RGPD, Cookies … Comment être conforme, et ce qu'il ne faut pas faire
Composante essentielle d'un site web, le RGPD est souvent mal compris par les utilisateurs. Il est pourtant extrêmement important de respecter cette règlementation, au risque de s'exposer à de lourdes sanctions. Cet article vous explique quelles sont les règles à appliquer à votre site, et ce qu'il ne faut pas faire.
Acronyme de Règlement Général de la Protection des Données, ou GDPR en anglais, le RGPD est une législation née des abus constatés sur le web concernant la gestion des données des utilisateurs, créé par la CNIL (Commission Nationale de l'Informatique et des Libertés). Présente à l'échelle de l'Union Européenne, elle a pour but de renforcer le contrôle des données des internautes qui visitent un site internet. Ainsi, lorsque vous arrivez sur un site web, vous devez être informé de l'utilisation qui sera faite de vos données, et pouvoir refuser que certaines informations vous concernant soient utilisées.
Le RGPD est entré en application le 25 mai 2018. Si vous étiez propriétaire d'un site internet avant cette date, vous devez avoir effectué toutes les modifications relative à cette nouvelle règlementation. Pour cela, votre site doit afficher votre politique de cookies et présenter une politique de confidentialité.
Que sont les Cookies ?
Pour faire simple, les cookies sont de tous petits fichiers qui sont créés lorsque vous visitez un site web, qui donnent des informations vous concernant, et qui s'enregistrent sur votre disque dur. Un cookie n'est pas forcément utilisé pour récupérer vos données personnelles; Créé en 1994, ce type de fichier était initialement utilisé pour améliorer l'expérience client et éviter des problème à l'utilisateur. Imaginons par exemple que vous ajoutiez des articles à un panier. Si vous quittez accidentellement le site avant d'avoir passé commande, les cookies enregistrent vos informations pour vous permettre de récupérer votre commande dès votre retour. Mais au fil des années, les cookies ont commencé à servir d'autres objectifs. On peut les classer en trois catégories :
Cookies fonctionnels : Ils servent à stocker des données nécessaires au bon fonctionnement du site. Ils vous par exemple permettre à l'utilisateur de se connecter sans avoir à réécrire ses identifiants de connexion à chaque fois, ou vont être utile pour charger certaines ressources plus rapidement. Ils sont généralement activés par défaut, car ils ne collectent pas de données sensibles.
Cookies Statistiques : Ceux-là récupèrent des informations diverses à propos du profil de l'utilisateur : s'il consulte le site sur un téléphone, dans quelle ville il se situe, quelles pages il a visité ... Ils servent à informer le gestionnaire d'un site sur le comportement de ses visiteurs durant leur navigation, et permettent donc indirectement d'améliorer l'expérience client en aidant à identifier les points faibles d'un site web. Cependant, les informations récupérées par ce type de cookie sont un peu plus sensibles, même si elles ne donnent pas d'information précises sur l'utilisateur. Les cookies statistiques doivent donc pouvoir être acceptés ou refusés par l'utilisateur.
Cookies Marketing : Ils ont pour objectif de collecter des informations sur les préférences de l'utilisateur. Ce sont notamment eux qui vont permettre d'afficher des publicités ciblées, ou en lien avec des contenus que l'utilisateur a récemment consultés. En théorie, ils peuvent améliorer l'expérience utilisateur en affichant des des propositions que l'utilisateur est plus susceptibles d'apprécier, mais ils peuvent également être considérés comme intrusifs par l'internaute. Ils doivent donc également pouvoir être désactivés.
Au fil des années, les cookies étant de plus en plus intrusifs, il est devenu nécessaire de mettre le holà. Aussi, lorsqu'un utilisateur arrive sur votre site, il est maintenant obligatoire de l'informer de votre politique de cookies avant qu'il commence à naviguer, et de lui permettre de gérer ses préférences. Généralement, cette étape s'effectue sous la forme d'un bandeau de cookies qui s'affiche devant le contenu du site.
Qu'est-ce que la politique de confidentialité ?
La politique de confidentialité est un document obligatoire qui vient compléter la politique de cookies. Il doit être mis à la disposition de l'utilisateur d'un site. Il sert à expliquer quelles données sont collectées, dans quel but et combien de temps il restent actifs (les cookies ont en effet une date d'expiration).
