enfr
Publications

RGPD et Cybersécurité comment mettre en conformité mon site web

Publié le 14 juin 2021

Outre l’état sanitaire que nous connaissons tous, l’année 2020 aura été marquée par une hausse de 46% du nombre d’heures passées devant les écrans que ce soit en télétravail, en recherches d’activités, visionnage de vidéos, créations de contenus ou bien encore en achat… à ce titre on recense une augmentation de 8,5% du secteur e-commerce, soit 112 milliards d’euros grâce à la digitalisation accélérée des entreprises.

Si pour le commerce c’est une aubaine, c’est également la foire aux sites créés rapidement, souvent dans la précipitation, parfois sans moyens et sans prendre mesure des risques cyber et des obligations légales engageant les éditeurs ou rédacteurs de publications.

Logique que 2020 soit aussi marquée par la hausse massive de la cybercriminalité. Il faut dire que leur activité est lucrative : elle a coûté 1 000 milliards de dollars à l’économie mondiale au cours de l’année 2020, ce chiffre pourrait être multiplié par 6 cette année.

L’ANSSI, (Agence Nationale de la sécurité des systèmes d’information), qui a publié ses chiffres, évoque une « explosion » de la cybercriminalité en hausse de 255% avec une accélération des attaques phishing à hauteur de…600% ! Dans ce contexte les entreprises et organisations touchées ont cherché tant bien que mal de l’aide et l’assistance du site cybermalveillance.gouv.fr.

La dualité de cette crise pour les entreprises, quelle que soit leur taille ETI, PME, TPE… consiste dans le fait qu’elles soient à la fois victime et responsable ; responsables notamment de ne pas avoir engagé la mise en conformité et la sécurisation de leur site internet.

C’est dans ce contexte que la CNIL dans sa publication du 4 février 2021 incite les « organismes privés et publics à auditer leurs sites web et applications mobiles » tout en rappelant que depuis la publication de ses lignes directrices modificatives et de la recommandation portant sur l’usage des cookies (17 septembre 2020), elle avait laissé 6 mois aux intéressés pour se mettre en conformité, soit jusqu’au 31 mars 2021.

Comment procéder ? Par quoi commencer ?

Le constat est rapide :

  • 90% des entreprises présentent des faiblesses informatiques en 2020,
  • Plus précisément, 77% des entreprises françaises contreviennent au RGPD (Règlement Général sur la Protection des Données) et 88 % d’entre elles n’ont mis aucun programme en place pour la conservation des données,
  • Enfin, l’Usine Digitale révèle selon une étude qu’en 2020, seuls 11,8% des CMP (Consent Management Plateforms) répondent aux exigences du RGPD et de la réglementation des cookies et 32,5% utilisent le consentement implicite.

Face à ces chiffres, se poser les bonnes questions sur l’état de son site web vis-à-vis de la réglementation est indispensable :

  • Le RGPD impose le principe de minimisation. Celui-ci prévoit que les données collectées par l’organisme soient adéquates, pertinentes et limitées à ce qui est nécessaires au regard des finalités pour lesquelles elles sont traitées. Dès lors, quels types de données sont collectées sur mon site ? Sont-elles pertinentes ?

  • Les principes de loyauté et de licéité imposent deux questionnements :
    * Mon traitement est-il licite au regard de l’article 6 du RGPD c’est-à-dire, ai-je le droit de réaliser ce traitement ? Est-il consenti ? Autorisé par la loi ? Un contrat ? Requis au regard de mon intérêt légitime?
    * D’autre part, ai-je suffisamment informé mes utilisateurs sur le traitement de données à caractère personnel qui les concernent ? Cette information est-elle aisément accessible et délivrée dans tes termes clairs et précis ?

  • Mon site est-il suffisamment sécurisé au regard, par exemple, des exigences de l’ANSSI afin que les données de mes utilisateurs soient suffisamment protégées ?

  • Ai-je bien informé mes utilisateurs sur leurs droits vis-à-vis de leurs données personnelles et ai-je mis en place une procédure effective leur permettant d’exercer ces droits ?

  • Les consentements requis pour certains traitements sont-ils éclairés ? Comment sont-ils conservés ?

Cette liste est loin d’être exhaustive et de premier abord découragent bon nombre de responsables de traitements. Nous le savons. C’est pourquoi nos consultants accompagnent les organismes privés et publics sur toutes les problématiques liées à la mise en conformité de leur site web et leur sécurisation.

Au-delà de la conformité, un label.

Notre réflexion a été cependant bien plus loin puisqu’au-delà d’une mise en conformité légale et élémentaire, il est nécessaire désormais aux organismes de redorer leur blason auprès de leurs utilisateurs.

La légitimité et la crédibilité des sites web doivent être restaurées et pour ce faire, nous avons élaborer un label conformité RGPD et sécurité web pour pallier ce sentiment d’insécurité sur la donnée personnelle.

Grâce à une matrice complète et détaillée construite par nos experts en protection de la donnée personnelle, qui repose sur plusieurs points de contrôle, nous allons établir le degré de conformité de votre site web.

Notre audit s’appuie sur les référentiels classiques tels que les lignes directrices des cookies, les recommandations pour la sécurisation des sites web de l’ANSSI, le référentiel général de sécurité, le guide cybersécurité…

Celui-ci débouchera sur des préconisations opérationnelles qui, si elles sont suivies ou même réalisées à la suite par nos experts, vous permettront d’obtenir le Label RGPD de DPO Consulting à apposer sur votre site avec l’objectif pour vous de :

  • Renforcer la confiance en valorisant une image sérieuse et responsable de votre entreprise
  • Améliorer l’efficacité commerciale basées sur des données exactes,
  • Mieux piloter votre activité et valoriser les données prospects et clients en se posant les bonnes questions sur son activité et ses processus
  • Améliorer la sécurité des données et protéger le patrimoine informationnel de votre entreprise
  • Rassurer vos clients et donneurs d’ordre en présentant un avantage concurrentiel
  • Développer votre activité en créant de nouveaux services (par exemple avec la portabilité des données ou la personnalisation).

– Stéphanie Broggini

Vous souhaitez en savoir plus ?

Vous souhaitez vous démarquer et en apprendre plus ? 
Nous vous donnons rendez-vous le 17 juin 2021 de 10h à 11h sur notre webinaire.

Le site internet est un élément clé de la transformation numérique des entreprises. Le contexte sanitaire actuel leur impose de disposer, plus que jamais, d’une interface digitale permettant à ses clients de se renseigner et d’interagir avec elle.

Toutefois, le site web est également une nouveau point vulnérable pour les entreprises, qui font face à un nombre toujours croissant de cyberattaques (en 2020, 90% des organisations françaises ont été visées par une cyberattaque !)

De plus la mise en place et la gestion quotidienne d’un site web ne peut se faire que dans le respect de la règlementation applicable et en tenant compte des catégories de données qui vont y transiter.

DPO Consulting vous accompagne désormais aussi à la sécurisation et la mise en conformité de votre site internet, avec la création de son tout nouveau label !

S'inscrire