Dans cet article nous reprenons tout sur le RGPD Webflow, pour vous aider à mettre en conformité votre site e-commerce ou site vitrine aux normes Européennes.
1 - Webflow est-il un outil conforme au RGPD ?
OUI, Webflow est un outil nocode 100% conforme RGPD pour plusieurs raisons.
Tout d’abord, webflow a une politique de confidentialité dédiée à l'Union européenne ("UE"), au Royaume-Uni ("UK"), ainsi qu'à tout l'Espace économique européen ("EEE") et Suisse. Elle s'adresse à toute personne qui visite leur site internet et les autres sites web du domaine webflow.com, ou qui sont des clients utilisant leur outil SaaS, leur logiciel de conception web, ou tout autre outils et services connexes. Cette politique de confidentialité détaille comment Webflow recueille, utilise, divulgue et protège les informations des personnes concernées dans le cadre du service, conformément aux lois sur la protection des données en vigueur au Royaume-Uni, dans l'UE, dans l'EEE et en Suisse.
Dans ce document, vous retrouverez notamment à l’article 8, “les mesures prises pour respecter la réglementation dans le cas de transfert de données en dehors de l'Union Européenne” :
"nous appuyons sur les Clauses contractuelles types approuvées par la Commission européenne [...] pour tout transfert de données des États-Unis vers un pays situé en dehors [...] de l'UE [...] "
"Webflow a également certifié sa conformité au Cadre du bouclier de protection de la vie privée UE-États-Unis [...] concernant la collecte, l'utilisation, la divulgation et la conservation des renseignements personnels transférés du Royaume-Uni, de l'UE, de l'EEE et de la Suisse vers les États-Unis."
En cas de conflit entre les termes de la politique de confidentialité mondiale de Webflow et de la politique de confidentialité UE & Suisse, c'est la politique de confidentialité UE & Suisse prévaudra pour tout conflit lié aux personnes concernées du Royaume-Uni, de l'UE, de l'EEE ou de la Suisse.
2 - RGPD et données utilisateurs : les enjeux pour son site web
Qu’est-ce qu’un cookie ?
Les cookies sont de petits fichiers texte que les sites internet sauvegardent dans les fichiers de votre ordinateur lorsque vous visitez un site web. Ils contiennent des informations sur les préférences de navigation des utilisateurs. Ils sont nécessaires au bon fonctionnement des sites web et permettent d'avoir une expérience utilisateur agréable.
D’un point de vue technique, on distingue les cookies de session qui sont supprimés quand l'utilisateur ferme le navigateur des cookies persistants qui restent dans le disque dur de l'utilisateur jusqu'à leur date d'expiration.
Côté site web, les cookies vont par exemple permettre de mesurer l’audience du site internet, enregistrer des informations sur un panier e-commerce, des coordonnées, proposer des publicités ciblées ou encore géolocaliser un utilisateur pour afficher le site dans la langue de son pays.
Qu’est-ce que le RGPD
Depuis le 25 mai 2018, le RGPD pour Règlement Général sur la Protection des Données vient renforcer la Loi Informatique et Libertés de 1978 pour mieux encadrer la gestion de ces données. Tout organisme qui se trouve dans l’Union Européenne, strat-up, TPE, PME, associations, grands groupes, etc. est ainsi contraint de respecter ces nouvelles conditions de protection des données. Ce nouveau texte de loi améliore la transparence sur la gestion des données des utilisateurs et offre de véritables garantis sur l’utilisation des données personnelles par les entreprises.
Quelles données sont concernées par le RGPD ?
Que ce soit pour le e-commerce ou une simple présence en ligne, votre site internet récolte des données. Ces données varient en fonction de vos besoins, mais sont indispensables au bon fonctionnement de votre site web, pour vos campagnes marketing, pour recontacter vos visiteurs, pour proposer un suivi d’articles e-commerce, etc. Si l’on s’intéresse purement au texte, "toute information concernant une personne physique identifiée ou identifiable" est concernée par ce règlement. Par “identifiable” ont peut donc retrouver les données indirectes telles que les numéros de téléphones, adresses, mails, etc.
Un grand nombre de données sont récoltées sur un site internet et ce sont ces données personnelles qu’il va falloir traiter. Quelque soit le CMS utilisé, Webflow, Shopify, Wix, Wordpress, vous devrez mettre en place dans votre entreprise et sur votre site une politique de traitement et de protection des données de vos visiteurs et utilisateurs.