A noter que la politique de confidentialité et la politique de cookies peuvent tout à fait être fusionnées dans un seul et même document, ou intégrées dans un autre document juridique, comme les mentions légales, pourvu qu'il reste facilement accessible par l'utilisateur.
Comment se mettre en conformité avec le RGPD ?
Si vous débutez dans le domaine du droit, mettre votre site en conformité dans le respect des droits du consommateur peut sembler une tâche hors de portée. Rassurez-vous, la CNIL spécifie toutes les règles devant être mises en oeuvre pour vous mettre en règle. Il vous suffit de connaître quelques notions juridiques pour pouvoir rédiger vous-même les documents nécessaire. En outre, vous pouvez tout à fait vous inspirer d'autres sites pour réaliser votre propre charte (sans copier, bien évidemment). Pour vous aider, voici la liste des éléments que vous devez mettre en place, accompagnée d'exemples. Attention, cet article a uniquement pour objectif de vous donner des conseils, et ne doit donc pas être considéré comme un document officiel.
La politique de confidentialité (Voir l'exemple) : Ce document doit indiquer :
Quelles informations sont récupérées et dans quel but (attention, il est interdit de récupérer des informations sans raison valable).
Avec qui sont partagés les informations collectées.
Que votre site prend toutes les mesures de sécurité nécessaires pour protéger les informations de vos utilisateurs.
Que votre politique de confidentialité ne concerne pas les sites tiers auxquels vous pourriez faire référence ( si jamais vous citez d'autres sites internet).
Que l'utilisateur a le droit de savoir ce qu'il advient de ses données et qu'il conserve le droit de révoquer son consentement.
A qui l'utilisateur doit s'adresser s'il a des questions ou qu'il souhaite faire une réclamation.
La politique de cookies (Voir l'exemple) : Ce document doit indiquer :
Que votre site utilise des cookies.
Ce que sont les cookies.
Quels types de cookies vous utilisez.
Comment l'utilisateur peut activer et désactiver les cookies.
Règles du bandeau de cookies pour recueillir un consentement valide
Voici toutes les règles à respecter si vous souhaitez vous assurer que votre bandeau respecte parfaitement la règlementation en vigueur. Gardez tout de même à l'esprit que vous ne risquez pas forcément de représailles si votre bandeau n'est pas parfaitement conforme. L'essentiel est de chercher à être transparent, afin qu'une inspection de votre site ne révèle pas que vous cherchez à flouer l'utilisateur.
L'utilisateur doit clairement accepter les cookies : C'est le plus important. Vous n'avez pas le droit de supposer que vos visiteurs acceptent par défaut les cookies, et le silence ne vaut pas acceptation.
L'utilisateur doit pouvoir revenir sur sa décision à tout moment : Même si vos visiteurs ont déjà accepté vos cookies, ils doivent avoir le droit de les refuser par la suite, ce qui signifie que votre bandeau doit rester accessible.
L'utilisateur doit pouvoir faire son choix de manière impartiale : Cela signifie que vous ne pouvez pas favoriser une action par rapport à une autre. Il doit également être possible de refuser aussi facilement les cookies que de les accepter.
L'utilisateur doit pouvoir refuser tout les cookies non essentiels : Les cookies qui sont utilisés pour faire fonctionner votre site peuvent être activés par défaut, mais tout les autres doivent pouvoir être désactivés.
Les sanctions encourues en cas de non-respect du RGPD
Paru en 2018, le RGPD est une règlementation assez récente, et la CNIL était au début plutôt laxiste avec les sites qui n'étaient en conformité, afin de laisser le temps aux propriétaires de sites internet d'appréhender ces nouvelles règles. Mais aujourd'hui, plus d'excuses. La CNIL durcit de plus en en plus ses sanctions, et multiplie les inspections. On trouve également de plus en plus d'internautes bien informés qui n'hésiterons pas à signaler votre site s'ils estiment que vous ne respectez par leurs droits.
