Réglement Général sur la Protection des Données

Le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais pour General Data Protection Regulation) est la directive Européenne concernant le traitement et la circulation des données à caractère personnel. Depuis son entrée en vigueur le 25 mai 2018, tous les sites web des pays de l'Union Européenne doivent s'y conformer sous peine de s'exposer à des sanctions.
Remarque : même si votre site ou société ne fait pas parti de l'Union Européenne, il est vivement conseillé de vous conformer au RGPD pour mieux informer et rassurer tous les visiteurs de votre site, y compris ceux européens.

A partir de sa version 7.09, TOWeb propose des automatismes et assistants pour vous aider à rendre et maintenir votre site conforme au RGPD.  Pour bénéficier de ces fonctions dans TOWeb, vérifiez que vous utilisez bien l'option "Site conforme au RGPD Européen" (activée par défaut) présente au niveau de l'écran "Fichier > Résumé du site" ainsi que lors de la création d'un nouveau site.
Remarque : si vous désactivez cette option cela n'effectuera aucune modification au niveau de votre site ni sur son fonctionnement, seul le comportement de TOWeb sera changé en ne proposant plus aucun automatisme ni assistant relatif à cela.

Selon votre site TOWeb propose systématiquement au niveau de votre site une dernière page dédiée à vos conditions générales d'utilisation (CGU) ou conditions générale de ventes (CGV) mais il peut être nécessaire de créer une rubrique supplémentaire dédiée à votre politique de confidentialité. Si tel est le cas et que vous en avez créé une, alors il vous faudra l'indiquer à TOWeb au niveau de l'écran "Options > Sécurité & HTML > Consentement des données personnelles des utilisateurs".

Votre site n'est pas un site de vente

A moins que vous n'ayez besoin d'ajouter des objets (images, tableaux, etc) ou besoin de placer votre politique de confidentialité dans une autre page que celle de vos conditions d'utilisation, vous pouvez utiliser la rubrique des "conditions d'utilisation" de votre site pour cet usage (choix par défaut) en lui donnant comme titre celui de "Politique de confidentialité" et un contenu approprié à votre activité et traitements des différentes données personnelles des utilisateurs que vous collectez.

Votre site est un site e-Commerce avec vente en ligne

il est recommandé de distinguer les règles liées au respect de la vie privée de celles des conditions générales de ventes de votre site aussi nous vous conseillons de procéder comme suit:

1. de créer sur votre site une rubrique "Politique de confidentialité" dédiée à toutes vos explications sur l'usage des cookies et services tiers utilisés ainsi que de vos traitements relatifs aux données personnelles des utilisateurs/clients que vous pouvez collecter
2. de faire figurer dans votre page des "Conditions de ventes" au moins un lien votre Politique de confidentialité
3. au niveau du formulaire de bon de commande de votre site e-Commerce (Options > e-Commerce > Bon de commande) vérifiez que vous avez bien activé l'option permettant d'obliger l'acheteur à accepter vos conditions de ventes
4. si vous utilisez un moyen de paiement X sur votre site e-Commerce pour lequel que vous avez activé l'option "Transmettre les informations de vos clients à X" alors il vous faudra le mentionner au niveau de votre politique de confidentialité (et/ou dans vos Conditions de Ventes)

Politique de confidentialité

Lors de la création d'une page dédiée à votre politique de confidentialité :

• il n'est normalement pas nécessaire de l'afficher dans le menu général de votre site, aussi vous pouvez cocher l'option "Ne pas afficher cette rubrique dans le menu". En revanche, comme cette page doit être consultable et accessible facilement à tout moment par vos visiteurs/clients, nous vous conseillons d'ajouter un lien dans le pied de page de votre site vers votre politique de confidentialité, si possible non loin de celui pointant vers vos CDV ou CGU
• pensez à indiquer cette rubrique au niveau de l'écran "Options > Sécurité & HTML" dans TOWeb
• pour permettre la consultation de votre rubrique, utilisez le champ prédéfini %TW-PRIVACY% dans vos textes
• enfin, selon votre activité et le contenu de votre site, vous pouvez éventuellement être amené à :
  • ajouter une bannière de consentement à vos cookies et/ou d'acceptation de votre politique de confidentialité 
  • ajouter une page d'introduction et de consentement préalable à la consultation de votre site.

