Articles

Comment être sûr que votre site est compatible RGPD ?

Depuis la mise en application de ce nouveau texte en mai 2018, les entreprises tentent d’avancer sur leur mise en conformité. Au-delà des tâches internes comme la cartographie et l’établissement des fiches de registre, il y a aussi un chantier à opérer sur les outils numériques, qui consomment des données personnelles à des fins fonctionnelles, marketing ou commerciales. C’est véritablement la partie émergée de l’iceberg, celle qui est visible et contrôlable à distance. Naturellement, les annonceurs se retournent vers leurs éditeurs pour réaliser cette intervention chirurgicale. Dans ce dossier, on vous aide à voir plus clair en listant ce que vous devez réaliser, en détaillant les bonnes pratiques pour être conforme, sans être tue-l’amour !

Sécurité RGPD

La conformité en ligne est la partie visible de l’iceberg

Concrètement, que faut-il faire sur un site internet ?

Informer sur la collecte des données personnelles

La première des choses à faire, c’est informer en toute transparence sur les différentes collectes et traitements que vous réalisez. Cette communication doit se faire à 2 niveaux :

  • Au cas par cas lorsque vous collectez des données : Il y a plusieurs endroits où vous récoltez des données personnelles : dans un formulaire de contact, dans une page d’atterrissage, dans un tunnel de commande (là où vous affichez des formulaires), mais aussi dès votre page d’accueil par le biais des cookies que vous déposez.
  • Un résumé de toutes les collectes et traitements réalisés dans une politique de confidentialité hébergée sur une page de votre site et facilement accessible depuis les points de collecte.

Dans les 2 cas, vous devez avertir votre utilisateur que vous allez stocker et traiter ses données personnelles en précisant certaines choses :

1. La nature des données collectées : il convient de préciser exactement les données personnelles que vous allez collecter dans le cadre de la finalité. Attention à ne stocker que les données strictement nécessaires à l’accomplissement de cette dernière (par exemple, dans le cas d’une newsletter, vous n’avez à priori besoin que de l’email)

2. La finalité de la collecte doit également être clairement accessible (envoi d’une newsletter, analyse statistique, affichage de publicités ciblées …)

3. Les sous-traitants qui auront accès à ces données personnelles. Il peut s’agir de sociétés partenaires (un call center par exemple) ou de logiciels externes que vous utilisez (une CRM, un routeur emailing …)

4. La durée de conservation des données personnelles. Dans un souci de protection des droits et libertés des personnes, le RGPD a précisé les modalités de conservation et de suppression des données personnelles.

Durée de conservation des donneés RGPD

Pour calculer automatiquement les durées de conservation, la société Axeptio a publié ce référentiel construit sur la base d’informations publiques fournies par la CNIL

5. La prise de décisions automatisées : Si vous utilisez des outils (comme Matlab, SiSense, Alteryx, Anodot, Radius, Parti, Trendalyse, …) pour analyser les profils de vos utilisateurs en vue de prédire leurs comportements, vous avez également un devoir d’information à ce niveau.

Données clients RGPD

Comme dans la vraie vie, on a besoin de se sentir en confiance pour se confier

Adapter les durées de conservation des données

Chaque finalité a une durée de conservation définie par la CNIL. Néanmoins, sur Internet, il y a 3 chiffres qu’il faut surtout retenir pour un site internet :

  • 36 mois (3 ans) : Vous devez supprimer les données personnelles des personnes inactives depuis 3 ans de votre base de données. Idéalement, vous devez placer ces données dans unebase d’exclusion vous permettant de justifier de vos traitements. À savoir : vous pouvez toujours faire le choix d’anonymiser ces données afin de les conserver pour leur valeur statistique.

    Archive RGPD

    Une illustration de l’illustrateur Mix & Remix

  • 13 mois : vous devez tous les 13 mois redemander le consentement des visiteurs de votre site web pour le traitement des cookies. On parle ici des cookies de mesure d’audience (exemple :Google Analytics) , d’amélioration de l’expérience utilisateur (exemple : Hotjar), ou encore publicitaires (Exemple : Facebook pixel …)
  •  1 mois : Un contact dont vous détenez des données personnelles peut vous demander à tout moment de rectifier, d’effacer ou de lui restituer ses données personnelles.Vous êtes tenu d’effectuer cette action dans un délai d’un mois.
    Vous devez conserver les contacts supprimés dans une base/liste d’opposition afin de ne plus les solliciter dans le futur et de pouvoir justifier de vos traitements et de votre conformité avec la réglementation.

