Comment conformer son site WORDPRESS au RGPD?

par | Jan 27, 2019 | #site internet #seo | 0 commentaires

Aujourd’hui, il me semble essentiel de vous parler d’un sujet : le RGPD, ou GDPR (en anglais)

Si vous êtes marketeur ou chef d’entreprise, vous avez du entendre parler de cette nouvelle législation.

#1.C’est quoi le RGPD ?

Le Règlement Général pour la Protection des Données est une réglementation européenne qui a pris application,  le 25 mai dernier. Le but de cette réglementation est d’assurer à tout individu le contrôle et la protection des données à caractère personnel qu’il dissémine lors de ses navigations sur la toile.

#2.Qu’est-ce qu’une donnée à caractère personnel ?

Petit point définition : Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu :

  • On peut identifier directement un internaute grâce à son nom, son prénom, mais également son adresse email ou son numéro de téléphone, et tout type de donnée démographique (fonction professionnelle, sexe, âge…) ou géographique (localisation, lieu de travail…).
  • Comptent aussi, les informations purement numériques d’un internaute (adresse IP), ou ses data comportementales (actions menées sur un site web, comme les visites ou les clics). Même les données partagées de sa propre initiative, comme la mise en ligne d’une photo ou un like, comptent également dans cette définition.

Ça promet, hein ?

#3.Concrètement, qu’est-ce que la législation prévoit ?

Pour être très concret, le RGPD comporte trois volets importants, qu’il s’agit de prendre en compte :

1- L’amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel. Que ce soit via des formulaires, ou bien vis-à-vis des cookies, le visiteur doit être informé qu’il partage ses données, et savoir explicitement à quelles fins.

2- La traçabilité et la haute sécurité des données des utilisateurs. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.

3- Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.

#4.Qui est concerné ?

Si vous ……:

  • collectez des données d’un individu résidant dans l’un des 28 membres de l’UE,
  • traitez des données d’un individu résidant dans l’un des 28 membres de l’UE,
  • utilisez ou stockez ce type de données d’un individu résidant dans l’un des 28 membres de l’UE,,

Vous êtes pile dans la cible de cette législation (et potentiellement dans le viseur de la CNIL) !

(quels que soient le secteur d’activité ou la taille de votre structure)

À noter que le RGPD s’applique également aux données internes aux entreprises : celles que vous récoltez sur vos employés, dans des fichiers du personnel, par exemple.

Quelles sanctions risque-t-on ? Le RGPD vient renforcer le système de sanctions déjà mis en place. Et les amendes administratives détaillées dans la législation sont beaucoup plus dissuasives ! Il est prévu qu’elles pourront atteindre 2 % à 4 % du chiffre d’affaires de la personne ou entreprise concernée, et jusqu’à 20 millions d’euros pour les infractions les plus graves.

 

____________

Que devez-vous changer sur votre site WordPress ?

Allez, c’est parti : penchons-nous sur ce que vous allez devoir revoir sur votre site WordPress !

#1. Mettre à jour ses conditions d’utilisation et sa politique de confidentialité

Premier point essentiel du RGPD : la nécessité d’apposer, à même son site web, des mentions d’information claires et transparentes pour les utilisateurs.

Même si cela devait déjà être le cas avant l’arrivée du RGPD, il va quand même vous falloir plancher sérieusement sur deux éléments-clés : la politique de confidentialité de votre site, ainsi que ses conditions générales d’utilisation et de vente (si vous avez une boutique).

Votre page de politique de confidentialité, généralement située dans votre pied de page, doit désormais expliquer concrètement ce que vous faites avec ces données.

Faites-y donc apparaître :

  • Vos coordonnées, ainsi que l’éditeur du site, et son hébergeur.
  • Quel type de données vous récoltez lors de l’inscription ou de la commande sur votre site web : noms, prénoms, email, téléphone, adresse postale, adresse IP…
  • Pourquoi vous collectez ces données : communication par newsletters, facturation, suivi du comportement de l’utilisateur sur le site…
  • Combien de temps vous stockez ces données : vous pouvez garder les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
  • Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données. C’est ce qui nous intéressera dans l’étape 5 de cet article.

Dans la version 4.9.6 de WordPress, dont la sortie est prévue le 15 mai, vous pourrez créer votre page de Politique de Confidentialité directement depuis l’onglet « Réglages » de votre interface WordPress. Y seront proposés des paragraphes pré-rédigés, optimisés pour le RGPD : à vous de sélectionner ceux qui concernent votre site.

