À partir du 1er Avril 2021, votre site internet se doit de respecter les nouvelles règlementations en matière de RGPD (Règlement Général sur la Protection des données) et tout particulièrement sur la gestion des cookies.
Site internet, RGPD et Cookies 2021 : Les nouvelles obligations au 1er Avril 2021
À partir du 1er Avril 2021, la CNIL va renforcer ses contrôles concernant la mise en conformité RGPD des sites internet. Ceux-ci se doivent de respecter les nouvelles dispositions concernant :
- Le respect des règles en matière de cookies et de traceurs.
- La cybersécurité des sites web.
La CNIL indique :
« Le délai raisonnable pour mettre en conformité les sites web et applications mobiles aux nouvelles règles en matière de cookies ne saurait excéder le 31 mars 2021 ». Cliquez ici pour lire l’article au complet.
Concrètement votre site internet doit, s’il utilise des cookies, informer l’internaute et lui permettre de choisir s’il souhaite, ou non, que les cookies soient déposés sur sa machine.
Le bandeau d’acceptation des cookies est donc une obligation et tant que l’utilisateur n’a pas donné son accord il est formellement interdit de déposer le moindre cookie (sauf pour les cookies considérés comme « fonctionnels » sans lesquels le site internet ne peut pas fonctionner).
La CNIL propose un article permettant de savoir comment mettre en conformité votre site internet et comprendre quels cookies nécessitent le consentement des internautes. Cliquez ici pour lire cet article.
Comment mettre votre site internet en conformité RGPD ?
RGPD et Cookies 2021 : Les règles à respecter
La CNIL donne les règles suivantes à respecter pour la mise en conformité RGPD de votre site internet en 2021.
Bandeau d’acceptation des cookies :
Ce bandeau d’acceptation des cookies doit obligatoirement :
- Informer l’utilisateur.
- Permettre à l’utilisateur de consentir par un acte positif clair.
- Permettre à l’utilisateur de faire un choix par finalité.
- Permettre à l’utilisateur d’exercer ses choix avec le même degré de simplicité.
- Permettre à l’utilisateur de revenir sur sa décision à tout moment.
Cliquez ici pour consulter l’article complet de la CNIL à ce sujet.
Cybersécurité du site internet
Votre site internet doit impérativement respecter des règles en matière de cybersécurité :
- Mettre en œuvre le protocol TLS.
- Rendre l’utilisation de TLS obligatoire.
- Limiter les ports de communication.
- Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées.
- Si des cookies non nécessaires au service sont utilisés, recueillir le consentement.
- Limiter le nombre de composants mis en œuvre.
Cliquez ici pour consulter l’article complet de la CNIL à ce sujet.
Quelles actions réaliser pour se mettre en conformité RGPD 2021 cookies et cybersécurité ?
Si vous n’avez pas la main sur votre site internet
L’installation d’un bandeau d’acceptation des cookies, tout comme la cybersécurité d’un site internet, peuvent se révéler assez techniques.
Ainsi, si vous n’avez pas la main sur le « code source » de votre site internet et si vous n’avez pas de connaissances minimes en langage « html » nous vous conseillons de contacter l’agence qui est à l’origine de votre site internet. Cette agence devrait être en mesure de vous proposer des mises à jour pour la mise en conformité RGPD 2021 de votre site internet.
À lire : Avoir un site internet, quels avantages pour une PME ?
Si vous avez la main sur votre site internet
Si vous avez la main sur votre site web et que vous disposez de connaissances en programmation web / langage html, alors vous pourrez réaliser certaines actions permettant de vous mettre en conformité.
Mise en conformité RGPD 2021 de votre site internet : Avant de commencer
Attention, les recommandations présentées ci-dessous, dans cet article, permettent d’améliorer grandement la conformité RGPD 2021 de votre site internet. Toutefois, il faut impérativement prendre connaissance de l’intégralité des communications de la CNIL sur ce sujet. Le RGPD est un sujet très vaste qui nécessite de respecter de nombreuses règles qui vont plus loin que la simple mise en conformité d’un site internet.
Nous sommes en mesure de vous donner des conseils et lignes directrices à suivre mais en aucun cas cela ne peut garantir votre conformité RGPD. Nous insistons donc sur l’importance de consulter le site internet de la CNIL rubrique ‘Ma conformité au RGPD’.
À connaitre également : Le RGPD en 2020.
Audit de la sécurité de votre site internet
La sécurité de votre site internet est un élément important. Voici quelques questions à vous poser pour savoir si votre sécurité est bien adaptée et pour réaliser un audit de sécurité de votre site web :
- Votre site internet est-il en https ?
- Les formulaires de votre site internet sont-ils sécurisés ?
- Le backoffice de votre site internet est-il sécurisé ?
- Est-ce que les données de vos clients sont protégées et non accessibles / visibles sur votre site internet ?
- Limitez-vous les composants / plugins utilisés par votre site internet ?
- Votre site internet est-il à jour ?
- Etc…
Ci-dessous les recommandations de la CNIL ainsi que celles de l’ANSII (Agence nationale de la sécurité des systèmes d’information) :
Nous vous conseillons de ne pas sous-estimer ce volet « sécurité » pour vos sites internet. C’est un point très important pour la CNIL mais également pour vous ! Les virus informatiques sont de plus en plus nombreux sur le net et se protéger est essentiel.