Le contenu de votre politique de confidentialité dépendant de votre activité, des différentes données que vous collectez et traitements ultérieurs que vous pouvez effectuer aussi vous devrez suivre les directives de la réglementation européenne pour vous y confirmer mais vous trouverez ci-dessous les informations importantes qu'il vous faudra faire figurer dans cette page :

1. La localisation physique des données collectées
2. Le temps de conservation des données
3. Les services ayant accès aux fichiers des données personnelles au sein de l’entreprise et si vous revendez ou transmettez des données personnelles à des tiers
4. Ce à quoi l’utilisateur consent clairement lorsqu’il remplit un formulaire et coche la case de validation d’utilisation de ses données personnelles
5. La démarche pour consulter ses données stockées
6. La démarche pour modifier ses abonnements aux communications (mailing list)
7. La démarche pour demander la suppression de ses données (droit à l’oubli)

Votre transparence mettra vos clients en confiance aussi n'hésitez pas à être bien clair et concis, non seulement vis a vis des différentes données personnelles que vous récupérez et traitements que vous en faites, mais également sur des aspects liés à la sécurité (en parlant par exemple de votre site sécurisé par HTTPS si tel est votre cas) et éventuels autres traitements de données personnelles au sein de votre entreprise (autres que sur votre site web) selon les autres outils et logiciels que vous utilisez sur vos ordinateurs s'ils réutilisent des informations personnelles de vos utilisateurs/clients.

Pour être en conformité avec le RGPD, la personne qui vous communique son adresse email par le biais de votre formulaire mailing list doit être informée à l'avance de ce à quoi elle s'engage ainsi que de l'utilisation que vous pouvez être amené à faire de son adresse email : quel(s) type(s) d'information recevra-t-elle précisément par email, à quelle fréquence, à quelles éventuelles tierces personnes communiquerez-vous son adresse email et pourquoi, quelle(s) procédure(s) à suivre pour se désinscrire, etc.
Pour cela il est vivement conseillé d'appliquer au moins 1 des 2 recommandations ci-dessous : 

1. utiliser l'option confirmation de l'utilisateur requise située dans "Options > i-Services > Mailing list > Configurer" (ou depuis le bouton Configurer de votre formulaire mailing list) obligeant la personne à reconnaître avoir bien pris connaissance et à accepter vos conditions par un texte que vous aurez rédigé de manière claire, concise et positive (i.e. ne contenant aucune négation)
2. ajouter un texte à coté de votre formulaire d'abonnement (par exemple juste avant et/ou juste après) pour donner plus d'explications, inviter la personne à consulter votre politique de confidentialité, l'informer également de la procédure à suivre pour se désabonner et autres points importants liés selon les traitements que vous pouvez être amenés à faire.

Exemple de formulaire d'inscription conforme au RGPD :

Remarques:

• La présence d'une confirmation obligatoire par une case à cocher peut parfois pas être obligatoire dans un formulaire (un texte seul peut suffire) mais elle est généralement recommandée afin d'être sûr que la personne a bien lu et accepté vos conditions
• Le texte d'acception de vos conditions peut être allégé et déplacé avant (ou après) le votre formulaire (comme c'est le cas ici pour informer des possibilités de désabonnement) mais cela ne doit pas être au détriment de la clarté des informations essentielles de votre message et d'une manière générale il est préférable d'informer l'utilisateur juste avant le bouton de validation
• Un lien vers votre politique de confidentialité est fortement conseillé avec son ouverture en surimpression pour ne pas quitter la page courante. Pour cela vous pouvez utiliser le champ prédéfini %TW-PRIVACY%.