3 - Les règles à respecter pour avoir un site web conforme RGPD
Règle n°1 - Cookies
Les cookies et traceurs présents sur votre site Webflow doivent recueillir le consentement des utilisateurs et visiteurs de votre site internet. D’un point de vue RGPD on distingue deux types de cookies et traceurs sur un site web. Il y a tout d’abord les cookies ou traceurs par défaut, qui sont présent et obligatoires pour permettre le bon fonctionnement d’un site internet.
1 - Cookies soumis au consentement
- Cookies pour le retargeting publicitaire
- Cookies pour vos campagnes marketing. ex : votre newsletter
- Cookies liés aux réseaux sociaux. ex : bouton de partage vers vos pages
- etc.
2 - Cookies non soumis au consentement
- Cookies permettant d’enregistrer votre choix pour l’utilisation des cookies
- Traceurs liés à l’authentification après de certains services. ex : assurer la sécurité d’authentification, limiter les robots, etc.
- Traceurs pour enregistrer le contenu de votre panier sur un site e-commerce ou une plateforme web
- Traceurs pour limiter l’accès à certaines parties ou fonctionnalités du site. ex : accéder à un espace payant
- Cookies permettant de personnaliser l’interface indispensable au service proposé. ex : la langue du site
- etc.
Nouvelle réglementation 2024
Depuis mars 2024, la réglementation a évolué et les entreprises utilisant les solutions Google tels que Google Ads ou Google Analytics devront se conformer au nouveau Google Consent Mode V2 (CoMo 2). Il est à présent essentiel d'utiliser une solution de gestion des cookies conforme.
Guide sur le Google Consent Mode V2
Règle n°2 - Formulaires web
Chaque formulaire de collecte de données doit être encadré par certaines règles. L'objectif est de répondre aux principes d'information du visiteur, de transparence et de récolte du consentement.
Règle n°3 - Politique de confidentialité
Votre site doit fournir des informations complètes sur votre politique de recueil et de traitement des données dans votre politique de confidentialité ou dans une section dédiée des mentions légales.
Règle n°4 - Moyen de contact
Vous devez identifier une personne responsable de la gestion des données au sein de votre entreprise, et laisser un contact pour que vos utilisateurs puissent facilement exercer leurs droits.
4 - Les étapes pour mettre votre site Webflow aux normes RGPD
Etape 1 - Intégrer une bannière cookies Webflow
Les principes du RGPD reposent sur l’information, le recueil du consentement de vos utilisateurs, la protection de leurs données et la possibilité de faire valoir leurs droits (modification, suppression, récolte, etc.).
Le consentement doit être préalable au dépôt des cookies. Autrement dit, tant que votre visiteur n’a pas donné son accord pour le dépôt des cookies (non soumis au consentement), aucun traceur ne peut être déposé. De même, si votre site web utilise des traceurs de solutions tiers comme par exemple des cookies de réseaux sociaux via un bouton de partage, vous devrez aussi recueillir le consentement de vos visiteurs.
Pour recueillir le consentement de vos utilisateurs Webflow vous devez les interroger sur leurs préférences dès leur entrée sur votre site. Cela se fait soit par un bandeau RGPD, soit par un pop-up. Ce bandeau RGPD doit regrouper plusieurs éléments :
- Ensemble des cookies du site
- Finalité de chaque cookie
- Possibilité d’accepter ou refuser chaque cookie
- Un lien vers votre politique de confidentialité
Vous pouvez soit utiliser un outil de gestion de cookies comme Axeptio, soit créer votre propre bannière de cookie Webflow. Cette alternative à Axeptio est celle que nous vous recommandons pour plusieurs raisons :
- 100% gratuit
- 100% personnalisable
- 100% sécurisé
- Optimisé pour votre SEO
- Cookies illimité
- Enregistrement des données
⚠️ Assurez-vous que chaque outil que vous utilisez pour déposer des cookies est bien conforme aux RGPD. C’est par exemple le cas d’outils comme Google Analytics, Google Search Console, Hubspot, etc.
💡 A noter que le recueil de ce consentement doit être conservé comme preuve pendant au moins 6 mois. De plus le consentement donné par le client est enregistré pendant 13 mois maximum.
