Le 25 mai 2018, est entré en vigueur le nouveau règlement européen sur la protection des données personnelles (RGPD, Règlement Général sur la Protection des Données). Ce nouveau règlement contraint d’adapter les formulaires de vos landing pages.
En effet, en soumettant vos formulaires, les internautes vous fournissent leurs données personnelles : prénom, nom, email, numéro de téléphone,… Chaque formulaire en ligne qui vise à collecter des leads sur vos landing pages nécessite d’être modifié pour devenir conforme aux exigences du RGPD.
En complément du RGPD, un règlement de la Commission Européenne, dédié au secteur du numérique, ePrivacy, aurait dû apporter des éclaircissements sur les bonnes pratiques à respecter dans notre domaine. La version définitive n’est toujours pas sortie en raison des divergences de points de vue entre les associations d’acteurs numériques et les différents pays. Plusieurs fois reporté, il y a de fortes chances que le règlement ePrivacy ne soit pas disponible avant quelques mois.
Et pourtant, vous devez préparer vos dispositifs en ligne pour qu’ils soient conformes au RGPD. C’est pourquoi, nous avons, à partir du texte du RGPD, déduit les implications concrètes à mettre en place sur les formulaires de vos landing pages.
Cet article vous fournit 4 grandes actions à mener sur les formulaires de vos landing pages :
- Recueillir le consentement de la personne
- Conserver la preuve du consentement
- Informer la personne concernée de ses droits
- Sécuriser le transfert des données personnelles
Recueillir le consentement de la personne
Article 6
Le traitement n’est licite que si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
Tout traitement de données personnelles nécessite que la personne concernée ait fourni son consentement à l’utilisation de celles-ci. Ainsi, la personne qui fournit ses données personnelles sur un formulaire en ligne doit exprimer son consentement.
Il vous revient alors de systématiquement recueillir pour chaque formulaire, qu’il s’agisse d’un formulaire de contact, de téléchargement de livres blancs, de demande de devis, d’inscription à un évènement,… le consentement de l’internaute à l’utilisation des données personnelles qu’il transmet via le formulaire.
Article 4 Alinea 11
Est considéré comme « consentement » de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Le consentement nécessite un acte positif clair de l’internaute. Remplir et soumettre un formulaire ne suffit pas, cela n’est pas considéré comme un consentement explicite.
C’est pourquoi tous vos formulaires en ligne qui recueillent des données personnelles doivent comporter une case à cocher : lorsqu’elle est cochée et que le formulaire est soumis, la personne donne son consentement.
Cette case à cocher doit être configurée comme un champ obligatoire. Si la case n’est pas cochée, le formulaire ne peut pas être soumis.
La case à cocher obligatoire sert de moyen de recueillir de la part de l’internaute la manifestation de sa volonté à accepter l’utilisation de ses données personnelles.
Ce consentement doit être libre, en conséquence, la case ne doit absolument pas être précochée par défaut, la pratique de l’opt-in passif est à abandonner.
Le consentement est spécifique, cela signifie qu’il doit être lié à une finalité précise et unique. Il sera sans doute nécessaire de multiplier les cases à cocher, afin que chacune d’entre elles permette de manifester son accord pour un traitement spécifique. Le libellé de chaque case à cocher doit éclairer l’internaute sur la finalité de l’utilisation de ses données.
Le consentement est éclairé, cela oblige à utiliser un langage clair, facilement compréhensible et sans tournure négative.
Voici quelques conseils pour rédiger votre appel au consentement :
Rappelez quelle action donne le consentement : En soumettant ce formulaire,
Rédigez les appels au consentement à la première personne du singulier : je
Utilisez le verbe Consentir ou Accepter ou Autoriser : accepte
Indiquez sur quoi repose le consentement : que les informations saisies dans ce formulaire
Rappelez ce que vous comptez faire de ces données : soient utilisées, exploitées, traitées
Spécifiez la finalité : pour permettre de me recontacter, pour m’envoyer la newsletter, dans le cadre de la relation commerciale qui découle de cette demande de devis.
La demande de consentement ainsi rédigée en des termes clairs et simples et avec toutes les informations nécessaires permet à la personne d’agir en connaissance de cause.
Le consentement est univoque, c’est-à-dire qu’il ne doit pas donner lieu à plusieurs interprétations. L’internaute doit comprendre correctement sur quoi porte son consentement. C’est pourquoi le système des cases à cocher obligatoires convient. Vous avez en effet l’assurance que l’internaute a à la fois renseigné les champs du formulaire avec ses données personnelles et coché la case à cocher manifestant son accord pour que ces données puissent être utilisées pour la finalité exprimée dans le libellé de la case à cocher.
Dans le cadre particulier d’un formulaire multi-étapes, la demande de consentement doit se faire à la dernière étape. Ainsi, l’internaute sait à quelles données il donne son consentement. Tant que l’internaute n’a pas donné son consentement, les données saisies sur les premières étapes ne peuvent être utilisées.
Article 5 Alinea 1 c)
Les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
De plus, selon le principe de minimisation des données, il vous appartient de ne demander que les données nécessaires pour la finalité du traitement des données. Si la finalité du traitement des données est d’envoyer votre actualité par email, il est difficile de justifier la présence d’un champ de formulaire qui demande un numéro de téléphone ; il vaut mieux le retirer.