Si un ou plusieurs formulaires de votre site permet la récupération d'informations personnelles de personnes (comme par exemple leur nom, leur adresse, leur email, leur date de naissance, etc) alors vos formulaires devront demander le consentement explicite à ces personnes de l'utilisation que vous faites de leurs données. Ce consentement à votre politique de confidentialité ne doit pas être implicite (ne pas mettre une case à cocher activée par défaut par exemple ) ni formulé avec une négation mais exprimé de manière clair, sans ambiguïté sur sa finalité. L'utilisateur doit avoir connaissance de cela au niveau de vos formulaires, si possible avec un lien vers votre politique de confidentialité placé dans ou à proximité de votre formulaire (généralement à la fin, avant le bouton d'envoi du formulaire).

Création d'un nouveau formulaire

Que ce soit via l'assistant d'ajout d'un nouveau paragraphe formulaire ou via l'ajout d'un objet formulaire dans un paragraphe existant ou via l'assistant d'ajout d'une nouvelle rubrique contenant un formulaire, TOWeb ajoutera systématiquement par défaut un champ "confirmation" à la fin de vos nouveaux formulaires de manière à le rendre conforme à la réglementation (à condition que l'option "Site conforme au RGPD Européen" est activée). Selon le contenu de votre formulaire, votre activité et votre politique de confidentialité, vous pourrez ensuite le personnaliser.

Modification et mise en conformité d'un formulaire déjà existant

Si, dans votre site TOWeb, vous avez des formulaires déjà existants et souhaitez les rendre conforme au RGPD alors vous pouvez cliquer sur le bouton "consentement des données personnelles..." situé en dessous de la liste des champs de chaque formulaire. TOWeb vous indiquera le statut de votre conformité qu'il aura détecté et vous proposera une option pour le rendre conforme par l'ajout automatique d'un champ de type "Confirmation" que vous pourrez ensuite personnaliser (voir l'exemple d'un formulaire d'inscription). Vous pouvez également ajouter manuellement un ou plusieurs champs de type "confirmation" à votre formulaire via le bouton d'ajout de nouveau champ situé en dessous la liste des champs de votre formulaire.

TOWeb vous assiste et vous conseille mais c'est à vous qu'il revient de décider du statut de chaque formulaire de votre site. Par exemple si votre formulaire ne fait que collecter des informations anonymes (un sondage anonyme, une collecte de suggestions d'amélioration sur votre site de la part des internautes, etc) alors vous pourrez changer son statut en indiquant qu'il est conforme, même si TOWeb vous signale qu'il ne l'est "peut être pas". Et inversement TOWeb "peut" détecter votre formulaire comme semblant conforme au RGPD alors que vous savez qu'il ne l'est pas encore (par exemple parce que vous n'êtes pas satisfait de la formulation que vous avez rédigée ou parce que votre politique de confidentialité n'a pas été remise à jour par rapport à lui) et dans ce cas vous pourrez forcer son statut en "pas encore conforme". 
Le marquage du statut d'un formulaire comme étant conforme ou non est un simple indicateur pour vous aider dans votre tâche de mise en conformité; il n'a aucune conséquence au niveau de votre site web ni sa réelle conformité au RGPD qui repose sur la cohérence de votre politique de confidentialité, les informations personnelles collectées par tous vos formulaires et des différents règles de bonne conduite à respecter, notamment celles-là : 

