Audit RGPD CNIL

Publié le 10 novembre 2018 par Benoit Rolland @BenoitR_Digital

Quelque soit le format utilisé, vous devez présenter le traitement des données personnelles collectées, à quoi elles servent, combien de temps elles sont conservées, à qui elles sont transmises, ...

Voici les questions auxquelles répondre dans votre politique de protection des données lors de votre audit RGPD :

  1. Qui est le Responsable du traitement ?
  2. Quels types de données personnelles recueillez-vous ?
  3. Pourquoi recueillez-vous ces données ?
  4. Comment sont traitées et sécurisées les données personnelles ?
  5. Ou et pendant combien de temps seront stockées ces données ?
  6. A qui ces données personnelles sont transmises ?
  7. Comment protégez-vous les données personnelles ?
  8. Quels sont les droits des internautes ?
  9. Quels type de cookies sont déposés ?
  10. Quel dispositif utiliser pour supprimer les cookies ?
  11. Utilisez-vous des hyperliens ?

L'utilisation des cookies

Pour auditer votre site sur la partie " cookies ", je vous propose les étapes suivantes :

Essayer plusieurs navigateur et naviguer sur votre site pour déclencher tous les cookies potentiels.

Plusieurs façons d'obtenir les cookies présents :

  1. Cliquez sur le cadenas,
  2. Aller sur Cookies pour les consulter
  1. Cliquez sur les 3 points en haut à droite
  2. Aller sur Paramètres puis Paramètres avancés
  3. Aller sur Paramètres de contenu dans la rubrique Confidentialité et Sécurité pour consulter les cookies

Méthode 3 : via l'Inspecteur sur Chrome

  1. Ouvrez l'Inspecteur
  2. Allez sur Application puis consultez les cookies

Méthode 4 : via l'Inspecteur sur Chrome

Faites un état des lieux des cookies présents avec ce site : https://www.cookiebot.com/fr/, il détaille les 4 types de cookies que l'on peut trouver sur un site :

    • les cookies techniques : nécessaires au fonctionnement du site (ne pas les bloquer dans le bandeau de cookie),
    • des cookies statistique ou de mesure d'audience : liés à votre outil de webanalytics (ne pas les bloquer dans le bandeau dans la mesure ou les IP sont anonymisées et ne sont donc plus des données personnelles),
    • les cookies marketing ou publicitaires : liés à des sites de régie publicitaires,
    • et les cookies pour les réseaux sociaux.

Tous ces cookies ne sont probablement pas utiles au bon fonctionnement de votre site. Pour les cookies inutiles, désactivez-les. Pour ceux que vous souhaitez conserver, il va falloir les présenter dans vos mentions légales ou sur votre page d'utilisation des cookies en expliquant leur utilité et le traitement réalisé.

3. Informer les visiteurs sur leurs droits

S'il vous reste des cookies autres que techniques et statistiques, alors vous allez devoir installer un bandeau d'acceptation des cookies pour obtenir le consentement des internautes. Effectivement, si vous avez anonymisé les IP dans votre outil de webanalytics (exemple : Google Analytics) et réduit la durée des cookies à 13 mois max, alors seuls les cookies marketing et liés aux réseaux sociaux nécessitent un consentement via le bandeau de cookies. Pour en savoir plus : comment paramétrer les cookies Google Analytics pour le RGPD .

Laisser le choix de refuser les cookies :

Beaucoup de sites n'offrent pas ce choix et se contentent de restreindre les fonctions accessibles sur le site tant que les cookies ne sont pas acceptés. D'autres mettent en place un bandeau tellement grand que l'on a qu'une hâte, le faire disparaître en cliquant sur Accepter. Dans une démarche purement marketing, je comprends que l'on puisse avoir du mal à laisser le choix de refuser, au risque de perdre des données statistiques de navigation. Pour autant, je reste convaincu que laisser le choix est un gage de confiance supplémentaire qui permet de mesurer l'indice de confiance de vos visiteurs vis à vis de votre site.

A ce sujet, une étude a été réalisée sur la confiance des internautes sur internet.

