nouvelles questions à se poser, venant compléter la check-list :

  1. les consentements donnés par mes utilisateurs sur le site sont-ils éclairés ?
    Ceci renvoie à l'article 4.11 du RGPD qui énonce une "manifestation de volonté, libre, spécifique, éclairée et univoque" ainsi qu'un "acte positif clair'.
  2. le droit à la portabilité est-il assuré à partir de mon site ?
    En effet, les données de mes utilisateurs doivent être téléchargeables dans un format ouvert et réutilisable (généralement en XML).
  3. Les informations données à mes utilisateurs sont-elles suffisamment loyales et claires ?
    Si non, il faudra retravailler les mentions légales du site.
  4. Les données que je demande sont-elles les plus pertinentes et les seules utiles au vu de la raison d'être du traitement ?
    Se pose alors la question de la minimisation des données, condition sine qua non d'un site web conforme au RGPD.
  5. Plus généralement, dois-je désigner un délégué à la protection des données pour mon entreprise ?

 

Audit de conformité au RGPD : un peu d'aide ?

L'agence web A Vos Sites Pros vous propose deux formules de mises en conformité :

  • un audit simple vous indiquant la marche à suivre pour des actions à réaliser vous-même,
  • un suivi et des actions de conformité réalisées par l'agence.

 

Pour aller plus loin :

//www.avossitespros.com/wp-content/uploads/2018/03/footer_logo.png