Les sanctions que vous risquez se font souvent au cas par cas, mais dépendent beaucoup de votre trafic et de votre chiffre d'affaire. Si le manquement à la loi est minime, vous écoperez généralement d'un rappel à l'ordre, suivi d'une obligation de vous conformer à la loi. Mais si vous gérez un site accueillant beaucoup de visiteurs et qu'il s'avère que vous cherchez à flouer l'internaute, vous vous exposez à une interdiction de recourir aux cookies, voire à une amende pouvant aller jusqu'à 4% de votre chiffre d'affaire annuel. Cette sanction peut d'ailleurs être rendue publique, histoire que tout le monde sache bien que vous avez triché.
Vous risquez également d'autres sanctions pécuniaires si votre base de données fuite (suite à un piratage, par exemple), et que vous n'êtes pas particulièrement conforme.
Pour le moment, la CNIL s'attaque surtout à des sites à très fort trafic. Mais à mesure que le niveau général s'améliore, il arrive de plus en plus que des sites pourtant peu visités écopent de lourdes sanctions.
Les pires techniques à utiliser pour présenter vos cookies
La réglementation RGPD a été conçue pour éviter les problèmes de collecte de données sans consentement. Pour permettre aux utilisateurs de ne plus être démunis face aux propriétaire de sites web qui cherchent souvent à récupérer le plus de données possible, il a donc été décidé de forcer chaque site internet à afficher un bandeau d'acceptation des cookies, qui doit être suffisamment visible.
Le problème est que cet élément gène la navigation et impacte négativement l'expérience utilisateur, en l'empêchant d'accéder immédiatement aux informations qu'il souhaite. A force de voir tout le temps apparaître ce fameux bandeau, beaucoup d'utilisateurs finissent par éprouver de la frustration, et comble d'ironie, certains peuvent en arriver à blâmer le site lui-même. Pour éviter cette situation, il devient de plus en plus fréquent de chercher à intégrer plus naturellement le bandeau de cookies, voir à le camoufler. De plus, le fait que l'utilisateur refuse les cookies peut représenter un réel inconvénient pour un propriétaire de site web, qui ne peut plus analyser les comportement de ses visiteurs, ou qui peut perdre l'argent générée par la collecte de certaines données, ce qui peut le conduire plus d'un à chercher à forcer l'acceptation des cookies par tous les internautes.
Hors certaines techniques ne sont pas autorisées, et peuvent vous faire sortir du cadre de la légalité, rendant votre bandeau et vos documents juridiques caducs. Voici une liste non exhaustive de quelques pratiques courantes sur internet, et pourtant interdites :
Mettre un simple bandeau d'information
Pour éviter d'avoir à demander à l'utilisateur d'accepter les cookies, certains propriétaires peuvent se contenter de mettre un simple bandeau informant de l'utilisation de cookies, et que la navigation sur leur site vaut acceptation. Cette stratégie est parmi les pires à adopter, et ne donnera lieu à aucune clémence de la part de la CNIL en cas d'inspection. En effet, un simple message d'information n'a aucune valeur, car il n'est pas possible pour l'utilisateur de contrôler les données qu'il envoie. Si vous êtes dans ce cas de figure et que votre site est souvent visité, il est vivement conseillé de vous mettre rapidement en conformité. Si un utilisateur tatillon remarque que vous êtes dans l'illégalité et le signale à la CNIL, vous risquez de le sentir passer. En effet, selon cette dernière, "un consentement préalable et explicite doit être obtenu avant toute activation de cookies, à l'exception des cookies nécessaires sur liste blanche".
Trop masquer le bandeau de cookies
Un bandeau de cookie a tendance à être peu esthétique, et peut jurer avec le design de votre site. Il n'est bien sûr pas interdit de vouloir styliser votre bandeau, mais il est important de garder à l'esprit qu'il doit rester facilement visible. A trop vouloir l'intégrer de manière naturelle, certains en arrivent à rendre leur bannière trop peu évidente pour l'utilisateur, ce qui est illégal ni plus, ni moins. En effet, le bandeau de cookies doit être affiché de manière flagrante à l'internaute, ce qui signifie qu'il ne doit pas pouvoir le rater. En cas de dénonciation à la CNIL, vous pouvez être soupçonné d'avoir cherché à le camoufler pour éviter que vos visiteurs refusent les cookies, même si vous étiez de bonne foi.
