Entré en vigueur le 25 mai 2018, le Règlement général sur la protection des données (RGPD) renforce la transparence sur la collecte de données personnelles sur Internet et accorde de nouveaux droits aux utilisateurs. Cette réforme affecte toutes les entreprises françaises et européennes. Elle oblige la mise en conformité de leurs sites Internet et notamment des formulaires présents sur les landing pages. En effet, ceux-ci permettent de collecter les données personnelles des internautes: nom, prénom, adresse, société, adresse e-mail, numéro de téléphone… Voici 4 étapes indispensables pour rendre vos formulaires conformes au RGPD.
1. Recueillir le consentement de la personne
Le RGPD impose que tout traitement de données personnelles nécessite le consentement explicite de la personne concernée à l’utilisation de celles-ci. Ainsi, quelque soit le type de formulaire (formulaire de contact, demande de devis, téléchargement de livres blancs, inscription à un événement…), une demande de consentement claire et précise doit se trouver sous le formulaire de contact.
Le consentement doit représenter un acte positif de la personne qui soumet un formulaire. C’est pourquoi, il est important de rendre vos formulaires conformes au RGPD. Ils doivent comporter une case à cocher, à côté de laquelle se trouve une description détaillant la façon dont seront exploitées les données. Cette case à cocher permet à l’internaute de manifester clairement sa volonté d’accepter l’utilisation de ses données personnelles.
Cette case doit être configurée comme un champ obligatoire. Si la case n’est pas cochée, le formulaire ne peut pas être soumis. A savoir qu’une case préalablement cochée (« opt out ») ne constitue pas en un consentement de la part de l’utilisateur.
Enfin, le consentement est spécifique, c’est-à-dire qu’il est impérativement lié à une finalité unique et précise. Il sera sans doute nécessaire de multiplier les cases à cocher dans le but de recueillir le consentement de l’internaute pour chaque traitement spécifique. Le libellé de chaque case à cocher doit informer celui-ci sur l’utilisation de ses données. Le libellé doit donc être rédigé de manière claire et précise. Il doit être compréhensible sans interprétation possible.
Voici quelques conseils pour rédiger l’appel au consentement:
- Rappelez quelle action requiert le consentement
- Rédigez à la première personne du singulier
- Utilisez les verbes « accepter » ou « autoriser »
- Expliquez sur quoi repose le consentement
- Décrivez ce que vous allez faire des données collectées
- Spécifiez la finalité
2. Conserver la preuve du consentement
Vous êtes dans l’obligation de démontrer que la personne a bien donné son consentement pour l’utilisation de ses données personnelles. Cette preuve s’articule autour de trois éléments: ce à quoi l’utilisateur consent, la date où elle consenti et qui a consenti.
Cela revient à associer à chaque personne enregistrée l’objet de son consentement à l’utilisation de ses données personnelles.
3. Informer la personne sur ses droits
Le RGPD exige que des informations liées aux droits des utilisateurs soient communiquées lorsque leurs données personnelles sont demandées. Ces informations sont:
- l’identité du Responsable de Traitement,
- les coordonnées du Délégué à la Protection des données,
- la finalité des traitements,
- les personnes pouvant y accéder,
- le type de données collectées,
- leur durée de conservation,
- l’existence du droit de demander l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci,
- la procédure pour exercer son droit d’accès, de rectification et d’effacement.
Le plus important est de renseigner l’utilisateur sur les droits qu’il peut exercer sur ses données personnelles et la procédure à suivre pour révoquer son consentement s’il le désire. L’information selon laquelle la personne a le droit de retirer son consentement doit être placée sous le formulaire de contact. Il est également possible d’intégrer un lien conduisant vers la politique de confidentialité, dans laquelle est décrite ladite procédure de retrait de consentement.
4. Sécuriser le transfert des données personnelles
Lorsqu’un internaute saisit ses données personnelles dans un formulaire et le soumet, ces données migrent du navigateur vers votre base de données. Le protocole HTTPS permet de sécuriser ces données en les chiffrant lors des échanges entre les deux entités. Cela évite qu’une tierce personne ait accès à ces données. La CNIL préconise que les pages contenant vos formulaires en ligne soient sécurisées en HTTPS.
Si la mise en conformité des formulaires peut sembler un peu compliquée, il faut garder à l’esprit que cette nouvelle règlementation vise à instaurer un climat de confiance entre les entreprises et les internautes. C’est plutôt une bonne nouvelle ! C’est pourquoi le RGPD est perçue par 80% des entreprises comme une opportunité qui vise à améliorer la confidentialité et la sécurité des données personnelles, et donc à favoriser une image positive de la marque.
