La sécurisation des sites internet

Véritable vitrine pour les entreprises, la sécurisation de votre site internet est primordiale. En effet, cela permet de le protéger contre de possibles intrusions, de protéger les données qui y transitent et ainsi renforcer la confiance des internautes. A ce titre, lorsque les utilisateurs se connectent à votre site internet, des traitements de données à caractère personnel ont lieu (Exemple : connexion à un espace client, inscription à une newsletter, formulaire de contact, etc.) Doivent donc être respectées les recommandations suivantes afin de sécuriser ces données.

Mise en œuvre des précautions élémentaires énoncées par la CNIL :

Il est important de mettre en œuvre le protocole TLS sur sur le site web concerné, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre. Il est d’ailleurs nécessaire de rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques.

Il est également nécessaire de limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées. Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports ;

En terme d’administration du site internet, il convient de limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées, en particulier, limiter l’utilisation des comptes administrateurs aux équipes en charge de l’informatique et ce, uniquement pour les actions d’administration qui le nécessitent. Pour finir, il est également nécessaire de limiter le nombre de composants mis en œuvre, en effectuer une veille et les mettre à jour.      

Gestion des cookies :

Il convient, dans un premier temps, d’ajouter un gestionnaire de consentement (anciennement bandeau d’information et de recueil du consentement le cas échéant) concernant les cookies utilisés sur le site et limiter la durée de validité d’un cookie avec recueil du consentement à 13 mois maximum.

Ce bandeau doit détailler les finalités pour lesquelles ces cookies sont déposés sur les appareils des utilisateurs. En effet, la seule présence d’informations générales telles que « Ce site utilise des cookies » ou « Des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposés » n’est pas suffisante.

A noter, s’agissant des modalités de recueil du consentement que l’utilisateur doit pouvoir accepter ou refuser les cookies avec le même degré de simplicité, tout en laissant la possibilité à l’internaute de détailler son consentement selon la finalité considérée, s’il le souhaite.

La CNIL a eu l’occasion de rappeler que l’intégration d’un bouton « Tout refuser » sur le même niveau et sur le même format que le bouton « Tout accepter » permet d’offrir un choix clair et simple pour l’internaute.

Il est également possible, par exemple, d’offrir explicitement à l’utilisateur la possibilité de refuser les traceurs en fermant le bandeau de cookies. En revanche, la seule présence d’un bouton « Paramétrer » en complément du bouton « Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD.

Par ailleurs, le simple fait pour l’internaute de continuer la navigation ne saurait être interprété comme un consentement valable au sens du RGPD. 

Il est conseillé d’utiliser des solutions autres que Google Analytics dont les données sont hébergées hors-UE et consultables par Google. A noter que certaines solutions de mesures d’audience ne nécessitent pas la collecte du consentement. Il est préférable de vous rapprocher de votre prestataire pour obtenir un accompagnement à ce sujet.

Dans un second temps et dans le cas où des tiers utiliseraient des cookies sur votre site (Facebook, Youtube etc.), le Conseil d’Etat et la CNIL considèrent que vous êtes dans l’obligation de :

  • vous assurer que les cookies utilisés sont conformes à la réglementation applicable et vérifier l’existence d’un mécanisme de recueil du consentement ;
  • dans le cas où ces derniers ne seraient pas conformes à la réglementation applicable : faire cesser l’utilisation des cookies.

Politique de confidentialité

La politique de confidentialité a pour but d’informer les utilisateurs du sort réservé à leurs données personnelles conformément aux articles 12 à 14 du RGPD, de savoir pourquoi le propriétaire du site internet collecte ses informations personnelles ; connaître les procédés appliqués à ces traitement de ses données ; s’assurer de la sécurité de leurs mais également faciliter l’exercice de leurs droits s’ils souhaitent les invoquer.

Cette politique de confidentialité permettant d’informer les utilisateurs doit notamment intégrer les éléments suivants :

  • L’identité et les coordonnées du propriétaire du site ou de l’application ;
  • L’identité et les coordonnées du responsable du traitement des données;
  • L’identité et les coordonnées du délégué à la protection des données, le cas échéant ;
  • Le but de la collecte des données à caractère personnel ;
  • Les bases légales qui permettent au propriétaire du site de collecter et de traiter ces données. Par exemple, la signature d’un contrat ou le consentement donné par la personne ;
  • Le caractère obligatoire ou facultatif de la collecte de données. Ainsi, un e-commerce doit forcément recueillir le nom, le prénom ou encore l’adresse postale de ces clients pour éditer la facture et livrer l’achat réalisé en ligne
  • Les différents types de personnes amenées à traiter ces données ;
  • Le délai de conversation des données ;
  • Les différents droits invocables par la personne concernée ;
  • Un ou plusieurs moyen de contacts en cas de recours par un utilisateur dit concerné (mail ; adresse postale) et le délai de réponse légal ;
  • Les droits de réclamations auprès de la CNIL.

En cas de collecte indirecte des données, la politique de confidentialité doit préciser la catégorie de données collectées et les sources utilisées pour le faire.

En complément de la politique de confidentialité, il convient d’intégrer une mention d’information dite « information de premier niveau » au bas des formulaire de contacts, de création d’espace client ou encore d’inscription à une newsletter par exemple. Cette information doit intégrer un lien de renvoi vers ladite politique de confidentialité pour une information plus détaillée.

Mentions légales

La loi n°20014-575 du 21 juin 2004 pour la confiance en l’économie numérique impose la publication de certaines informations obligatoires constituant ce qu’on appelle les mentions légales du site internet.

Les mentions légales d’un site internet permettent d’identifier en toute transparence le propriétaire du site et doivent contenir les mentions obligatoires suivantes :

  • l’identification du/des responsable(s) du site: les personnes qui naviguent sur un site internet doivent pouvoir identifier très facilement les personnes responsables du site : nom de l’entrepreneur ou la dénomination de la société ; adresse du siège social ; montant du capital social et la forme sociale, si le propriétaire du site est une société ; numéro de téléphone et l’adresse mail de l’entreprise ; nom du directeur et du codirecteur de la publication et celui du responsable de la rédaction s’il en existe ; nom, dénomination ou raison sociale et adresse et numéro de téléphone de l’hébergeur de son site.
  • l’activité du professionnel (références spécifiques selon le type d’activité) ;
  • l’utilisation des cookies : un bouton « en savoir plus » peut d’ailleurs renvoyer sur la page « Mentions légales » du site internet) ;
  • l’utilisation de données à caractère personnel (voir les éléments de la politique de confidentialité ci-dessus).

Mention annexe : Si vous utilisez du contenu de type images, vidéos, textes ne vous appartenant pas et afin de respecter la clause de propriété intellectuelle, il est nécessaire de mentionner à qui appartiennent ces ressources.

Les mentions légales tout autant que la politique de confidentialité sont obligatoires et doivent être accessibles facilement.

En conclusion, se conformer à la réglementation en matière de sécurisation des sites internet permet de se prémunir des risques cyber, qui sont de plus en plus présents sur la scène internationale.

Pour rappel, dans le cadre de l’une de ses thématiques prioritaires pour l’année 2021 « la cybersécurité du web français » toujours d’actualité en 2023, la Cnil, autorité de contrôlé chargée de protéger les données des utilisateurs, avait procédé à 15 mises en demeure à l’encontre de sites internet insuffisamment sécurisés des secteurs public et privé confondus. 

Dans ses recommandations, la Cnil recommande la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32 du RGPD).

Pour aller plus loin

– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) 

– Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)  

– Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »  

– Guide pratique RGPD – Sécurité des données personnelles – Fiche 9 

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie