Les formulaires de votre site sont-ils conformes au RGPD ?

Le RGPD, Règlement Général pour la Protection des Données, implique certaines contraintes concernant les formulaires de vos sites. En effet, lorsqu’ils remplissent et soumettent vos formulaires, les internautes renseignent des données personnelles telles que leur nom, leur prénom, leur numéro de téléphone, leur email, etc. Chaque formulaire en ligne doit ainsi être adapté afin d’être conforme aux exigences du RGPD en matière de collecte des données personnelles.

Quatre grandes actions doivent désormais être entreprises pour rendre conforme un formulaire au Règlement Général sur la Protection des Données :

  1. Le consentement de la personne doit être recueilli de manière claire
  2. La preuve de ce consentement doit être conservée
  3. L’internaute concerné doit être informé de ses droits
  4. Le transfert des données personnelles doit être sécurisé

Le consentement de l’internaute doit être recueilli

L’article 6 du RGPD dispose que “le traitement n’est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques”, tout traitement de données personnelles nécessite donc l’accord de l’internaute concerné. Cette personne doit pouvoir être en mesure d’exprimer son consentement, de manière claire et non détournée.

La totalité des formulaires d’un site (formulaires de contact, de demande de devis, d’inscription à un événement, à une newsletter, etc) doit donc permettre le recueillement systématique du consentement de l’utilisateur concernant les données personnelles qu’il transmet via le formulaire en question.

L’article 4 alinéa 11 du RGPD explique cette notion de consentement de la personne concernée comme étant une “manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que les données à caractère personnel la concernant fassent l’objet d’un traitement”. Ce consentement de l’utilisateur nécessite donc un acte clair de la part de l’internaute concerné par le recueil de ses données.

Pour être conforme au RGPD, chaque formulaire en ligne peut, par exemple, proposer une case à cocher par l’internaute afin que ce dernier donne son consentement quant à l’utilisation de ses données.

À noter que le consentement de l’utilisateur devant être libre, cette case ne peut être cochée par défaut, le RGPD bannissant totalement la pratique de l’opt-in passif.

Le consentement devant être également lié à une finalité précise, il sera peut-être nécessaire de proposer à l’internaute plusieurs cases à cocher de manière à ce que ce dernier puisse manifester son consentement pour chaque traitement auquel seront soumises ses données personnelles.

Le libellé de chaque case à cocher doit être rédigé de manière claire afin d’être facilement compréhensible par l’internaute. Les tournures négatives sont notamment à proscrire.

La preuve du consentement de l’internaute doit être conservée

Le RGPD contraint également le responsable du traitement à la conservation obligatoire du consentement de l’utilisateur, comme il est expliqué à l’article 7 alinéa 1 : “Le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant”.

En pratique, cela revient à associer dans une base de données chaque utilisateur du site avec la preuve de son consentement quant à l’utilisation de ses données personnelles. La CNIL précisant que “la preuve du consentement nécessite trois éléments : ce à quoi la personne a consenti, le moment où elle a consenti, qui a consenti”.

Lorsque ce consentement est établi via l’envoi d’un formulaire possédant une case à cocher, cet envoi, le contenu du consentement et la date à laquelle il a été accordé doivent être conservés.

L’internaute doit être averti de ses droits

Le Règlement Général sur la Protection des Données stipule également qu’un certain nombre d’informations soient portées à la connaissance de l’utilisateur lorsque ses données personnelles sont requises. L’article 13 du RGPD liste ces informations essentielles qui devront être nécessairement portées à la connaissance de l’internaute :

  • L’identité du responsable de traitement des données personnelles
  • Les coordonnées du Délégué à la Protection des données
  • La finalité précise de chaque traitement
  • Le type de données personnelles collectées
  • Les personnes autorisées à accéder à ces données
  • La durée de leur conservation
  • La possibilité de demander l’accès à ses données personnelles ainsi que leur rectification ou bien l’effacement définitif de ces dernières
  • La procédure à suivre pour exercer ce droit d’accès, de modification et de suppression de ses données à caractère personnel

Au moment du consentement, la personne concernée doit être clairement informée du fait qu’elle a le droit de retirer son consentement concernant l’utilisation de ses données personnelles, comme le dispose l’article 7 alinéa 3 : “La personne concernée a le droit de retirer son consentement à tout moment. (…) La personne concernée en est informée avant de donner son consentement”.

Le transfert des données personnelles doit être sécurisé

L’article 5 alinéa 1f du RGPD dispose entre autres que “les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée”. Un effort de sécurité qui porte notamment sur les formulaires en ligne.

En effet, lorsqu’un internaute renseigne ses données personnelles via un formulaire puis les soumet, alors ces informations sensibles sont envoyées vers une base de données de destination. Avec le protocole de sécurisation HTTPS, ce contenu échangé entre le navigateur et les bases de données est normalement chiffré, ce qui évite qu’il puisse être lu par des tierces personnes durant leur transfert. La CNIL préconise toutefois des précautions supplémentaires comme l’utilisation des versions les plus récentes du protocole TLS sur toutes les pages de formulaire soumettant des données personnelles. Quoi qu’il en soit, chaque page contenant un formulaire doit être sécurisée en HTTPS.

En respectant ces quatre principes fondamentaux dans l’élaboration de vos formulaires, ces derniers respecteront les critères généraux du RGPD. Le DPO ou délégué à la protection des données, chargé de la protection des données au sein d’une organisation, devra en outre s’assurer de la mise en conformité de ces formulaires en fonction des évolutions possibles du RGPD et des nouvelles normes en matière de sécurisation de transfert des données.

0 réponses

Laisser un commentaire

Participez-vous à la discussion?
N'hésitez pas à contribuer!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *