Comment rendre votre site Web conforme au RGPD

Publié: 2021-07-19

Les exigences du RGPD continuent de s'appliquer pendant la période de retrait du Brexit au Royaume-Uni et pour toutes les entreprises faisant du commerce avec l'UE. Voici 10 modifications que vous devriez apporter à votre site Web dès maintenant pour rester du bon côté de la loi et satisfaire vos clients.

Dans cet article, je souhaite couvrir spécifiquement le domaine restreint de la mise en conformité de votre site Web avec le RGPD et faire des recommandations pour les modifications spécifiques que vous devrez apporter.

Qu'en est-il du Brexit et de 2020… le RGPD est-il toujours une exigence ?

Le Règlement général sur la protection des données (RGPD) s'applique à toutes les entreprises basées dans l'UE et celles ayant des citoyens de l'UE comme clients. Pour les entreprises britanniques, l'accord de retrait du Brexit n'apportera aucune modification à la nécessité de se conformer pendant la période de transition, et les exigences ne changeront pas non plus pour les entreprises qui commercent au sein de l'UE.

En outre, le Royaume-Uni s'est engagé à maintenir les normes élevées du RGPD (et le gouvernement prévoit de l'intégrer dans la législation britannique après le Brexit.

La réglementation GDPR actuelle est entrée en vigueur le 25 mai 2018.

Il est intéressant d'envisager l'application de la réglementation GDPR, et le site Web GDPR Enforcement Tracker fournit une liste et un aperçu des amendes et des sanctions que les autorités de protection des données au sein de l'UE ont imposées en vertu du GDPR.

Premièrement, je dois dire que je ne suis pas un professionnel du droit, et deuxièmement, il s'agit d'une analyse superficielle. Au moment de la rédaction, la base de données contient

  • 16 cas d'amendes et de pénalités dont le résumé contient le mot « web », dont un cas en décembre 2019 concernant un exploitant d'un site Web d'actualités juridiques, la déclaration de confidentialité n'était disponible qu'en anglais, bien qu'elle s'adressait également à un néerlandais et à un francophone. public.
  • 5 cas où le résumé contient le mot « e-mail », dont un cas en 2019 où Vodaphone a envoyé un e-mail marketing à un grand nombre de destinataires (clients) sans utiliser la fonction de copie cachée. L'amende initiale de 60.000 euros a été ramenée à 36.000 euros.

D'une part, il ne s'agit pas d'un nombre énorme de poursuites pour non-conformité, mais de combiner ce risque avec la sensibilité accrue du traitement des données personnelles et la prise de conscience de ce problème, et la conformité au RGPD devient non seulement une exigence légale, mais aussi bon sens des affaires.

Quel est l'impact du RGPD sur les plans et les fonctionnalités de mon site Web ?

Le RGPD a un impact significatif sur les exigences du site Web, ce qui aura un effet d'entraînement sur la façon dont votre site Web s'intègre à vos autres activités numériques telles que le marketing par courrier électronique, les médias sociaux et les activités de commerce électronique.

Le fil d'or qui relie toutes ces recommandations est que dans le cadre du RGPD, le concept de consentement libre, spécifique et éclairé est renforcé, avec de nouvelles règles, ce qui signifie que les entreprises comme la nôtre doivent offrir plus de transparence.

Voici 10 étapes que vous voudrez revoir pour votre site Web et discuter des changements nécessaires avec votre équipe de développement Web. Pour toute question, n'hésitez pas à me contacter.

Commençons par les changements simples que vous devrez apporter, puis passons aux domaines les plus complexes.

1. Formulaires : opt-in actif

Les formulaires qui invitent les utilisateurs à s'abonner à des newsletters ou indiquent des préférences de contact doivent par défaut être « non » ou être vides. Vous devrez vérifier vos formulaires pour vous assurer que c'est le cas.

À titre d'exemple, le formulaire d'inscription Boots actuel pré-conformité au RGPD a coché la case d'inscription, forçant l'utilisateur à se désinscrire activement. Très vilain, mauvaise expérience utilisateur, et doit être changé d'ici mai.