J'utilise le bandeau tarteaucitron.js qui permet de sélectionner tous vos cookies et de proposer d'autoriser ou d'interdire l'utilisation par l'internaute :

Zoom sur les cookies statistiques ou de mesure d'audience :

Si vous utilisez Google Analytics, vous géolocalisez vos utilisateurs grâce à leur IP. Votre audit RGPD doit en tenir compte en vérifiant l'utilisation du compte Analytics et des cookies associés.

Les 2 derniers chiffres de l'IP correspondent à l'adresse (rue, avenue), les 2 précédents à la commune, etc. Au passage, Google se garde bien de descendre jusqu'à ce niveau de détail dans Google Analytics. Cette information est donc personnelle. Les IP doivent être anonymisées dans Google Analytics et la durée de vie des cookies ne doit pas être supérieure à 13 mois. Là aussi, Google limite à 14 mois minimum les cookies, ce qui le rend non conforme au RGPD, cela évoluera surement.

Donc, si vous ne voulez pas bloquer ces cookies dans votre bandeau d'acceptation de cookies, il faut anonymiser les IP (masquer les 2 derniers chiffres) et réduire à 13 mois maximum la durée de conservation des cookies (c'est notamment le cas du cookie _ga). Ces données ne sont donc plus considérées comme des données personnelles.

Sinon, si ces conditions ne sont pas réunies, il faudra obtenir le consentement de l'internaute via le bandeau d'acceptation des cookies.

D'autres outils de webanalytics existent et sont conformes au RGPD avec peu de paramétrage (Matomo, Xiti).

Les formulaires de contacts

Ce qui est obligatoire avec le RGPD :

  • Utilisez un email non cliquable car il n'est pas compatible avec tous les postes de travail,
  • Le destinataire du formulaire doit être unique,
  • Indiquez une légende pour les champs obligatoires,
  • Tout CAPTCHA doit aussi disposer d'une alternative sonore,
  • Les boutons d'action doivent figurer sous le formulaire,
  • Les mentions Informatique&Liberté, l'objet et le mail du DPO doivent être présents.

La durée de conservation des données

Le RGPD modifie la durée de conservation des données : elle varie selon le type de données personnelles collecté :

  • pour les données liées à la prospection : 3 ans
  • pour les clients, liées à un contrat : durant la vie du contrat et 3 ans au delà
  • et pour les données liées au recrutement : 2 ans

Le respect des durées peut être garanti par des règles de suppression des données personnelles sur vos bases de données. Quant aux emails issus des formulaires de contact qui arrivent directement sur vos boîtes emails, veillez à supprimer ces données en respectant ces durées.

Les droits des visiteurs

Les droits des internautes doivent être rappelés sur le formulaire ainsi que l'utilisation faite des données collectées (que l'on retrouvera aussi dans vos mentions légales). L'adresse email du DPO doit être mentionnée également sur le formulaire pour pouvoir faire appel à ses droits d'opposition, de rétractation ou de suppression.

Vous pouvez mentionner une adresse email avec [@] pour éviter de recevoir des spams issus des crawls des robots sur votre site.

La mise en place d'un CAPTCHA permettra d'éviter l'intrusion des robots qui scrutent les formulaires pour trouver des failles.

Utilisez un email générique et non personnel. On est là sur un point de sécurité. Effectivement, que se passe-t-il quand la personne destinatrice des emails provenant des formulaires de contact quitte l'entreprise ou part en vacances ? Et ne dites pas que vous transmettez les codes d'accès à vos collègues, chaque code est sensé être personnel et ne doit pas être transmis, c'est une bonne pratique de sécurité.

Audit RGPD et sous-traitance

Pour être conforme au RGPD, exigez un contrat avec vos prestataires, c'est obligatoire.

Les prestataires qui ont accès à vos données doivent également être " RGPD compliant ". Ils doivent faire la preuve qu'ils respectent bien les règles en vigueur sur la protection des données personnelles (conservation des données, sécurité en place, sécurisation en cas de diffusion à des tiers, ...).

C'est le cas des agences web, des hébergeurs, des agences de communication qui réalisent des campagnes pour vous, etc. En fait tous les acteurs qui ont un accès à vos données.

En dernier ressort, c'est vous le responsable des données personnelles de votre site, d'ou l'importance de travailler avec des prestataires qui pourront vous assurer qu'ils respectent bien les règles.