Mettre en place les nouveaux droits de vos utilisateurs

Vos utilisateurs disposent de nouveaux droits que vous devez faciliter sur votre site internet. Pour éviter que ces demandes ne soient noyées dans la masse, il est conseillé de les isoler et de les adresser directement au responsable des données personnelles (le fameux DPO).

DPO rgpd

Le plus simple est d’ajouter un formulaire de contact indépendant des autres pour isoler ces demandes des autres et éviter qu’elles tombent dans l’oubli …

Protéger la transmission des données personnelles

Il s’agit ici de passer l’ensemble de vos pages en mode sécurisé HTTPS. Ce protocole de sécurisation permettra de sécuriser les échanges entre le navigateur et les serveurs de bases de données. Les données personnelles saisies et envoyées par vos utilisateurs ne pourront donc pas être lues par des tiers lors de leur voyage, entre le navigateur et la base de données de destination.

En réalité, le RGPD impose que vous fassiez cette intervention sur les pages recueillant des données personnelles (la plupart du temps, des formulaires). Mais c’est mieux de le faire sur l’intégralité de votre site car c’est également une exigence des moteurs de recherche pour ne pas pénaliser son SEO.

Comment s’y prendre ? Les registrars (ces entreprises qui vous vendent vos noms de domaine et votre service d’hébergement) proposent généralement l’achat de certificats indispensables à la migration de votre site en HTTPS.

Voici une sélection de fournisseurs proposant un service de qualité avec des prix très compétitifs (entre 10 et 300 euros / mois en fonction du niveau de sécurité et d’assurance voulu) : SSL2BUY, Symantec, GlobalSign, Comodo, Digicert, GeoTrust, Entrust Datacard, IdenTrust, Godaddy, NetWork Solutions, une solution gratuite proposée par Linux.

Les certificats Let’sEncrypt sont une excellente alternative pour les petits budgets puisque c’est totalement gratuit ! À une seule condition, il faut renouveler le certificat tous les 3 mois.

Les étapes pour mettre en place votre SSL :

  • Achetez le certificat
  • Activez le HTPPS sur vos serveurs
  • Assurez-vous que les liens internes de votre site internet sont également en HTTPS ou en format relatif (“/catégorie/page-produit” et non pas sous un format classique d’adresse URL tel que “http://www.monsite.com/catégorie/page-produit”)
  • Supprimer le contenu mixte : images, scripts … qui sont toujours en HTTP (pour vérifier ce type de contenu mixte, Jitbit est un outil parfait qui les pointera automatiquement)
  • Rediriger de façon permanente (301 à toutes les adresses en HTTP vers le HTTPS
  • Ajouter une URL canonique en HTTPS pour simplifier la migration pour Google
  • Enregistrer votre site HTTPS sur la Search Console de Google

Mettre à jour vos documents contractuels

Mention légale

Certains sites proposent des générateurs de confidentialité en ligne, compatibles avec le nouveau RGPD

Pour générer une politique de confidentialité conforme, il faut lister dans un document toutes les collectes et les traitements du site internet. Il existe des solutions en ligne pour générer des documents en quelques clics.

Quelles sont les bonnes pratiques pour la gestion des cookies ?

Vos utilisateurs et les cookies

Cookies rgpd données personnelles

Le seul effet produit par l’ancienne législation sur les cookies ? Des utilisateurs qui cliquent sur « ok » comme des robots.

Au lieu de sensibiliser, on a banalisé. Pires que cela, les solutions actuelles génèrent de la frustration pile au moment où ils devraient être engagés !

RGPD oblige, les marques vont devoir trouver une manière d’obtenir des consentements volontaires pour installer leurs cookies sur les postes de leurs utilisateurs. Et le challenge est de taille ! Il suffit de lire quelques commentaires sur internet pour se rendre compte que tout le monde est agacé par les bandeaux cookies qui cachent la moitié ou parfois la totalité du contenu de la page que l’on souhaite voir ! Et ce n’est pas tout, les cookies sont souvent vus comme des traceurs qui vous espionnent tout au long de votre navigation.

Pourtant, la plupart sont inoffensifs voire extrêmement utiles pour les internautes : pour rester connecté par exemple , afficher le site dans sa langue natale, ou encore pour garder un produit dans son panier.