1. Clarifier l’acte de consentement: aucune interprétation ne doit être possible. La formulation doit être positive (pas de négation).
2. Distinguer le consentement des conditions générales : le consentement ne peut pas être une condition préalable à l’inscription à un service
3. Recueillir le consentement par une action positive : L’opt-in est obligatoire. Une case pré-cochée (opt-out) n’est plus valide
4. Faciliter la rupture du consentement : il doit être « aussi facile » de donner son consentement que de le retirer selon le RGPD. Le droit à l’oubli doit être évoqué à proximité immédiate du formulaire.
5. Lorsque vous ajoutez un nouveau formulaire à votre site ou lorsque vous modifiez un de vos formulaires pour ajouter un ou plusieurs nouveaux champ, il est important de vous reposer systématiquement la question "est-ce que cette modification et ces nouvelles informations collectées nécessitent que je remette à jour la page de la politique de confidentialité de mon site ?"
6. Les données que vous collectez doivent être justifiées et le but de leur collecte clairement expliqué dans votre politique de confidentialité (ne pas demander par exemple une date de naissance si cette information ne fait pas sens par rapport au service ou à la demande liée à votre formulaire)

En indiquant le nom du champ prédéfini %TW-PRIVACY% dedans le texte d'un de vos paragraphes ou au niveau de libellés situés dans un formulaire, TOWeb le remplacera automatiquement par un lien vers la page de confidentialité de votre site (celle que vous avez définie au niveau de l'écran "Options > Securité & HTML").

Le texte utilisé par défaut pour ce lien peut être modifié et remplacé par celui que vous désirez au niveau de chaque langue de votre site depuis la fenêtre "Options > Langues > Traduire les textes prédéfinis".

Si votre champ %TW-PRIVACY% est placé au niveau d'un texte dans votre rubrique (un formulaire, un paragraphe, ...) alors le lien s'ouvrira en surimpression (l'utilisateur pourra donc lire votre politique sans quitte la rubrique courante). En revanche, si votre champ %TW-PRIVACY% est placé dans un texte du bas de page de votre thème (et donc commun à toutes les pages de votre site) ce lien s'ouvrira normalement (c'est à dire en pleine page).

Si votre site utilise des services tiers susceptibles de faire de la collecte d'informations personnelles de vos utilisateurs (comme par exemple Google Analytics ou via des scripts que vous avez pu ajouter à votre site) il vous faudra les mentionner dans votre page de consentement des cookies & données de vie privée et indiquer la manière de les désactiver si l'utilisateur ne souhaite pas ou plus consentir à ceux-ci lors de la navigation de votre site (comme par exemple effectuer une navigation en mode privé dans le navigateur, désactiver Javascript ou autre modification d'options ou plugins éventuels à installer dans son navigateur web).

D'une manière générale, si votre société fait appels à des scripts ou services partenaires par l'ajout de champs scripts pouvant utiliser des cookies ou réseau sociaux alors vous devrez également vous montrer transparent en les citant et en indiquant quels informations utilisateurs vous communiquez à ces tiers, dans quels buts, de quelle(s) manière(s) sécurisée(s), etc.

Si vous utilisez une version 9 ou supérieure de TOWeb vous pourrez personnaliser l'acception des différents cookies utilisés sur votre site (opt-in & opt-out).  

Si vous utilisez des scripts comme par exemple une gestion de comptes utilisateurs spécifique à vos besoins alors assurez-vous du bon respect au RGPD et notamment aux droits des utilisateurs de pouvoir exercer leur doit de suppression leurs données. Repassez également en revu tous les scripts que vous utilisez sur votre site (Options > Sécurité & HTML > Champs scripts) de manière à vous assurez qu'ils sont bien tous conformes et ne nécessite pas d'effectuer une remise à jour de votre politique de confidentialité.

Enfin évitez autant que possible certains services tiers "soit disant" gratuits comme notamment des compteurs web aux pratiques souvent douteuses, véritable porte ouverte aux trojans/malwares et autres pratiques de hacking dangereuses pouvant impacter non seulement votre serveur/espace web mais aussi tous les internautes visitant votre site web. 

Enfin, selon vos besoins, l'utilisation d'une bannière de consentement sur votre site ou d'une page d'introduction de votre site pourra également envisager dans ce cas là.