3 obligations juridiques à vérifier sur votre site internet vitrine

Le site vitrine ou d’activité présente vos offres et solutions au public. Même si votre site est « simple », il doit cependant répondre à la loi. Ce n’est pas une option et les peines encourues peuvent s’avérer sévères et les amendes salées.

Inutile de préciser que ces obligations pèsent d’abord sur l’entreprise et la structure, légalement responsable – et non d’abord sur l’agence qui réalise votre site :). C’est bien à lui qu’incombe de mettre en place un accord écrit avec ses sous-traitants.

Le rappel de ces obligations ne concerne pas seulement les sites e-commerce qui demandent à eux-seuls un véritable socle juridique poussé, tant les scénarii diffèrent à l’intérieur de ces éco-systèmes.

Alors, votre site répond-il aux 3 obligations légales majeures ?

Obligation #1 : vérifier que vos mentions légales sont présentes et à jour

Les mentions légales servent à informer le public sur l’identité de l’éditeur du site ainsi que sur des informations légales. Leur consultation doit être accessible à partir de toutes les pages du site internet (bas de page dit « footer » ou dans un onglet du menu principal).

Vous devez indiquer :

  • toutes les informations officielles relatives à votre structure (dénomination sociale, forme d’exercice de votre entreprise, capital social, SIRET et TVA)
  • les coordonnées du contact principal (souvent la direction, la présidence)
  • l’identité du responsable éditorial (directeur de publication)
  • l’identité de l’hébergeur du site et son adresse et un lien de contact
  • les activités de l’éditeur si l’activité est soumise à autorisation
  • le nom et l’adresse de l’autorité concernée si l’activité est une profession réglementée
  • la référence aux règles applicables

Enjeux : des sanctions pénales fortes

L’absence de mentions légales est punie jusqu’à 1 an d’emprisonnement et une amende de 75 000 €. L’amende maximale est multipliée par 5 pour les personnes morales. Une interdiction d’exercer de 5 ans peut également être prononcée.

Obligation #2 : protéger les données personnelles

Le RGPD est appliqué depuis maintenant presque 4 ans et nul n’est aujourd’hui censé l’ignorer. La Loi Informatique et libertés du 6 janvier 1978 continue elle aussi à s’appliquer et n’est pas tombée en désuétude.

Sur votre site, vous êtes probablement amenés à collecter des informations (exemple : pour vous contacter ou pour laisser un avis ou commentaire sur un produit… ). C’est la Politique de confidentialité qui joue ce role d’information pour le public, elle doit être publiée et librement accessible sur le site internet.

Sans être exhaustif, vous pouvez être amenés à collecter des informations personnelles à travers :

  • un formulaire de contact
  • une inscription à votre newsletter
  • la création d’un compte en ligne (membre, VIP, abonné…)
  • des avis et commentaires sur vos articles, produits, références…
  • la prise de rendez-vous via un calendrier intégré à votre site
  • etc…

Les obligations sont très nombreuses : obligation de sécurité, tenue d’un registre des données, notion de limitation de durée de la collecte, minimiser les traitements, interdire les transferts de données hors UE etc…

5 obligations majeures du responsable du site internet

  1. Informer les personnes concernées des traitements de données réalisés depuis le site internet : la politique de confidentialité – L’information donnée doit être claire et transparente.
  2. Obtenir le consentement. Certains traitements de données nécessitent l’accord de la personne. La case à cocher sans contrainte est de rigueur. Le consentement doit être la manifestation d’une volonté libre, spécifique, éclairée et univoque pour être valide.
  3. Respecter les droits des personnes : droit d’être informé / droit d’accès / droit de rectification / droit d’opposition / droit à l’effacement / droit à la portabilité. Présents dans la Politique de confidentialité, vous devez également vérifier le paramètrage de la suppression possible de ces données depuis votre site (export et suppression des données : contact clairement identifié pour la demande sinon).
  4. Assurer la sécurité du site : protéger les données du site contre tout risque de violation potentielle des données.
  5. Mettre en place un accord écrit avec chaque sous-traitant. Ce dernier ne peut agir sur les données que sur instructions écrites de l’éditeur du site. Un accord RGPD à est prévoir.

Pour aller + en détail sur les points précédents :

9 volets d’informations sont à intégrés dans la politique de confidentialité

  • identité et coordonnées de l’éditeur du site
  • finalités du traitement des données (pourquoi faire ?)
  • bases légales des traitements (base pour laquelle sont nécessaires)
  • origine de la collecte de données (directe ou indirecte)
  • éventuels transferts de données vers des destinataires / existence de sous-traitants
  • transferts éventuels de données hors UE par l’éditeur ou ses sous-traitants
  • durée de conservation des données
  • droits dont les clients disposent (rectification, suppression…)
  • existence éventuelle d’une prise de décision automatisée (profilage…)

Dans quels cas faut-il le consentement ?

Quelques exemples non-exhaustifs :

  • gestion de candidatures (ex : recrutement en ligne)
  • gestion d’avis et de commentaires en ligne (produits, réseau…)
  • transfert des données en dehors de l’UE (même traitement dans l’UE et résidents européen à l’étranger)
  • transfert des données à un partenaire à des fins de prospection commerciale
  • utilisation de certains cookies (et autres traceurs) – exemple : à des fins de marketing ciblé
  • envoi d’une newsletter commerciale en BtoC (et à des anciens clients > 3 ans)
  • Pour certains traitements, l’acceptation de la politique de confidentialité suffira :
    + case NON-préalablement cochée, à cocher : « J’accepte la politique de confidentialité »
  • Dans d’autres cas, un consentement spécifique devra être donné :
    + case NON-préalablement cochée, à cocher : « J’accepte que mes données soient communiquées au partenaire A, afin de recevoir des offres commerciales privilégiées de sa part. Consultez notre politique de confidentialité pour en savoir plus. »
  • Mettre en œuvre le protocole TLS (en remplacement de SSL)
  • Rendre l’utilisation de TLS obligatoire pour toutes les pages sur lesquelles sont affichées ou transmises des données personnelles
  • Limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées
  • Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées.
  • Limiter le nombre de composants mis en œuvre, en effectuer une veille et les mettre à jour.
  • voir les recommandations sur le site de la CNIL

Qui est responsable de cette obligation ?

Une responsabilité conjointe existe entre : l’éditeur du site qui est responsable de traitement et les sous-traitants (webmaster / développeur / hébergeur du site).

3 types de sanctions

Rappelons que là aussi, ce sera au professionnel de rapporter la preuve qu’il a bien respecté ses obligations RGPD.

  • administratives (CNIL) – amendes variables selon la violation du règlement : de 10 à 20 millions d’euros (pour les personnes physiques) et de 2 à 4 % du chiffre d’affaires mondial (pour les personnes morales, sociétés, administrations)
  • financières : en cas de poursuites devant les juridictions administratives ou judiciaires (actions individuelles et collectives)
  • pénales (tout un chapitre a été ajouté au code pénal)

Obligation #3 : cookies, bandeau et charte

Ils ne se mangent pas mais remplissent nos sites depuis 2018.

Les cookies servent à informer et obtenir le consentement des internautes sur le dépôt de traceurs.

Lorsqu’un internaute navigue sur un site internet, un traceur (cookie, pixel invisible, fingerprinting, local storage) permet de collecter ou d’accéder à des informations personnelles le concernant.

Quel est le navigateur utilisé, l’adresse IP de son ordinateur, les pages visitées, la géolocalisation…

Ils ne sont pas tous « mauvais » et leurs rôles sont variables.
Les cookies peuvent permettre de :

  • personnaliser les contenus en fonction des choix de l’utilisateur
  • partager des contenus du site sur les réseaux sociaux
  • assurer son fonctionnement
  • mesurer l’audience du site
  • adresser de la publicité ciblée
  • sécuriser le site

Les obligations

  • Règle #1 : l’internaute qui navigue sur un site doit être informé par l’éditeur du site que des cookies sont utilisés. Cette information doit se faire avant tout dépôt de cookies et elle doit être donnée de manière lisible, claire, complète sur les finalités des cookies (leur fonction), l’identité de leurs responsables (notamment pour les cookies tiers de type Google Analytics ou Facebook).
  • Règle #2 : l’éditeur du site doit ensuite obtenir le consentement express et préalable de l’internaute avant de déposer des cookies (sauf pour les cookies nécessaires au fonctionnement du site). Pour chaque finalité de cookie, l’internaute doit pouvoir accepter, refuser, ne pas choisir (ce qui équivaut à un refus) et il doit pouvoir changer d’avis à tout moment.

La mise en place

Chez Colormyweb, nous utilisons le plus souvent possible Tarte au Citron (reconnu par la CNIL) car il permet de régler les informations sur mesure sans alourdir le site :

  • bandeau cookies adapté (attention, certains bandeaux ne permettant pas de répondre aux exigences de la CNIL)
  • Une charte d’information sur les cookies utilisés
Bandeau Cookies
CNIL

En résumé…

Les 3 principales obligations de l’éditeur d’un site que sont la politique de confidentialité, les mentions légales et la charte d’utilisation des cookies ne sont pas en prendre à la légère et pourraient vous coûter très cher.

Certes un peu fastidieux à mettre en place, nous nous sommes formés à ce sujet pour appliquer notre devoir de conseil et d’accompagnement pour nos clients pour lesquels, un site est plus qu’un simple outil et se présente avant tout comme un socle d’interactions professionnelles sérieuses.

C’est donc aussi de la réputation de la structure ou de l’entreprise dont il s’agit.

Laisser un commentaire