Malgré diverses recommandations et articles mis en ligne par la CNIL sur son site, de nombreux sites internet ne sont pas conformes au RGPD.
- Le bandeau cookies
Outre une information claire et facilement accessible pour les internautes, il faut s’assurer d’obtenir le consentement de ce dernier.
Par consentement, il faut comprendre un acte positif de l’internaute et non un accord implicite.
Quelques exemples de mentions qui ne sont pas conformes :
En réalité, la CNIL l’a bien indiqué dans ses deux recommandations du 17 septembre 2020 (n° 2020-091 et n°2020-092), il faut prévoir un bouton « refuser » ou « tout refuser », un bouton « accepter » ou « tout accepter » ainsi qu’un troisième bouton « paramétrer les cookies » ou encore « personnaliser mes choix ».
Ces boutons doivent être de même format, de même couleur et placés de telle manière que le bouton « accepter » ne soit pas mis en avant.
L’internaute doit prendre connaissance des finalités avant d’accepter ou refuser mais cette information doit être donnée dans des termes clairs et adaptés.
Toujours dans ses recommandations du 17 septembre 2020, la CNIL donne certains exemples tels que :
« le site XX et nos partenaires utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil »
Ou encore
« Notre site xx utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux »
- La console ou CMP (Consent management Platform)
Dans la console, l’internaute peut choisir les cookies pour lesquels il donne son consentement mais tout comme sur le bandeau, il faut laisser la possibilité à l’internaute de « tout refuser » ou de « tout accepter ».
- La possibilité de revenir sur ses choix n’importe quand
Comme pour tout traitement de données personnelles fondé sur le consentement de la personne, cette personne doit avoir la possibilité de le retirer à n’importe quel moment et d’une manière simple.
Pour les traceurs, la CNIL recommande de mettre en place un lien hypertexte en bas de page ou par une petite icône sur l’un des côtés du site internet qui apparait sur toutes les pages avec une mention « gérer mes cookies ».
- Les formulaires en ligne
Tous les formulaires en ligne, quel que soit l’objet, doit contenir des astérisques pour indiquer les champs obligatoires.
Cependant, il faut aussi informer les clients/prospects de la finalité du formulaire même si cela peut paraître inutile.
A titre d’exemple, pour l’envoi de mails à des clients concernant des produits similaires à ceux commandés sur d’un site d’e-commerce, il faut indiquer une mention en dessous du formulaire, pour les informer que l’adresse électronique sera utilisée pour leur adresser des publicités concernant des produits similaires à ceux commandés sur le site. Il faut aussi informer la personne de ce qu’elle peut refuser de recevoir ces mails (opt-out) et prévoir à cet effet une case à cocher « ‰ je m’oppose à ce que la société X m’adresse des mails concernant des produits similaires à ceux que j’ai commandés ».
Il en est de même pour des formulaires de contact etc.
Attention, le fait de collecter l’adresse électronique d’un client/prospect pour lui adresser des mails contenant des publicités de la société concernée et de ses partenaires, nécessite un accord de la personne.
Là aussi, outre la mention de la finalité de la collecte de l’adresse électronique, il faut prévoir en dessous du formulaire une case à cocher pour les mails adressés par la société X et une case à cocher que pour la personne accepte que son adresse électronique soit transmise aux partenaires de la société pour recevoir de la publicité.
Si la personne remplit le formulaire mais ne coche pas la case, vous ne pouvez pas communiquer son adresse électronique à vos partenaires.
Bien entendu, vous devez compléter ces mentions par les informations prévues à l’article 13 du RGPD et qui sont habituellement insérées dans une politique de confidentialité ou politique de données personnelles.
- La politique de confidentialité
Celle-ci doit être rédigée dans des termes simples et clairs et être accessible tout le temps.
La politique de confidentialité n’est que la mise en application de l’article 13 du RGPD qui prévoit la liste des informations qui doivent être communiquées à la personne lorsque les données personnelles sont collectées directement auprès de cette dernière.
Ainsi, il faut indiquer :
Pour qu’un traitement de données personnelles soit licite, il faut qu’il repose sur l’un des fondements prévus par l’article 6 du RGPD. Dans la plupart des cas, pour des sites et plateformes numériques, les fondements légaux sont le contrat, la loi, le consentement et l’intérêt légitime. A titre d’exemple, les données traitées pour la gestion de la commande reposent sur le contrat. Le traitement de l’adresse électronique pour l’envoi de mails promotionnels de partenaires repose sur le consentement. La tenue de la comptabilité repose sur une obligation légale.
Figurent aussi les mentions concernant les cookies.
Le cabinet aura le plaisir de travailler aux côtés de LA COLLAB regroupant des professionnelles des métiers du marketing, de la communication et du digital afin de mieux appréhender le droit des données personnelles.
28.07.2022