Mais comme le texte ne livre à aucun moment de spécifications fermes ou de maquettes visuelles, il laisse la place à des interprétations plus ou moins farfelues… Certaines ont commencé à fleurir sur internet, voici notre top 3 :

  1. Prendre une capture d’écran de la page au moment où l’utilisateur coche la case
  2. Systématiser le double opt-in et obliger les utilisateurs à cliquer sur deux cases plutôt qu’une
  3. Masquer tout le site et interdire l’accès au contenu pour afficher la liste des 231 sous-traitants qui ont accès aux données personnelles

On comprend vite les conséquences de ces propositions, le site internet qui fait le choix d’intégrer la RGPD de cette façon n’en retirera que deux choses :

  • L’épuisement inéluctable et irréversible de son opt-in marketing
  • Une fuite de ses clients vers un concurrent qui n’en a rien à faire de la mise en conformité !

4 idées simples pour réconcilier vos utilisateurs avec les cookies

La temporisation : Pourquoi sauter à la gorge de l’utilisateur ? C’est sans doute ce qui est le plus agaçant avec les bandeaux cookie. Alors, pourquoi ne pas attendre quelques secondes supplémentaires ou une action de sa part avant de l’interpeller ?

L’interactivité : Engagez la discussion avec une approche conversationnelle. Cela permet de maximiser l’engagement de l’internaute. Il est aussi conseillé de soigner les transitions et les interactions pour rendre l’expérience fluide.

La transparence : Donner le contrôle, être clair et bienveillant sont les meilleurs leviers pour créer le lien de confiance entre les marques et les consommateurs. C’est prouvé !

Le fun : Dédramatiser et vulgariser le concept des cookies à travers une identité graphique et éditoriale fraîche nous permet d’attirer l’attention des utilisateurs sans les frustrer. Évitez le jargon technique en parlant de balises, de scripts, de tags … ça ne parle pas à grand monde sauf dans le monde très fermé des professionnels du web.

Cookies données personnelles

Inspiré des solutions de guichet virtuel comme Intercom ou Zendesk, la solution Axeptio offre expérience originale et fraîche, plus signifiante qu’un bandeau

cookies RGPD

Des extensions gratuites pour connaitre les cookies déposés sur un site internet

Il y a plusieurs moyens de connaitre les cookies qui sont déposés sur un site internet. On peut le faire directement via le navigateur utilisé ou via des extensions qui facilitent souvent la tâche (surtout si vous le faites souvent).

Sur Firefox, il y a Lightbeam (anciennement Collusion) qui est un excellent outil gratuit :

Sur Chrome, nous vous conseillons d’utiliser BuiltWith (gratuit, lui aussi) qui, au-delà de vous identifier les cookies, vous permettra de visualiser la configuration totale du site, y compris le CMS, les solutions de paiements, les librairies Javascript …

Vraisemblablement, on aime les cookies chez Libération

Extension BuiltWith

L’extension BuiltWith permet de scanner toute la technologie d’un site

Comment se synchroniser avec Google Tag Manager ou Commander Act ?

Les TMS du marché, largement utilisés par les professionnels de la communication digitale proposent généralement des fonctionnalités avancées pour déclencher les balises

Par exemple, dans Google Tag Manager, vous pouvez ajouter facilement des triggers personnalisés. Dans le cas présenté au dessus, nous allons vous aider à configurer la balise Facebook Pixel.

Facebook pixel

En configurant votre balise, ajoutez un déclencheur en cliquant sur le bouton +

trigger rgpd

Le trigger « Événement personnalisé » permet de communiquer avec votre solution

Si votre solution propose ce type d’intégration, vous trouverez un évènement à copier coller dans ce champ

evenement google tag

Généralement, l’événement prend la forme suivante : nomdelasolution_activate_nomduservice

evement personnalisé

L’avantage, c’est qu’on peut le faire soi-même sans solliciter un développeur

Comment être certain que ma solution contrôle bien les cookies ?

La plupart des solutions de gestion des cookies ne proposent en réalité qu’un écran de fumée. Ils se contentent de lister une grande quantité de régies sans véritablement envoyer l’information aux vendors. Autrement dit, les toggles présents dans l’interface de gestion n’ont aucun impact sur le dépôt des cookies.

Si vous avez choisi d’utiliser une TMS (Tag Management System) du marché comme Google Tag Manager, vous pouvez afficher une fenêtre de debug qui vous affichera clairement les cookies qui sont déposés et ceux qui sont en stand by (d’un consentement de l’utilisateur)

evenement tag manager

Cette console s’affiche directement sur votre site et affiche les balises et leur statut

Comment paramétrer Google Analytics pour être exempté de consentement ?