Votre page de Politique de Confidentialité doit aussi apparaître à chaque moment où vos utilisateurs partageront leurs données (typiquement, dans les formulaires de contact ou de téléchargement). Pour ce faire, rien de plus simple : il vous suffit de rajouter une case à cocher supplémentaire à votre formulaire.

Cette case, très commune sur la plupart des sites, demande à l’utilisateur de confirmer “J’ai lu et accepte la politique de confidentialité de ce site” (en incluant un lien URL vers votre page dédiée).

À chaque fois que vous ajouterez une case à cocher quelque part, celle-ci ne devra pas être pré-cochée !

 

#2. Revoir tous les formulaires de son site WordPress

Il s’agit en effet d’un point de contact-clé entre vous et vos visiteurs, où ils partagent avec vous leurs données à caractère personnel.

Nombreux sont les sites qui mettent en place des formulaires, notamment pour proposer l’inscription à une newsletter ou le téléchargement de documents. Or, à ce point de contact, vos utilisateurs vous partagent des données personnelles : email, prénom, nom a minima.

Que vous déléguiez cette tâche à un plugin, ou que vous ayez construit vos formulaires vous-même, il vous faut en tous cas vérifier que vous pouvez :

  • Rajouter une case à cocher indiquant que l’utilisateur consent à partager ses données (“J’autorise l’entreprise X à enregistrer mes données”)
  • Spécifier la raison de la récolte des données (“Entrez votre adresse email pour recevoir notre newsletter”)
  • Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment
Exemple de case à cocher :
“En cliquant sur le bouton ci-dessus, tu acceptes que les informations recueillies sur ce formulaire soient enregistrées dans un fichier informatisé par “votre nom” et de recevoir des messages de contenu gratuit et commerciaux.
Elles seront conservées pour 10 ans maximum et seront destinées exclusivement pour l’entreprise “xxxxxx”, le site www.xxxxx.fr et ne seront jamais diffusées.
Conformément à la loi « informatique et libertés » RGPD, tu peux exercer ton droit d’accès aux données te concernant et les faire rectifier ou supprimer en contactant : xxxxx@xxxx.xxxx”

Voici un bien / pas bien de la future apparence de vos formulaires (si vous avez une newsletter qui peut proposer des offres commerciales) :

 

Pour les formulaires de contact, la problématique semble assez similaire. Que vous ayez choisi d’utiliser Contact Form 7, ou autre plugin de formulaires de contact, vous devez y rajouter une case de consentement à cocher.

Placez-la en-dessous ou à côté du bouton “Envoyer”, pour éviter toute méprise, avec une ligne de texte type “En cochant cette case, j’accepte la Politique de confidentialité de ce site”.

#3. Mettre en conformité les commentaires de WordPress

Deux possibilités s’offrent à vous pour être sûr de récolter le consentement de ceux qui souhaitent s’y exprimer.

3.1 N’autoriser la publication de commentaires que lorsque l’utilisateur est connecté à son compte

Dans ce cas, direction les Réglages de WordPress, onglet “Discussions”, où vous cochez alors la case “Un utilisateur doit être enregistré et connecté pour publier des commentaires”.

RGPD gestion des commentaires WordPress

Si la personne est enregistrée, elle a forcément accepté votre politique de confidentialité lors de la création de son compte. Donc inutile de lui redemander.

Dans la version 4.9.6 de WordPress, vous verrez apparaître une case supplémentaire à cocher dans l’espace de commentaires. Le visiteur souhaitant laisser son message pourra la cocher s’il donne son consentement à conserver ses données (nom, prénom, adresse email, site web) pour pré-remplir le formulaire de commentaire lors de ses prochaines connexions au site.

3.2 Ajouter un message-type de consentement “J’ai lu et accepte la politique de confidentialité de ce site” dans l’espace des commentaires.

On vous a trouvé un plugin tout prêt : WP Comment Policy Checkbox, qui rajoutera une case à cocher près du bouton “Envoyer”, et diffusera un message d’erreur si ce n’est pas fait.

Le plugin n’est pas traduit en Français, mais est assez simple à prendre en main (si vous utilisez Loco Translate, vous pourrez le traduire en un rien de temps).

#4. Faire un point sur ses extensions WordPress

Commencez par lister toutes vos extensions qui pourraient avoir un rapport avec :

  • La récolte du consentement et des données de vos utilisateurs : plugins de formulaires, de commentaires, de retargeting…
  • L’utilisation de vos données utilisateurs : plugins de personnalisation de contenus, de suivi du comportement des visiteurs, de newsletters, de marketing automatisé, …

Ensuite, cherchez sur les sites officiels de ces plugins ou dans leur documentation ce que font leurs développeurs pour s’aligner avec le RGPD.

