Les sites internet et la conformité légale

Le site internet est devenu aujourd’hui l’une des principales vitrines numériques d’un organisme à destination de ses clients et prospects. D’une finalité de simple communication à des fins non commerciales à une mise en place d’interface de paiement en ligne, le site internet fait l’objet d’une approche particulière de la CNIL. En effet, cette dernière dispose, depuis 2014, d’une habilitation de contrôler à distance tout site confondu.

Dans un premier temps, il est utile de rappeler que chaque site, à l’instar d’un véhicule immatriculé sur une autoroute, doit obligatoirement s’identifier, et notamment identifier les acteurs responsables de sa mise en ligne. Ces éléments d’informations sont regroupés dans les mentions légales, et il appartient à chaque responsable de vérifier que tous les éléments nécessaires à leur légalité sont présents. Un contrôle CNIL suppose en effet une vérification systématique de ces mentions. Leur absence vous expose immédiatement à une non-conformité estimée majeure aux yeux de la loi.

De plus, les mentions légales peuvent se voir agrémentées de mentions relatives à la protection des données. En outre, si cette pratique est tout à fait conforme aux dispositions légales, ACTECIL recommande d’incrémenter une politique de protection des données distincte des mentions. L’objectif ? Accroître la transparence sur l’utilisation faite des données collectées par le site internet. En plus de constituer un gage de qualité auprès de vos utilisateurs, vous anticipez également de façon partielle la future obligation d’accountability posée par le Règlement général 2016/679 (UE) sur la protection des données. Enfin, les formulaires de collecte de données doivent faire impérativement l’objet d’une attention particulière : chaque formulaire doit faire figurer des mentions d’informations y afférentes. A ce titre, les mentions font aujourd’hui l’objet de changement, et la récente loi du 08 octobre 2016 pour la République Numérique oblige désormais à informer les personnes de la durée de conservation des données, ou des critères permettant de la déterminer, ainsi que de la possibilité pour les personnes d’établir des directives générales ou particulières sur le sort de leurs données après décès.

Qui dit site internet, dit nécessairement cookie. Un cookie est un traceur informatique qui s’installe sur les terminaux des utilisateurs. Ce dernier fait donc l’objet d’un encadrement légal, cet encadrement étant partiellement justifié par le fait que la jurisprudence considère que l’adresse IP, bien qu’identifiant davantage une machine qu’une personne physique, est constitutive d’une donnée personnelle. Par conséquent, plusieurs catégories de cookies peuvent être distingués, et on trouve notamment les cookies techniques nécessaires au fonctionnement du site ainsi que des cookies de mesures d’audience ou de statistiques de visites. Ces derniers doivent faire l’objet, en plus d’une information de l’utilisateur par un bandeau, d’un consentement de ce dernier avant que le traceur puisse s’installer chez l’utilisateur. Le consentement s’exprime soit par le clic effectué sur la mention « OK » mise sur le bandeau, soit par le fait pour l’utilisateur de continuer la navigation sur le site. En outre, l’explication sur l’utilisation faite des cookies ainsi que sur le paramétrage potentiel de l’utilisateur pour les supprimer de son navigateur sont recommandés à incrémenter dans les mentions légales ou une politique de protection de la vie privée. La CNIL est ainsi hautement susceptible, dans le cadre d’un site internet utilisant de nombreux cookies, de vous demander la signification de chaque traceur, et dans le cas de cookies techniques si ces derniers sont indispensables au fonctionnement du site.

Enfin, la gestion d’une ou plusieurs URL suppose la prise en compte d’un élément majeur : la sécurité des données. La loi impose la mise en place d’une sécurité adaptée. S’il existe donc un référentiel de sécurité logique qui peut faire office de tronc commun, ce référentiel doit donc faire l’objet d’une adaptation en fonction des données traitées, et notamment de leur volume, du nombre de personnes concernées et de leur caractère potentiellement sensible. Un site de rencontres nécessitera une sécurité différente d’un espace locataire, ou encore une interface de paiement en ligne sera nécessairement plus sécuritaire qu’un simple forum. Or si la mise en place du protocole https ainsi que la mise en place d’une politique de mots de passe pour l’accès à un compte client est une première étape, elle n’est généralement pas suffisante pour démontrer le respect des exigences de sécurité. En outre, une réflexion doit être menée sur le format de stockage des mots de passe (sous forme d’un hash, …), sur les algorithmes utilisés et l’existence ou non de sel, entre autres. C’est à ces conditions qu’un organisme pourra vérifier l’absence potentielle de risques en matière de sécurité, et donc justifier du respect intégral des normes légales. En outre, la CNIL vérifiera nécessairement en cas de contrôle si les conditions d’accès aux différentes données collectées par le site répondent à l’ensemble de ces exigences. De plus, à compter du 25 mai 2018, une obligation de notification en cas de violation de données personnelles sera applicable, et renforce donc les impératifs de sécurisation des sites internet.


Actualité du Groupe


7 août 2017 : La Vidéosurveillance sur le lieu de travail
17 juillet 2017 : ActeCil obtient son 9e Label : le label CNIL Audit de traitements pour le secteur des Collectivités !
7 juillet 2017 : Les sites internet et la conformité légale
4 juillet 2017 : Plus que 8 jours pour participer à notre séminaire gratuit sur le «Règlement Général sur la Protection des Données (RGPD) ».
22 juin 2017 : Flash info : certification OPQF en cours
21 juin 2017 : ActeCil aux 40e Rencontres de l’ANCCAS à Cabourg
19 juin 2017 : Nos matinales : pour en savoir plus sur le RGPD !
14 juin 2017 : MISE À JOUR D’APM V18: DIAGNOSTICS, RGPD, Registre sous-traitant
9 mai 2017 : Registre du CIL – un registre entièrement ouvert au public ?
30 mars 2017 : Le PIA : Une obligation dans le cadre du règlement européen
accueil Blog Actu-CIL