Rendre difficile le refus de certains cookies
On commence à rentrer dans le rayon des techniques un peu plus retorses. Ici, l'objectif est de décourager l'utilisateur en rendant l'opération de paramétrage des cookies la plus complexe possible, soit en obligeant à cocher un grand nombre de boutons, soit en paramétrant un grand d'étapes préliminaires avant de pouvoir refuser ... En procédant de cette manière, vous ne jouez pas le jeu car vous espérez que l'utilisateur abandonnera avant la fin de la procédure.
Cacher le bouton de refus
Cette stratégie est particulièrement vicieuse, car elle vise à faire croire à l'utilisateur qu'il n'est pas possible de refuser les cookies, alors qu'il en a en réalité la possibilité. Généralement, cette technique consiste à présenter uniquement un bouton "accepter" et un bouton "en savoir plus", qui lui contiendra le bouton permettant de refuser. Or, toujours selon la CNIL, le consentement doit pouvoir être aussi facilement retiré que donné, et ce type de pratique n'est pas conforme, car vous cherchez à tromper l'utilisateur.
Mettre trop en avant le bouton d'acceptation
Similaire à la stratégie précédente, cette technique se différencie néanmoins car elle vise à afficher un bouton de refus accessible, mais sans que l'utilisateur ne le remarque, en rendant le bouton "accepter" très visible et attirant, tout en faisant en sorte que le bouton "refuser" soit le plus invisible possible, ou à un endroit où l'utilisateur ne s'attend par à le voir, par exemple, au dessus du titre du bandeau. Parmi toute les techniques visant à arnaquer l'utilisateur vues dans cette article, c'est de loin la plus utilisée, car elle est moins susceptible d'être signalée, et beaucoup de propriétaires pensent même que cette manière de procéder est légale, mais ce n'est pas le cas. En effet, votre bandeau doit permettre à l'utilisateur d'effectuer son choix avec le même degré de simplicité.
Cas particulier : payer pour refuser les cookies
Certains sites internet, notamment ceux traitant de sujets d'actualités, génèrent la plupart de leurs revenus grâce aux informations récupérées auprès de leurs visiteurs. Supprimer les cookies signifierait par conséquent un gros manque à gagner. C'est pourquoi certains propriétaires ont fait le choix de rendre payant l'accès à leur site si l'utilisateur refuse d'accepter les cookies. Cette technique, qui porte le nom de Cookie Wall, peut sembler complètement illégale, car elle vous impose d'accepter la collecte de vos données personnelles si vous n'êtes pas disposé à payer. Néanmoins, La CNIL a choisi de ne pas interdire ce type de pratique tant que le consentement de la personne reste libre. En effet, sur le principe, un site a tout à fait le droit de rendre son accès payant, et rien ne vous interdit d'aller chercher vos informations ailleurs. Le Cookie Wall n'est donc pas illégal. Il est cependant déconseillé d'utiliser cette technique, sauf si vous avez un site à très fort trafic (plusieurs milliers de visiteurs journaliers), car vous risquez d'énerver une bonne partie de vos visiteurs, qui n'apprécient pas du tout ce type de pratique.
Dans le paysage dynamique du marketing digital, l'Intelligence Artificielle (IA) émerge comme un catalyseur révolutionnaire pour l'optimisation des stratégies SEO. En quête de visibilité accrue et de résultats plus performants, les professionnels du référencement explorent désormais les innombrables possibilités offertes par l'IA. Cette nouvelle ère redéfinit fondamentalement la manière dont les entreprises abordent leur présence en ligne, dépassant les frontières des méthodes traditionnelles.
Développer une activité e-commerce sur son marché domestique est une chose, mais l'implanter à l'étranger en est une autre. C'est un grand pas à franchir. Mais avec les stratégies adéquates, vous pouvez vous assurer que votre entreprise de commerce électronique est prête pour le marché international.
Voici donc quelques conseils qui pourront vous à développer votre activité e-commerce à l'étranger.
Le saviez-vous ? En moyenne, chaque utilisateur visite chaque années plusieurs centaines de sites internet. Pourtant, il subsiste encore de nombreux a priori sur leur fonctionnement, leurs objectifs et leur utilité. Je vous propose donc de nous pencher sur cinq idées reçues qui sont parmi les plus répandues sur les sites web.
Les mots-clés peuvent faire et défaire le positionnement d'un site web. Comment bien les sélectionner, et surtout comment les utiliser de manière à ce qu'il vous aident à atteindre les premières places, et non l'inverse ?