Quel formulaire qui respecte le droit à l’information ?

Pour se conformer au Règlement général sur la protection des données (RGPD), ou GDPR, il existe des exigences auxquelles doivent répondre les formulaires de vos sites Web. En effet, lorsque les utilisateurs remplissent et soumettent vos formulaires, ils vous fournissent volontairement des informations de contact (nom, adresse e-mail, numéro de téléphone, etc.). Par conséquent, chaque formulaire en ligne doit être modifié afin qu’il réponde aux exigences du RGPD en matière de collecte de données personnelles.

Vous devez obtenir l’approbation de l’utilisateur en ligne

Selon l’article 6 du RGPD, « le traitement n’est licite que si la personne concernée a consenti au traitement de ses données personnelles pour une ou plusieurs finalités déterminées ». Par conséquent, tout traitement de données à caractère personnel doit avoir le consentement de la personne concernée, en l’occurrence l’utilisateur du site Web. Cette personne doit être en mesure de fournir son autorisation éclairée de manière directe et sans ambiguïté.

Tous les formulaires d’un site Web (contact, demande de devis, inscription à un événement, inscription à la newsletter, etc.) doivent avoir un moyen de recueillir automatiquement l’autorisation de l’utilisateur avant de traiter les informations personnelles soumises via lui.

L’article 4 alinéa 11 du RGPD définit le « consentement » comme « une manifestation de volonté, libre, spécifique, éclairée et non équivoque par laquelle la personne concernée accepte, par une déclaration ou par un acte à la fois informatif et manifeste » que ses données personnelles données seront traitées. Cette autorisation d’utilisation doit donc être exprimée explicitement par l’internaute concerné préalablement à toute collecte de données.

L’autorisation donnée aux internautes doit être documentée quelque part

Selon l’article 7 alinéa 1 du RGPD, le responsable du traitement est également tenu de conserver le consentement de l’utilisateur. Le responsable du traitement « est en mesure de démontrer que la personne concernée a consenti au traitement de ses données personnelles ». En substance, cela signifie lier la preuve d’accord de chaque visiteur du site Web à l’utilisation de ses données personnelles dans une base de données centrale. Selon la CNIL, « la preuve du consentement nécessite trois éléments : ce à quoi l’individu a consenti, quand il y a consenti et qui a donné son autorisation« .

Lorsque l’autorisation est établie par l’envoi d’un formulaire sensible à la casse, la partie consentante, l’e-mail de la partie consentante et la date à laquelle le consentement a été accordé doivent tous être conservés en permanence dans le dossier.

L’internaute doit être informé de ses protections légales

Le règlement général sur la protection des données (RGPD) exige également que les utilisateurs reçoivent des détails spécifiques sur la raison pour laquelle leurs informations personnelles sont demandées.

Vous devez fournir les informations suivantes aux visiteurs de votre site Web conformément à l’article 13 du RGPD.

  • Qui est responsable du traitement de vos informations personnelles
  • Où trouver les coordonnées du délégué à la protection des données
  • Finalités spécifiques pour lesquelles les données sont traitées, catégories de données personnelles collectées, personnes ayant accès à ces données et durée de conservation de ces données
  • Le droit de demander l’accès, la rectification ou la suppression définitive de ses données personnelles Le processus pour effectuer de telles demandes d’accès, de rectification et de suppression de ses données personnelles

La personne concernée a le droit de révoquer son autorisation à tout moment, comme indiqué à l’article 7, paragraphe 3 : « La personne concernée a le droit de révoquer son consentement à tout moment. » Cela doit être clairement indiqué à la personne concernée au moment du consentement. ‘(…) La personne concernée est pleinement informée de la situation avant de donner son approbation.

Il est essentiel que les transferts d’informations personnelles soient protégés

Il est exigé que « les données personnelles soient traitées de manière à fournir un niveau de sécurité approprié », comme indiqué à l’article 5, paragraphe 1f du RGPD. Les mesures de protection se concentraient principalement sur les formulaires en ligne.

En fait, chaque fois qu’un utilisateur en ligne remplit et soumet un formulaire avec des informations personnellement identifiables, les données sont envoyées à une base de données. Le contenu envoyé entre un navigateur et une base de données est souvent crypté à l’aide du protocole de sécurité HTTPS pour empêcher des tiers de le lire pendant le transit. Cependant, des précautions supplémentaires, telles que l’utilisation des versions les plus récentes du protocole TLS sur toutes les pages de formulaire où des informations personnellement identifiables sont soumises, sont recommandées par la CNIL. Quel que soit le cas, tout site Web doté d’un formulaire doit utiliser HTTPS pour la sécurité.

Suivre ces quatre principes directeurs vous assurera que vos formulaires sont conformes aux critères généraux du RGPD. Le délégué à la protection des données (DPO) ou « délégué à la protection des données » (DPD) de l’organisme doit également s’assurer que ces formulaires sont mis à jour pour refléter toute évolution du RGPD ou toute nouvelle norme de sécurité des transmissions de données.