Pour suivre les performances de votre site internet, nombreux sont ceux qui utilisent la célèbre solution Google Analytics. Et dans ce monde post RGPD, vous vous posez surement cette question : dois-je demander un consentement explicite pour installer ce script au chargement de la page ?

Pour faire simple, si le cookie que vous installé est capable d’identifier un individu, alors vous devez appliquer les exigences du RGPD en matière de consentement.

Par défaut, Google Analytics peut le faire grâce au transfert de l’IP. Pour être exempté de consentement, vous devez donc anonymiser les IP dans votre outil de mesure d’audience, qu’il s’agisse de GA ou d’un autre service.

Depuis le 25 mai 2010, la fonctionnalité _anonymizelp est disponible dans la bibliothèque JavaScript ga.js (et plus récemment, ga(‘set’, ‘anonymizeIp’, true) dans la bibliothèque analytics.js). Elle permet aux propriétaires de sites Web de demander à ce que les adresses IP de tous leurs utilisateurs soient anonymes dans Analytics.

En fait, pour garder des statistiques géographiques assez poussées, on vous propose de masquer uniquement les 3 derniers chiffres de l’IP, rendant quasiment impossible l’identification de l’individu.

google analytics rgpd données personnelles

En masquant les 3 derniers chiffres de l’IP, vos utilisateurs ne peuvent plus être identifiés

Pour que l’IP d’un visiteur soit stocké dans Analytics sous une forme masquée, la fonction _anonymizelp doit être appliquée. L’intégration complète et standardisée d’un code de suivi de Google Analytics ressemble habituellement à cela : En configurant votre balise, ajoutez un déclencheur en cliquant sur le bouton +

code google anlytics

Le code classique fourni par Google Analytics pour démarrer la synchronisation

anonymize rgpd google analytics

En utilisant la fonction anonymize IP, voici ce que ça donne

Si vous utilisez Google Tag Manager, c’est encore plus facile !

Vous pouvez activer cette fonction dans Google Tag Manager en allant dans le menu « Plus de paramètres », puis ajouter un champ « anonymizeip » avec une valeur « True ».

google tag manager anonymize

Google Tag Manager permet de réaliser cette manipulation sans l’intervention d’un technicien

Ai-je raison de développer mon propre module de consentement ?

Un chantier technique

Les développeurs sont déjà énormément sollicités par les différents services de la société. Vous priorisez alors naturellement les développements ayant un impact immédiat sur le produit et le business. Et c’est bien normal !

Modification de l’ensemble des formulaires, horodatage des consentements, centre de contrôle… derrière cette exigence légale se cache un chantier important qui vous prendra plusieurs jours de travail. Comme pour les chats, l’authentification ou encore les solutions de paiement, les entreprises se tournent le plus souvent vers solution externe pour vous simplifier la tâche et gagner un temps considérable.

Entre l’expérience utilisateur, la Roadmap chargée, et l’avocat qui veille au grain, c’est parfois difficile de trouver une solution viable.

L’intégrité des consentements, un argument de communication

En s’appuyant sur un tiers de confiance, les entreprises vont pouvoir se mettre en conformité avec la nouvelle législation européenne, mais aussi communiquer sur leur démarche responsable. Dans la même veine que les avis certifiés, la plupart des marques mettent de côté les fonctionnalités natives de leur outil e-commerce pour privilégier des solutions comme TrustPilot ou TrustedShop. La raison est simple : il s’agit là de garantir l’authenticité et la traçabilité des opinions clients. Pour les consentements, c’est la même logique. La promesse ne peut fonctionner que si l’entreprise n’est pas en capacité de modifier les choix des utilisateurs derrière leur dos ! En sous-traitant ces aspects, ses prospects et ses clients seront plus motivés pour lui donner une première chance.

Le coût de la validation juridique

La question du RGPD n’est pas si simple à appréhender … On trouve sur internet des informations complètement erronées participant activement au flou actuel sur le sujet. En s’engouffrant seul dans l’adaptation de ses outils internes, on risque de passer à côté de l’essentiel. Seul un avocat peut aider à identifier ce qu’on doit faire … Là encore, c’est un nouveau devis que les entreprises trouveront sur leur bureau venant ainsi s’ajouter aux jours de développements nécessaires. En adoptant une solution spécialisée, l’entreprise gagnera un temps précieux pour se consacrer sur son activité principale.

