Le règlement général sur la protection des données (RGPD) de l'UE est entré en vigueur au printemps 2018 et a suscité, avant son entrée en vigueur, un débat animé sur la nécessité de modifier les sites web et les nouvelles exigences auxquelles les entreprises sont confrontées. Lorsque le règlement est finalement entré en vigueur, le débat à son sujet s'est éteint comme par magie.
Le RGPD n'a pas changé le monde, mais il est important de tenir compte de ses exigences sur les sites web. Sur un site web typique, les exigences en matière de protection des données ont un impact particulier sur la manière dont les formulaires sont réalisés.
Lorsque l'on examine les formulaires de sites web, même nouveaux, il est surprenant de constater que des lacunes liées au RGPD sont visibles, même si le site web est par ailleurs conçu et construit de manière professionnelle. Sur notre blog, nous avons déjà parlé de l'impact du RGPD sur les entreprises et de la nécessité de modifier les sites web à la suite du RGPD. Comme il s'agit toujours d'une question importante et qu'elle est négligée dans de nombreuses mises en œuvre de formulaires, j'ai décidé d'écrire un rappel sur le sujet.
Pour les formulaires de sites web, les exigences du RGPD ont du sens et sont justifiées. Seules les données personnelles nécessaires doivent être collectées auprès du visiteur du site web et le visiteur doit pouvoir comprendre clairement ce qu'il advient des données qu'il remplit dans le formulaire. En veillant à ce que les formulaires de votre site web tiennent compte des 5 éléments suivants, vous serez en bonne position pour répondre aux exigences du RGPD.
1. seules les informations nécessaires sont collectées auprès du visiteur - pas de champs inutiles
Une exigence clé du RGPD est que seules les informations nécessaires à la réalisation de l'objectif du formulaire sont collectées auprès du visiteur. Aucune information supplémentaire ne doit être collectée, même si elle peut être nécessaire à un stade ultérieur. Si un visiteur est invité à s'abonner à une lettre d'information, il peut lui être demandé une adresse électronique et un nom, mais pas, par exemple, une adresse postale ou un numéro de téléphone. Il est particulièrement important de ne pas collecter inutilement des données personnelles sensibles, par exemple sur la santé.
2. le visiteur est informé clairement et concrètement de ce qui sera fait avec les informations qu'il remplit
Lorsque les visiteurs saisissent leurs données dans le formulaire, ils doivent être clairement informés de ce qu'ils peuvent attendre de leur saisie. Un texte court et compréhensible en haut du formulaire ou au-dessus du bouton d'envoi convient. Par exemple, une "autorisation de mise sur le marché" générique ne répond pas à cette exigence. Toute personne lisant le texte devrait comprendre ce qu'il signifie. Par exemple :
- Lorsque vous soumettez un formulaire, notre spécialiste des produits vous contactera par téléphone ou par courrier électronique.
- En soumettant le formulaire, vous vous abonnez à notre bulletin d'information gratuit, qui sera envoyé dans votre boîte de réception une fois par mois. Vous pouvez vous désinscrire à tout moment.
- Lorsque vous soumettez le formulaire, nous vous envoyons notre catalogue de produits par courrier. Vos données ne seront pas utilisées à d'autres fins.
Nous recommandons vivement que ces textes d'information sur le RGPD soient formatés de la manière la plus sympathique possible pour encourager les visiteurs à soumettre le formulaire. Par exemple, si le formulaire vous demande de donner votre autorisation pour le "marketing direct numérique", de nombreuses personnes ne soumettront pas le formulaire.
3. le formulaire comprend un lien vers la déclaration de confidentialité
Chaque site web devrait avoir une politique de confidentialité. Voir un exemple de politique de confidentialité sur notre site web. Les formulaires qui recueillent des données personnelles doivent comporter un lien vers la déclaration de confidentialité. Il est important de fournir au visiteur des informations transparentes et pertinentes sur la manière dont ses données sont traitées et par qui. Le lien vers la déclaration de confidentialité doit être placé après le texte d'information décrit au point 2.
4. le consentement du visiteur sera demandé si les données personnelles doivent être utilisées à d'autres fins.
Si les informations recueillies dans le formulaire ne sont utilisées que dans le but pour lequel elles ont été collectées, il n'est pas nécessaire de demander au visiteur son consentement pour l'utilisation de ses données personnelles. Par exemple, si le but du formulaire est de s'abonner à une lettre d'information, il n'est pas nécessaire de demander au visiteur l'autorisation d'envoyer la lettre d'information ou de traiter des données personnelles dans un champ distinct. D'une certaine manière, il est évident qu'en soumettant le formulaire, le visiteur donne son consentement au traitement de ses données personnelles dans un but limité.
Si les données personnelles recueillies par le biais du formulaire sont utilisées à d'autres fins, un consentement distinct doit être demandé pour chacune de ces fins. Les champs utilisés pour demander le consentement ne doivent pas être pré-cochés mais doivent être cochés activement par le visiteur pour que le consentement soit donné conformément aux exigences du RGPD.
Exemples de situations où le consentement doit être demandé séparément :
- Une newsletter sera également envoyée à l'abonné de la brochure.
- L'expéditeur de l'appel d'offres est ensuite appelé par le vendeur pour faire le suivi d'un autre dossier.
- Toute communication ou tout matériel est envoyé à la personne qui remplit le formulaire qui n'est pas directement reflété dans le formulaire.
Les exigences relatives à la demande d'autorisation sont plus strictes si le formulaire est rempli par un individu. Si le visiteur est ou peut être interprété comme un client commercial, par exemple, aucune autorisation préalable n'est nécessaire pour envoyer une newsletter. Dans tous les cas, cependant, il est correct de communiquer au visiteur l'usage qui sera fait de ses données.
5. il existe une fonction ou une procédure permettant d'effacer les données du visiteur
L'un des principes clés du RGPD est que les données personnelles ne doivent être conservées que le temps nécessaire. La période de conservation doit être indiquée dans l'avis de confidentialité. Lorsque des données à caractère personnel sont collectées et stockées sur un formulaire de site web, le système de stockage doit inclure une fonction qui supprime automatiquement les données après une certaine période, à moins qu'il n'existe des raisons concrètes et impérieuses de déroger à cette pratique. Par exemple, les informations de contact liées à la gestion de la relation client n'ont pas besoin d'être supprimées pendant la durée de vie de la relation client.