Pour la plupart, étant donné que leur site sera en anglais, recherchez GDPR directement sur leur site ou faites une recherche Google de ce type : site:woocommerce.com GDPR

Bon nombre d’entre elles, parmi les plus utilisées, ont déjà lancé des mises à jour pour être réglo. Il vous faudra donc mettre celles-ci à jour dès que possible. Dans le cas où une extension n’est pas encore apte à respecter le RGPD, il est conseillé de trouver rapidement une alternative pour la remplacer.

#5. Mettre en place un processus de sécurité des données

Il vous faudra également vous assurer que vous garantissez efficacement la sécurité des données à caractère personnel de vos internautes.

Voici quelques éléments qu’il vous faudra donc prendre en compte :

  • Il est nécessaire de mettre en place des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la data, cryptage… Vos process internes doivent être clairs à ce sujet.
  • Il vous faudra informer la CNIL dans les 72 heures en cas de faille de sécurité. Dans certains cas, il vous faudra même informer l’utilisateur concerné, notamment si la faille est susceptible d’engendrer un risque élevé pour ses droits et libertés.

5.1 Créer un processus d’effacement ou de modification des données

Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez plus le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser, juste “au cas où”

Google Analytics vient d’ailleurs d’intégrer cela à sa solution, mais rassurez-vous l’historique des visites sera conservé.

Les données marketing, par exemple, peuvent être conservées 3 ans maximum après le dernier contact avec l’individu.

Vous devez mettre en place une procédure simple qui permette à vos utilisateurs de :

  • Retirer leur consentement
  • Accéder à leurs données
  • Les modifier
  • Demander à les effacer
  • Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)

Il est ainsi conseillé de créer une page spécifique dédiée à cette procédure sur votre site (en pied de page), contenant un formulaire de demande précis. 

Pensez donc à faire de même sur vos newsletters, mais aussi dans vos bandeaux de signalement de cookies, ou encore à vos bannières publicitaires si vous en avez…

Puis, à réception de chaque demande :

  • De retrait de consentement, il vous faudra supprimer ou modifier les données personnelles de l’internaute au plus vite et sur l’ensemble de vos lieux de stockage (y compris dans les fichiers de sauvegarde de votre site WordPress).
  • De portabilité des données, vous devrez exporter toutes les données que vous possédez dans un format lisible par une machine, afin que la personne puisse transmettre ses données à une autre entité sans avoir à les ressaisir. Le format n’étant pas défini, ni la structure, tout est à ce jour possible…

La version 4.9.6 de WordPress vous permettra de récupérer les fichiers contenant les données d’un utilisateur en particulier. Y apparaîtra un nouvel onglet dans le menu « Outils », nommé « Suppression des données personnelles ». Vous pourrez y rechercher un utilisateur via son adresse email, puis télécharger un fichier .zip contenant toutes ses données, ou bien tout simplement supprimer toutes ses données.

#6. Instaurer un registre interne de traitement des données

Si vous vous n’exploitez pas des données personnelles à grande échelle, félicitations : vous êtes dispensés de cette étape. Créateurs de petits sites e-commerce, de blogs à trafic moyen, ou de sites-vitrines récoltant 50 contacts par mois : pas besoin de vous en préoccuper.

#7. Le résumé en video ” Le RGPG pour les nuls”

Parce qu’il existe aussi des vidéos sur internet, où certains expliquent… sans jargon techniques ou juridique… je vous partage celle-ci.

https://www.youtube.com/watch?v=RjrLRdCvf5Y

Pfiouu ! y’a du boulot ! 

Un peu de lecture...

Seuil de CA pour valider les trimestres de retraite

Seuil de CA pour valider les trimestres de retraite

#1. Seuils de chiffre d’affaires pour valider les trimestres de retraite en auto-entrepreneur (2018-2019) Le SMIC horaire brut est la base du calcul pour la validation des trimestres de retraite auto entrepreneur : la valeur prise en compte est 150 fois la valeur du...

Comment créer son adresse email professionnel ?

Comment créer son adresse email professionnel ?

Pourquoi faut-il avoir une adresse pro digne de ce nom ? Comprendre l'intérêt d'en acquérir une et vous aider à créer une belle adresse email pro avec le nom de votre site internet en extension. Dans cet article, je vous explique tout cela et facilement ! Allez, c'est...

Outils pour travailler à distance

Outils pour travailler à distance

Avec ce qu’il se passe en France et dans le monde (épidémie de coronavirus), nous sommes beaucoup d'entre nous, à travailler de la maison. Du moins, pour ceux qui le peuvent. Dans cet article, je vous présente quelques outils/applications pour le télétravail. Des...