Les pistes pour maximiser vos consentements sans piéger vos visiteurs

N’imposez pas un canal

Les entreprises doivent sortir des cases à cocher traditionnelles ON/OFF. Sandra, mère de famille, acceptera peut-être plus volontiers d’être appelée le mercredi après-midi ? Jules acceptera peut-être une newsletter si la marque lui compose un digest une seule fois par mois ? En permettant à ses clients de gérer la pression publicitaire qu’ils subissent, ils laisseront sans doute une première chance à l’entreprise.

canal de communication rgpd

Redonnez le contrôle à vos utilisateurs et valorisez tous les canaux

Osez le consentement granulaire

Dans la pratique, ces multiples segments dans votre base se gèreront très bien à l’heure car les CRM puissantes et les routeurs emailings ont tous déployé des fonctionnalités de marketing automation.

emailing canaux

emailling fréquence

Canal, thématique, fréquence : donnez plus de profondeur au recueil de consentement pour maximiser vos opt-in

Proposez des exemples de contenu

Pour inciter un internaute à s’abonner dans vos listes de diffusion, pourquoi ne pas lui montrer un exemple de ce que vous faites ? Dans le cas d’une newsletter, il suffit de glisser un petit lien vers une version en ligne d’une newsletter dont vous êtes fiers, avec un maximum de contenu pertinent. En lisant cet exemple, il sera sans doute tenté de s’abonner.

Parfois, il faut expliquer votre métier …

Les adblockeurs ont le vent en poupe. La moitié des Français se seraient dotés d’un logiciel anti-pub faisant chuter considérablement les revenus de certains sites. Problème ? Lorsqu’il s’agit d’un site gratuit, c’est une question de vie ou de mort.

Alors que certains canards décident de bloquer la navigation lorsqu’un adblocker est détecté (ce qu’il ne faut à mon sens pas faire), d’autres décident d’être plus pédagogiques en expliquant la réalité.

Dans le cas ci-dessous, l’express explique clairement que des centaines de personnes (des graphistes, des rédacteurs, des développeurs…) produisent chaque jour des contenus gratuits grâce à la publicité.

En jouant la transparence, il y a sans doute beaucoup de lecteurs qui auront passé le site dans la whitelist de leur adblocker.

adblocker rgpd données personnelles

Désactiver parfois son adblocker, ça peut préserver des emplois

Avec le sourire, ça marche encore mieux : cette fois-ci, c’est Numérama qui remplace ses publicités par un message plein d’humour …

adblock numérama

Moins culpabilisant, le message de Numérama est tout aussi puissant

Proposez un double opt-in à retardement

Vous vous demandez surement ce qui se cache derrière cette proposition ? En fait, c’est tout simplement un abonnement temporaire. Reprenons le cas de la traditionnelle newsletter : pourquoi ne pas proposer un abonnement temporaire d’un mois à vos utilisateurs ? Cela leur permettrait d’évaluer le contenu que vous leur proposez. Au bout de 30 jours, vous pouvez leur reposer la question : avez vous été satisfait du contenu que nous vous avons envoyé ? Souhaitez-vous toujours recevoir notre lettre d’information ? Encore une fois, c’est une marque de respect et cela vous permettra d’avoir des feedbacks en temps réel sur votre inbound marketing.

En conclusion,

Après avoir passé votre site en HTTPS, intégré un recueil de consentement conforme (cookies + formulaires), rédigé une politique de confidentialité … votre site sera conforme avec le nouveau RGPD. Toutefois, vous l’aurez compris dans ce document, il y a plusieurs façons de procéder et les marques vont rapidement se diviser en 2 clans : Il y aura celles qui continuent de penser que, pour connaître le client, il faut regarder par-dessus son épaule, et de l’autre les marques qui comprennent qu’à l’avenir le marketing se fera avec des clients qui acceptent de se faire bien connaître. De quel côté serez-vous ? Aurez-vous vraiment le choix ? Il est bien évidemment conseillé de vous habituer au plus vite à ces nouvelles pratiques.

pression publicitaire

Contrôler sa pression publicitaire, une nécessité pour les années à venir

Article proposé par Laurent THOMAS

Cofondateur de la solution Axeptio  –  www.axeptio.eu, laurent@axeptio.eu, Linkedin personnel, Linkedin entreprise

Cet article vous a intéressé ? Partagez-le sur vos réseaux sociaux. 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to top