Etape 2 - Formulaires web aux normes RGPD
En plus de collecter des informations via des cookies et traceurs, les sites web disposent pour la plupart de formulaires web. Ces formulaires sont par exemple utilisés pour être contacté depuis le site, pour s’inscrire à une newsletter, pour postuler à un job, pour se créer un compte utilisateur, etc.
Tout comme pour les cookies, les règles du RGPD restent les même sur les notions d’information et de requête du consentement. Vous devrez donc respecter certaines règles pour que chacun de vos formulaires web soient RGPD compliant.
1 - Collecter des données obligatoires ou non obligatoires
D’une manière générale vous devez uniquement récolter les informations indispensables à l’objectif de la collecte de données. Dans le cas ou vous souhaitez avoir plus d’informations, vous devrez préciser lesquelles sont obligatoires ou non via un astérisque par exemple.
2 - Collecter des données depuis un champ libre
Dans un soucis de modération du contenu et des informations que vous récoltez, vous devez indiquer à l’utilisateur qu’aucune information sensible ne devra être envoyée.
3 - Modalités du traitement
Indiquez quels seront les modalités du traitement des données pour chacun des formulaires. Pour ne pas impacter l’UI de votre site nous vous recommandons de le résumer en une phrase et de renvoyer votre visiteur vers votre politique de confidentialité : “en savoir plus” “politiques de confidentialité”.
4 - Réaccueillir le consentement
Via une case à cocher en fin de formulaire, vous devez recueillir le consentement de l’utilisateur pour la récolte de ses données. Indiquez à coté de cette case les modalités du traitement.
Etape 3 - Rédigez vos mentions légale
Les mentions légales son indispensables pour la mise en conformité RGPD de votre site webflow. Elles permettent notamment d’identifier le propriétaire du site, le responsable de l’édition, l’hébergeur, et apporte des informations indispensables sur l’entreprise. Les mentions légales obligatoires dans un site web peuvent varier en fonction des secteurs d’activité. Voici les mentions légales obligatoires pour une société à activité commerciale :
1 - Identification
- Dénomination sociale ou raison sociale
- Adresse du siège social
- Numéro de téléphone et adresse de courrier électronique
- Forme juridique de la société (SA, SARL, SNC, SAS, etc.)
- Montant du capital social
- Nom du directeur ou du codirecteur de la publication et celui du responsable de la rédaction s'il en existe
- Nom, dénomination ou raison sociale et adresse et numéro de téléphone de l'hébergeur de son site
2 - Activité
- Numéro d'inscription au registre du commerce et des sociétés
- Numéro individuel d'identification fiscale
- Conditions générales de vente (CGV) incluant le prix TTC en euros, les frais et date de livraison, les modalités de paiement, le service après vente, le droit de rétractation, la durée de l'offre, le coût de la communication à distance
3 - Mentions sur l'utilisation de cookies
Nous détaillerons cette partie à l’étape 4 - Rédigez votre politique de confidentialité.
4 - Mentions sur l'utilisation de données personnelles
Nous détaillerons cette partie à l’étape 4 - Rédigez votre politique de confidentialité.
Etape 4 - Rédigez votre politique de confidentialité
Chaque éditeur de site web est obligé de donner accès depuis son site à une politique de confidentialité, ou privacy policy, conforme au RGPD et aux règles de la CNIL. L’objectif est de donner un accès rapide, simple et transparent à l’ensemble de vos pratiques et finalités en terme d’utilisation des données personnelles. Cette partie peut soit s’intégrer à vos mentions légales, soit en être dissociée. Dans les deux cas, elle est nécessaire pour la mise en conformité RGPD de votre site nocode webflow.
1 - Accessibilité de la politique de confidentialité
Votre politique de confidentialité doit être accessible depuis votre site en un clic. Son contenu doit être compréhensible par tous, c’est à dire qu’il faut éviter les termes techniques ou juridiques, et être le plus concis possible.
2 - Champs obligatoires d’une politique de confidentialité
- Responsable de traitement des données : identifier le responsable de traitement des données que l’on appel DPO et indiquer ses coordonnées pour permettre à chaque personne de le contacter pour appliquer ses droits.
- Les destinataires : un outil tiers, un sous-traitant, un prestataire technique comme une agence web ou un hébergeur web, un responsable de traitement des données au sein de votre entreprise.
