Définition et contexte du RGPD :

Le Règlement Général de Protection de Données (RGPD) ou (GDPR) en anglais sera applicable le 25 mai 2018 dans toute l’Union Européenne.

A qui s’adresse le RGPD :

  • Toutes les entreprises
  • Les organisations possédant des données RH
  • Aux utilisateurs de votre site web !
  • Ces internautes sont placés au cœur du dispositif RGPD qui voient ainsi leurs droits sécurisés:
    • obligations d’information de la part des entreprise
    • restrictions en termes de recueil de consentement
    • droit à la portabilité des données
    • droit à l’effacement

Quels sont les objectif du RGPD :

  • Avoir des règles communes dans tous les pays de l’Union européenne sur la réglementation sur la protection des données.
  • Responsabiliser davantage les entreprises en développant l’auto-contrôle.
  • Renforcer le droit des personnes concernant :
    • l’accès
    • l’oubli
    • la portabilité…

1 – Le registre interne de traitement des données

En interne, vous devez disposer d’une documentation complète qui atteste que vous êtes en conformité avec le RGPD. Une cartographie des données pour montrer votre rigueur et votre bonne fois.

Vous pouvez vous inspirer du modèle de registre que la CNIL. Votre registre devra répondre à trois questions-phares au sujet de votre traitement des données :

  • QUI ? Listez les personnes en interne amenées à traiter des données et le cas échéant, vos sous-traitants en vous assurant qu’ils sont également dans une démarche de mise en conformité au RGPD et en prévoyant de réviser vos contrats.
  • QUOI ? Cartographier les traitements de données personnelles réalisées par votre structure (type de données collectées, finalités des traitements, preuve des consentements recueillis, informations portées à la connaissance des personnes concernées, etc.).
  • COMMENT ? Vérifier comment ces données sont traitées (transfert à l’étranger ou non, hébergement ou non, archivage ou suppression de données, etc.) et quelles mesures de sécurité sont mises en place en interne ;

Ce registre interne de traitement des données doit être perpétuellement tenu à jour.


2 – La page “politique de confidentialité”

Dans vos mentions légales, la politique de confidentialité souvent située dans le pied de page, doit expliquer concrètement ce que vous faites avec les données.

Voici ce qui doit apparaître :

  • Vos coordonnées,
  • L’éditeur du site,
  • L’hébergeur.

Quels types de données vous récoltez dans vos formulaires, que ce soit : de contact, d’inscription ou de commande sur votre site web :

  • noms
  • prénoms
  • email
  • téléphone,
  • adresse postale,
  • adresse IP…

Pourquoi vous collectez ces données : communication par newsletters, facturation, comportement et statistiques de fréquentation des internautes

Combien de temps vous stockez ces données : vous pouvez conserver les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.

Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données.

L’ensemble de ces éléments doivent apparaître dans une page intégrée à votre pied de page, mais aussi à chaque moment où vos utilisateurs partageront leurs données (typiquement, dans les formulaires).


3 – Obtenir un consentement explicite avec le bandeau des cookies :

Ces anciens message “En poursuivant votre navigation, vous acceptez…”. ne sont plus valable. L’internaute doit avoir la possibilité de refuser ou d’accepter la collecte de données avec des actions tels :

Tant que l’internaute n’à pas cliqué sur “J’accepte” ou à cliqué sur “Je refuse, Tous les services concernées doivent être désactivés. Exemples :

  • Google Analytics
  • Une intégration Facebook, Twitter, Instagram…
  • Une carte Google Map
  • ….

Les formulaires WordPress et le RGPD :

En rajouter une ou plusieurs case(s) à cocher supplémentaire dans vos formulaires. Par exemples :

  • Rajouter des cases à cocher indiquant que l’utilisateur consent à partager ses données “J’autorise l’entreprise X à enregistrer mes données” et/ou “J’ai lu et accepte la politique de confidentialité de ce site” (en incluant un lien URL vers le menu “Politique de confidentialité” dans vos mentions légales).
  • Spécifier la raison de la récolte des données (“Entrez votre adresse email pour recevoir notre newsletter”)
  • Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment

Attention, ces cases à cocher ne devront pas être pré-cochées !


Les commentaires de WordPress et le RGPD

Soit un utilisateur doit être enregistré et connecté pour publier des commentaires, soit vous ajouter un message de consentement “J’ai lu et accepte la politique de confidentialité de ce site”.

  • L’extension : WP Comment Policy Checkbox, qui rajoutera une case à cocher près du bouton “Envoyer”, et diffusera un message d’erreur si ce n’est pas fait. Cette extension n’étant pas traduite en Français, vous pouvez utilisez Loco Translate, pour la traduire facilement

La sécurisation et l’effacement des données

Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez plus le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser.

Vos utilisateurs sont en droit de retirer à tout moment leurs consentements d’une façon très simple pour :

  • Accéder à leurs données
  • Les modifier
  • Demander à les effacer
  • Demander à les transférer vers un tiers (“droit à la portabilité”)

Une page et une boîte email spécifique permettra de centraliser les demandes d’exercice du droit des personnes. Puis, à réception des demandes :

  • De retrait de consentement, il faudra supprimer ou modifier les données personnelles de l’utilisateur au plus vite et sur l’ensemble des lieux de stockage (y compris dans les sauvegardes de votre site WordPress).
  • De portabilité des données, vous devrez exporter toutes les données que vous possédez dans un format informatique (privilégier le format CSV).

LE RÉSUMÉ POUR METTRE CONCRÈTEMENT EN PRATIQUE LE RGPD SUR VOS SITES  INTERNET WORDPRESS :

1 – Les cookies :

Installer l’extensions WordPress Cookies notice. Un petit guide vidéo pour vous aider à le paramétrer

En savoir + : https://www.cnil.fr/fr/site-web-cookies-et-autres-traceurs


2 Les formulaires :

Pour chacun de vos formulaires (contact, inscription newsletter, ecommerce) ajouter la mention  « En utilisant ce formulaire, vous acceptez que nous stockions vos données sur ce site web »


3 La page : Politique de confidentialité

Cette page est obligatoire et doit préciser les éléments suivants :

  • L’existence (ou non) d’un Délégué à la Protection des données, chargé de piloter le dispositif de protection des données
  • La définition des processus de collecte, de traitement, de stockage, de transfert et de suppression des données
  • La création d’un processus de notification des violations de données
  • Le consentement explicite du client lors de la collecte de données
  • Le droit d’accès et de suppression des données personnelles

Tout comme pour les “mentions légales” des générateurs vont voir le jour. En voici un http://www.politiquedeconfidentialite.ca/questionnaire.php

4 Permettre l’accès et la suppression des données personnels

Avec l’extension https://fr.wordpress.org/plugins/gdpr-compliance 


Enfin sachez que la version WordPress 4.9.6 du 17/05/2018 contiendra 2 nouvelles fonctionnalités :

Réglages > Confidentialité 

Pour la création de votre page : Politique de confidentialité”

Outils > Export des données personnelles ou Outils > Suppression des données personnelles :

Pour l’export et la suppression des données personnelles de vos utilisateurs


D’autres extensions WordPress pour essayer d’être “bien” avec le RGPD

  1. All In One WP Security & Firewall pour la cybersécurité
  2. Force HTTPS LittleBizzy pour le cryptage des données
  3. Tarteaucitron.js pour la conformité avec les cookies (recommandé par la CNIL). L’alternative gratuite à ce module payant, c’est Cookiebot
  4. WP CONTROL pour la durée de conservation des données
  5. WP GDPR pour le droit de portage des données
  6. GDPR Compliance pour la consultation et la suppression des données personnelles
  7.  WP Comment Policy Checkbox pour les cases à cocher près du bouton “Envoyer”