Concevoir un site web RGPD-friendly : les bonnes pratiques

1   Mener une analyse d’impact a priori

Avant d’appliquer une nouvelle technique de collecte de données, le RGPD exige de l’entreprise qu’elle effectue une analyse de l’impact qu’aura cette méthode sur la protection des données personnelles. La CNIL a édité un guide de bonnes pratiques et propose des cas pratiques, ainsi qu’un logiciel en open source facilitant la réalisation et la formalisation de ces analyses. « Le RGPD appelle à un changement de comportement, et la technologie est un vecteur de ce changement », estime Maître Sybille Bose-Tarsia.

2   Penser RGPD en amont : le « privacy by design »

Prévenir vaut mieux que guérir, surtout quand les sanctions en jeu sont colossales. L’article 25 du RGPD recommande de s’assurer de la conformité des traitements dès le projet de création de l’entreprise ! Au stade de la conception du site web, il s’agit de penser de manière intelligente la sécurité des données : architecture centralisée ou décentralisée, anonymisation ou pseudonymisation immédiate, chiffrement des communications, gestion des durées de conservation prévues par la loi (13 mois pour un consentement à un cookie), etc.

L’enjeu est de comprendre à quel moment les informations sont trop précises – a-t-on besoin des trois derniers chiffres de l’adresse IP, qui permettent de connaître la ville ? L’occasion d’appliquer le principe de minimisation : par exemple, réduire le nombre de champs dans les formulaires, ou prévoir des menus déroulants plutôt que du texte libre.

3   Limiter l’accès aux informations : le « privacy by default »

L’entreprise doit mettre en œuvre les mesures techniques et organisationnelles garantissant que, par défaut, seules les données à caractère personnel qui sont nécessaires à un traitement donné sont effectivement traitées. « Et par défaut, ces données ne sont pas rendues accessibles à un nombre indéterminé de personnes », précise Maître Sybille Bose-Tarsia.

4   Evaluer l’« intérêt légitime »

Les avantages économiques peuvent être invoqués comme intérêts légitimes, par exemple, pour le recours aux services de Google Analytics. « Mais l’exactitude des profils de comportement d’utilisateur créés par Google peut vous exposer juridiquement », prévient Maître Sybille Bose-Tarsia.

La question de l’intérêt légitime est une zone grise, avec ses arguments pour et contre le traitement des données. D’un côté, traitement typique et attendu, information des utilisateurs, possibilité d’opt-out, pseudonymisation, pertinence du contenu publicitaire. De l’autre côté, risque de profilage étendu, géolocalisation, suivi croisé des appareils, données particulièrement sensibles, utilisateurs mineurs (âgés de moins de 16 ans)… A vous de faire preuve de jugement !

A propos de Sybille Boese-Tarsia

Avocate inscrite au barreau de Berlin, Sybille Boese-Tarsia commence par exercer en libéral à Berlin et Bruxelles, puis au sein de cabinets d’avocats belges, anglais et italiens. Pendant une vingtaine d’années, elle travaille ensuite dans des directions juridiques d’entreprises aussi bien américaines qu’européennes ou asiatiques.
En parallèle, Sybille Boese-Tarsia publie de très nombreux articles dans la presse spécialisée, participe régulièrement à des conférences d’envergure internationale et organise des formations juridiques sur le droit antitrust et la protection des données personnelles. Elle est certifiée pour exercer en qualité de correspondant informatique et libertés (CIL) ou Data Privacy Officer (DPO) au sein de l’Union européenne.

1. Visiter le site web.