- Catégories de données : identifiez chaque type de données que vous allez recueillir et utiliser (mail, téléphone, nom, prénom, etc.)
- Finalité du recueil des données : vous devrez justifier le recueil de chaque données, par exemple expliquer que vous récoltez une adresse mail notamment pour pouvoir recontacter un utilisateur qui vous sollicite ou pour l’inscrire à votre newsletter.
- Le transfert international des données : les données seront-elles ou non transférées hors de l’Union Européenne
- La durée de conservation des données : 25 mois maximum pour la CNIL
- Les droits des utilisateurs concernées par ces données : possibilité d’accéder, de modifier, de supprimer, de s’opposer ou encore d’effacer toutes ses données.
- Moyen de contact : indiquer le moyen par lequel il est possible d’exercer ses droits sur ses données. Par exemple en adressant un mail, par voie postale, directement depuis le site, etc.
- Autorité de contrôle : vous devez faciliter l’accès à une autorité de contrôle tel que la CNIL en indiquant un contact ou faisant un renvoie vers le site.
Etape 4 - Ajoutez une politique de cookies
Pour compléter les informations contenues dans votre politique de confidentialité, vous pouvez ajouter une politique de cookies ou traceurs web. Cette politique permet d’informer les utilisateurs sur les cookies de votre site web :
- Le propriétaire du cookie : indiquer la solution tierce s’il y en a une
- Le nom du cookie : pour l’identifier de manière unique
- La finalité du cookie : ce qu’il permet de faire pour comprendre le but du dépôt
- La durée de conservation du cookie : les recommandations de la CNIL sont de 13 mois pour la durée de conservation d’’un cookie de mesure d’audience et de 25 mois maximum pour les informations collectées.
Etape 5 - Sécurisez les données
Comme nous l’avons vu, un des principes du RGPD est la sécurité des données personnelles de vos utilisateurs. Pour cela, plusieurs règles sont à respecter en matière de sécurité pour votre site web. Certaines règles sont propres aux plateformes web et sites e-commerce (voir 5 - les règles RGPD pour un site e-commerce ou une plateforme web), mais d’une manière générale, votre site doit utiliser un protocole https.
5 - Les règles RGPD pour un site Webflow e-commerce ou une plateforme web
Toutes les règles RGPD précédemment vues dans cet article s’appliquent aux plateformes e-commerce. Cependant, d’autres règles viennent en complément pour les sites e-commerce.
Règle n°1 - Création d’un compte client
Nous l’avons vu précédemment, votre politique de confidentialité doit être accessible en un clic depuis votre site web. On la retrouve en générale dans le footer des sites. Vous devrez également rendre cette politique de confidentialité accessible depuis l’espace de création de compte, et demander via une case à cocher, le consentement des utilisateurs.
Règle n°2 - Commande d’un article e-commerce
Pour un site e-commerce, vous devrez également donner accès à la politique de confidentialité au moment de la commande. De la même manière il faudra récolter le consentement de l’utilisateur pour valider la commande.
Règle n°3 - Avis clients
Même pour les avis clients, votre plateforme e-commerce devra récolter le consentement des utilisateurs concernant votre politique de confidentialité. La plus part des sites donnent un accès aux avis, seulement à leurs clients. Ces derniers ont au moment de l’achat accepté la politique de confidentialité.
Petite parenthèse 💡 c’est aussi moyen d’améliorer l’UX de votre site en identifiant les avis avec des noms, pseudos, ou encore photos.
Règle n° 4 - Conditions générales de vente
Tout comme pour la politique de confidentialité, les CGV doivent être facilement accessibles sur votre site e-commerce. Elles peuvent donc être présentent dans votre footer et regroupent l’ensemble des modalités et conditions de vente de vos produits. Les CGV doivent également se retrouver et être validées au moment de l’achat d’un produit ou service sur votre plateforme web.
Règle n°5 - Sécurité site e-commerce et plateforme web
En plus de disposer d’un protocole https, votre site devra proposer certaines sécurités propre au e-commerce et aux plateformes web.
- Imposer à vos clients un mot de passe “complexe” pour la création de leur compte.
- Ne pas conserver de données bancaires. Sur Webflow nous vous conseillons de gérer tout ça avec Stripe.
- Sécuriser les transaction bancaires. Même chose, directement géré par Stripe dans Webflow.
- Assurez-vous du niveau de sécurité de vos prestataires e-commerce.