Installation d’un bandeau d’acceptation des cookies
Avant d’installer un bandeau d’acceptation des cookies, nous vous conseillons de procéder à un audit des cookies de votre site internet. L’objectif étant de voir quels sont les cookies que votre site internet utilise. Cela vous permettra d’avoir une vue claire des cookies utilisés mais également de faire du tri si vous identifiez certains cookies inutiles pour vous et pour les internautes. (Des sites internet tels que cookiebot, cookiefirst et cookieviz, le module de la CNIL, permettent d’identifier facilement les cookies utilisés par votre site internet).
Ensuite, une fois le nettoyage des cookies effectué sur votre site, vous disposez de trois options pour l’installation d’un bandeau d’acceptation des cookies :
- Votre site n’utilise pas de cookies (très peu probable) et vous n’avez pas besoin d’afficher de bandeau.
- Vous utilisez des cookies et vous développez vous même une solution de blocage des cookies. (Méthode non conseillée car très compliquée à mettre en œuvre).
- Vous utilisez des cookies et vous passez par une CMP (Consent Management Platform). Concrètement, cette plateforme vous fournira un bandeau d’acceptation des cookies « clés en main ». C’est cette solution que nous préconisons.
Comme indiqué précédemment, nous vous conseillons fortement d’utiliser une CMP pour la gestion de vos cookies. Il existe de nombreuses plateformes de CMP, que nous détaillons dans la suite de cet article et qui permettent, par le biais de simples paramétrages, de configurer votre bandeau d’acceptation de cookies.
L’installation du bandeau d’acceptation des cookies doit, bien entendu, être accompagné d’une politique de confidentialité ainsi que d’une information claire sur l’utilisation des cookies par votre site (par le biais d’une page « à propos des cookies » par exemple). Pour aller plus loin, n’hésitez pas à consulter l’article de la CNIL : Conformité RGPD : comment informer les personnes et assurer la transparence ?
Quelle CMP choisir et comment la mettre en place ?
Comme indiqué précédemment, nous vous conseillons de passer par une CMP (Consent Management Platform) pour la gestion de vos cookies et votre mise en conformité RGPD 2021.
Les avantages d’une CMP
Selon nous, les CMP présentent plusieurs avantages :
- Paramétrage simple (pas besoin de développer soi-même une solution).
- Ces plateformes sont (normalement) conformes au RGPD.
- Facilité d’installation.
- Facilité d’utilisation et d’administration sur le moyen / long terme.
- Etc…
Pour résumer, ce sont des solutions clés en main assez simples d’utilisation.
Quelles sont les plateformes de CMP existantes ?
Il en existe des dizaines. Les plus connus sont :
- Sirdata
- Axeptio
- Cookie bot
- ConsentManager
- SFBX
- Didomi
- Etc…
Toutes présentent des avantages et inconvénients. Nous vous invitons donc à bien prendre connaissance de ces différentes solutions pour identifier celle qui vous convient le mieux.
Quelle CMP choisir pour la mise en conformité des cookies de son site internet ?
Il est très compliqué de répondre à cette question. Comme indiqué précédemment, elles disposent toutes de leurs avantages et inconvénients propres. La meilleure solution consiste à prendre connaissance de leur fonctionnement et éventuellement les tester en conditions réelles.
Nous déconseillons également d’utiliser des plugins du type « plugin wordpress » pour la gestion du bandeau d’acceptation des cookies. Tous ceux que nous avons testés n’étaient pas conformes à la réglementation RGPD.
Chez Axens, nous avons tout particulièrement apprécié l’approche de la solution de CMP de SIRDATA. Cette solution est, d’une part, très simple à mettre en œuvre mais, en plus, présente des avantages non négligeables :
- Service support en français très réactif : Le service support répond dans les 24/48h maximum. Ceux-ci peuvent vous contacter par téléphone et proposent même de faire des paramétrages « sur-mesure » de votre code d’intégration pour garantir votre conformité RGPD.
- Possibilité de personnaliser le bandeau d’acceptation des cookies (couleur, police, etc…).
- Conformité RGPD.
- Mises à jour régulières pour garantir la conformité RGPD
- Proposition d’une formule gratuite conforme au RGPD elle aussi.
- Compatible TCF V2. Pour information : Le TCF de l’IAB Europe est une traduction du RGPD en termes techniques, une spécification pour implémenter le RGPD. C’est le standard de l’industrie.
À lire : Professionnels, protégez-vous sur Facebook.
Quelles sont les autres recommandations à suivre en matière de CMP et RGPD ?
Après installation de la CMP il est primordial de la tester pour être certain que celle-ci bloque bien les cookies avant acceptation de l’internaute. Trop de sites internet mettent en place des CMP alors que celles-ci sont sont mal configurées ! Si celles-ci ne bloquent pas les cookies tant que l’utilisateur n’a pas accepté alors vous n’êtes pas en règle.
De plus, le bandeau d’acceptation des cookies ne peut garantir à lui tout seul la conformité RGPD de votre site internet. Il y a beaucoup d’autres éléments à respecter :
- Sécuriser la transmissions des données (HTTPS/SSL/TLS).
- Mettre en place une politique de confidentialité.
- Revoir ses CGU.
- Revoir ses formulaires (Privacy by Design).
- Mettre en place un consentement sur l’ensemble des canaux (newsletter, demande de rappel, …).
- Etc…
Encore une fois, nous vous invitons à consulter le site internet de la CNIL.
Qu’est-ce que je risque si je ne suis pas en règle ? Quelles sanctions pour la non conformité RGPD 2021 ?
Voici ce qui est indiqué sur le site de la CNIL :
Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
- Prononcer un rappel à l’ordre ;
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
- Prononcer une amende administrative.
Toutes les informations sur les sanctions RGPD 2021 sur cette page du site de la CNIL.
À lire également : Attention aux arnaques RGPD.