Article 5 Alinea 1 b)
Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
Enfin, cela entraîne que si vous souhaitez utiliser des données pour autre finalité que celle pour laquelle vous les avez obtenues, vous devez à nouveau demander le consentement et spécifiquement pour ce nouveau traitement.
Si ces conditions ne sont pas respectées, le consentement n’est pas valide. S’il est valide, encore faut-il en conserver la preuve.
Conserver la preuve du consentement
Article 7 Alinea 1
le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
Vous avez l’obligation de démontrer que la personne a bien donné son consentement pour l’utilisation que vous faîtes de ses données personnelles. Cela revient à associer à chaque personne enregistrée dans vos bases de données le contenu de son consentement à l’utilisation de ses données personnelles.
Selon un document de la CNIL, « La preuve du consentement nécessite trois éléments : ce à quoi la personne a consenti, le moment où elle a consenti, qui a consenti. »
Si le consentement s’effectue par l’envoi d’un formulaire avec une case cochée, vous devez garder une trace de cet envoi, sa date et le contenu du consentement.
Voici un exemple d’un lead enregistré dans l’outil de création de landing pages GetLandy avec le consentement associé :
Il n’est en revanche pas possible de certifier qu’il s’agit bien la personne en question qui a soumis le formulaire et non une autre personne. Si la personne concernée est victime d’une usurpation d’identité, il lui reste la possibilité de retirer son consentement et de faire la demande de suppression de ses données personnelles.
Informer la personne de ses droits
Le RGPD exige qu’un certain nombre d’informations soient portées à la connaissance de la personne lorsque ses données à caractère personnel sont demandées.
Selon l’article 13, les informations essentielles que le visiteur devra y retrouver sont notamment :
- l’identité du Responsable de Traitement,
- les coordonnées du Délégué à la Protection des données,
- la finalité des traitements,
- les personnes pouvant y accéder,
- le type de données collectées,
- leur durée de conservation,
- l’existence du droit de demander l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci,
- la procédure pour exercer son droit d’accès, de rectification et d’effacement.
Ce qui paraît le plus important, c’est d’informer l’internaute sur les droits qu’il peut exercer sur ses données personnelles et la procédure pour retirer son consentement par la suite.
Article 7 Alinea 3
La personne concernée a le droit de retirer son consentement à tout moment. (…) La personne concernée en est informée avant de donner son consentement.
L’information selon laquelle la personne a le droit de retirer son consentement doit être donnée au moment du consentement, soit directement sur la landing page, soit, selon nous mais sans certitude, accessible via un lien vers la page où la politique de confidentialité est décrite.
Dans les deux cas, un message doit être présent à proximité du formulaire pour informer l’internaute de ses droits.
Voici, à droite, un exemple de formulaire complet avec la demande de consentement et un message qui indique que l’internaute peut à tout moment retirer son consentement et où il peut trouver la procédure pour le faire.
Article 7 Alinea 3
Il est aussi simple de retirer son consentement que de le donner.
Si le consentement a été donnée via un formulaire, la demande de retrait du consentement doit être réalisable aussi simplement via un formulaire.
Sécuriser le transfert des données personnelles
Article 5 Alinea 1 f)
Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée (…), y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).
Cet effort de protection des données personnelles portent en particulier sur le formulaire en ligne. Lorsque l’internaute saisit ses données personnelles dans le formulaire et le soumet, ces données transitent du navigateur vers la base de données de destination.
Lorsque les pages sont en mode sécurisé HTTPS, le protocole de sécurisation permet de chiffrer le contenu des échanges entre le navigateur et les serveurs de bases de données. Cela évite que les données personnelles saisies et envoyées via les formulaires soient facilement lues par des tiers lors de leur transit.
La CNIL indique comme précautions élémentaires de rendre l’utilisation des versions les plus récentes du protocole TLS obligatoire pour toutes les pages de formulaire sur lesquelles sont transmises des données à caractère personnel.
L’ensemble de vos formulaires en ligne doivent s’afficher sur des landing pages sécurisées en HTTPS.
Toutes ces mesures peuvent vous paraître contraignantes.
Chez GetLandy, nous pensons que ces contraintes sont utiles.
Dans une période où les internautes s’inquiètent de plus en plus de l’utilisation de leurs données personnelles, le moment est venu de restaurer un climat de confiance. Au-delà du strict respect de la loi, ces consignes vont, selon nous, contribuer à rassurer les internautes au moment de céder leurs données personnelles.
Mettez-vous à la place d’une personne qui n’a jamais entendu parler de votre entreprise. Au moment de remplir le formulaire, il y a toujours une crainte que ses données puissent être utilisées de façon inappropriée. Si les internautes trouvent au sein des formulaires une demande de consentement à utiliser leurs données personnelles et à proximité la procédure pour le retirer, cela va les rassurer et contribuer à démarrer une relation de confiance.
De toute manière, progressivement, les internautes vont s’attendre à trouver ces élements dans chacun des formulaires qu’ils seront amenés à remplir.
Mettez vos formulaires en conformité avec le RGPD, la performance de vos landing pages en bénéficiera.