Échec de l'activation du RGPD

En 2020, ce formulaire a maintenant été décoché conformément aux exigences du RGPD

Site Web Boots 2020 Conformité GDPR

D'un autre côté, je dirais que Sainsbury's ne me donne pas une excellente expérience en supposant une inscription et en m'obligeant à cocher la case pour me désinscrire. Je dirais qu'ils naviguent peut-être près du vent sur ce point et ne me ravissent certainement pas en tant que client potentiel :

2020 RGPD Sainsburys se désengage

2. Opt-in dégroupé

Le consentement que vous demandez doit être défini séparément pour l'acceptation des conditions générales et l'acceptation du consentement pour d'autres manières d'utiliser les données.

Dans cet exemple, Sainsbury's a clairement défini l'acceptation de ses conditions générales et a défini séparément l'activation active de ses autorisations de contact.

C'est dommage que Sainsbury's n'ait pas eu la possibilité d'être plus précis en termes de préférences de communication (e-mail, SMS, courrier).

opt-in granulaire sainsburys

3. Opt-in granulaire

Les utilisateurs devraient être en mesure de fournir un consentement séparé pour différents types de traitement.

Dans cet exemple, ABC Awards demande une autorisation spécifique pour chaque type de traitement (courrier, e-mail, téléphone) et demande également l'autorisation de transmettre des informations à un tiers.

4. Facile à retirer l'autorisation ou la désinscription

Il doit être aussi facile de retirer le consentement que de l'accorder, et les individus doivent toujours savoir qu'ils ont le droit de retirer leur consentement.

En termes d'expérience d'utilisateur Web, cela signifie que la désinscription pourrait consister à retirer sélectivement le consentement à des flux de communication spécifiques :

Retrait du consentement RGPD

Ou modifiez facilement la fréquence de communication, ou arrêtez complètement toutes les communications :

fréquence de retrait du consentement

5. Parties désignées

Vos formulaires Web doivent clairement identifier chaque partie pour laquelle le consentement est accordé. Il ne suffit pas de dire des catégories spécifiquement définies d'organisations tierces. Ils doivent être nommés.

Dans cet exemple, vous pouvez voir que John Lewis comprend l'essentiel dont nous avons besoin pour donner des autorisations nommées pour les mises à jour de Waitrose, John Lewis et John Lewis Financial Services.

Auparavant, le formulaire demandait aux utilisateurs de se désinscrire plutôt que de s'inscrire :

autorisations de john lewis

6. Avis de confidentialité et conditions générales

Le Bureau du Commissaire à l'information (ICO) a très aimablement fourni un exemple d'avis de confidentialité que vous pouvez utiliser sur votre site Web. Il est concis, transparent et facilement accessible.

Vous devrez également mettre à jour vos conditions générales sur votre site Web pour faire référence à la terminologie GDPR. En particulier, vous devrez rendre transparent ce que vous ferez avec les informations une fois que vous les aurez reçues, et combien de temps vous conserverez ces informations à la fois sur votre site Web et également par vos systèmes de bureau.

Vous devrez également expliquer comment et pourquoi vous collectez des données. Votre politique de confidentialité devra détailler les applications que vous utilisez pour suivre les interactions des utilisateurs.

7. Paiements en ligne

Si vous êtes une entreprise de commerce électronique, vous utiliserez probablement une passerelle de paiement pour les transactions financières. Votre propre site Web peut collecter des données personnelles avant de les transmettre à la passerelle de paiement.

Si tel est le cas et que votre site Web stocke ces informations personnelles après la transmission des informations, vous devrez alors modifier vos processus Web pour supprimer toute information personnelle après une période raisonnable, par exemple 60 jours. La législation GDPR n'est pas explicite sur le nombre de jours, c'est votre propre jugement quant à ce qui peut être défendu comme raisonnable et nécessaire.

8. Logiciel de suivi tiers

Les choses commencent maintenant à se compliquer en ce qui concerne les logiciels de suivi tiers.

De nombreux sites Web utilisent des solutions logicielles d'automatisation du marketing tierces sur leur site Web. Il peut s'agir d'applications de suivi des prospects telles que Lead Forensics, Leadfeeder ou CANDDI. Ou il peut s'agir d'applications de suivi des appels comme Infinity Call Tracking ou Ruler Analytics.

L'utilisation de ces applications de tracking soulève des questions très intéressantes en termes de conformité GDPR, et à mon avis, cela reste une zone grise. À première vue, ces applications suivent les utilisateurs d'une manière à laquelle ils ne s'attendraient pas et pour lesquels ils n'ont pas donné leur consentement. Par exemple, il suit mon comportement à chaque fois que je reviens sur votre site Web ou que je consulte une page spécifique de votre site.

Cependant, les fournisseurs de ces applications nous assurent qu'elles sont conformes au RGPD.

Premièrement, les fournisseurs comme CANNDI conseillent que des bannières indiquant clairement et sans ambiguïté que des cookies sont utilisés,

Conformité au RGPD CANNDI

Et, les fournisseurs de logiciels soutiennent que l'utilisation de la technologie de suivi des cookies est dans l' intérêt légitime de votre entreprise en tant que contrôleur de données, et en particulier le considérant 47 permettant « le traitement à des fins de marketing direct ou de prévention de la fraude ».

CANNDI conseille :

Intérêt​ ​légitime​ ​-​ ​Si vous utilisez le principe de l'intérêt légitime dans le suivi de votre site Web, il est conseillé de consigner que tel est le cas lors de votre préparation au RGPD. Cela devrait inclure les motifs pour lesquels vous l'utilisez.

Je tiens à remercier CANNDI d'avoir partagé son point de vue sur le RGPD et je vous recommande de le lire (PDF.)

Perspective RGPD CANNDIO

Les fournisseurs de ces outils sont convaincus qu'ils sont conformes au RGPD. Mais si le logiciel fait quelque chose d'illégal, c'est la responsabilité de votre entreprise en tant que contrôleur de données. La vraie question est d'identifier les risques de conformité RGPD en utilisant ce type de logiciel, et d'atténuer vos risques en tant que propriétaire d'entreprise. Par conséquent, vous devez examiner attentivement votre contrat avec ces fournisseurs de logiciels.

9. Qu'en est-il de Google Analytics et de Google Tag Manager ?

Si vous êtes intéressé par l'engagement de Google envers le RGPD, alors un bon point de départ est ce site Web : Comment Google se conforme aux lois sur la protection des données

De nombreux sites Web sont configurés pour utiliser Google Analytics pour suivre le comportement des utilisateurs. Google Analytics a toujours été un système de suivi anonyme. Aucune « donnée personnelle » n'est collectée, je pense donc que le RGPD n'a pas d'impact sur son utilisation.

En ce qui concerne Google Tag Manager ; c'est un outil puissant qui permet à votre site Web d'envoyer des informations à des applications tierces en insérant de petites quantités de code. Vous pouvez intégrer des référentiels de données internes, ainsi que des systèmes externes de remarketing et de reciblage, et une multitude d'autres services. Le problème pour les entreprises en ce qui concerne Tag Manager est de s'assurer que vous avez un contrat en place avec les personnes qui ont accès à votre Tag Manager (qui peut bien être votre concepteur de sites Web ou votre agence de marketing numérique) pour s'assurer qu'elles comprennent leurs responsabilités légales en tant que un sous-traitant en votre nom en tant que responsable du traitement.

Ainsi, le problème sous-jacent avec le nouveau RGPD est d'identifier et de mettre en place des contrats avec vos processeurs de données tiers pour protéger à la fois vos propres intérêts.

10. Et enfin… ce n'est pas seulement votre site Web qui doit être conforme au RGPD

Les changements introduits avec le RGPD imprègneront l'ensemble de votre entreprise, et dans cette série d'articles, nous nous concentrons uniquement sur votre marketing numérique.

Au fur et à mesure que vous commencez à planifier les détails de votre site Web, vous découvrirez une grotte de problèmes d'Aladin que vous devrez prendre en compte. Le Commissaire à l'information a fourni un excellent ensemble de ressources pour votre référence, mais voici quelques questions clés à considérer maintenant à l'approche de la date limite de mai :

  • Vous avez probablement beaucoup de données personnelles stockées dans divers endroits de l'entreprise. Avez-vous une bonne compréhension et un enregistrement documenté des données que vous détenez ?
  • Avez-vous besoin d'obtenir ou d'actualiser le consentement pour les données que vous détenez ?
  • Avez-vous une politique définie sur la durée de conservation des données personnelles, afin de ne pas les conserver inutilement et de vous assurer qu'elles sont tenues à jour ?
  • Vos données sont-elles conservées en toute sécurité, en gardant à l'esprit à la fois la technologie et les facteurs humains de la sécurité des données ?
  • Que vous soyez responsable du traitement ou sous-traitant (ou les deux), disposez-vous des dispositions juridiques appropriées ?

Si vous avez besoin d'aide pour votre Web Design & Creative, n'hésitez pas à nous contacter.