Le Règlement Général pour la Protection des Données est une législation européenne en vigueur depuis bientôt trois ans. Beaucoup plus connue sous son sigle RGPD, cette législation, bien connue des développeurs web, leur donne souvent du fil à retordre.
En effet, il est obligatoire pour toute personne possédant un site web vitrine ou e-commerce (peu importe le CMS – Système de Gestion de Contenu) de se mettre en conformité avec cette législation.
Si vous n’avez encore jamais entendu parler du RGPD, pas de soucis.
Voici tout ce que vous devez savoir pour mettre votre site WordPress en conformité avec cette loi.
Le RGPD, qu’est-ce que c’est concrètement ?
Le Règlement Général pour la Protection des Données est une loi votée au Parlement européen en 2016 en lien avec la Loi Informatique et Libertés.
En vigueur depuis le 25 mai 2018, cette législation s’impose désormais à tout le monde, mais surtout aux professionnels de la création de site web.
Chaque pays prend donc toutes les dispositions pour que cette réglementation soit strictement respectée et les données correctement traitées.
La CNIL (Commission Nationale de l’Informatique et des Libertés) est la structure qui se charge de faire respecter les obligations du RGPD en France auprès des propriétaires de sites internet.
Le principal objectif de cette loi est de garantir à tout le monde la sécurisation ainsi que la protection des informations personnelles souvent laissées sur internet. Ainsi, les informations pouvant permettre de vous identifier facilement sont sécurisées.
Il s’agit par exemple de votre nom, votre âge, votre sexe, votre situation géographique, votre travail, votre identification IP, etc.
Vous vous demandez certainement par quel mécanisme le RGPD permet de protéger toutes ces données à caractère personnelles.
Sachez donc que pour atteindre son objectif cette réglementation prend en compte les trois principaux paramètres ci-dessus :
- La nécessité de l’approbation de l’utilisateur : tout site web voulant collecter des données personnelles d’un utilisateur doit pouvoir le lui faire savoir. Il faudra aussi préciser les objectifs de cette collecte de ses données
- La sécurisation et la traçabilité des données des internautes : à ce niveau le RGPD confère la protection et la sécurisation des données à l’entreprise qui les stocks. Cette entreprise, si elle utilise ces données sans autorisations s’expose donc à de lourdes sanctions.
- Rectification, modification ou suppression des données rendues possibles à l’utilisateur. Le RGPD s’applique donc à toute personne ou entreprise exploitant des informations personnelles des citoyens de l’Union européenne et ailleurs dans le monde. Les développeurs de sites web sont également concernés par cette loi, car ils utilisent certaines données de leurs clients pour effectuer leur travail. Ces développeurs s’exposent à des sanctions s’ils ne respectent pas les dispositions du RGPD.
Le site de la CNIL donne plus de détail sur ce que sont les données sensibles ici.
Sanctions liées au non-respect des dispositions du RGPD
La Règlementation Générale pour la Protection des Données à caractère personnel vient renforcer les dispositions pénales qui existaient déjà.
Toutefois, avant le RGPD, les sanctions étaient vraiment trop souples quant au mauvais traitement des données. Parfois, elles n’étaient même pas appliquées.
Désormais avec le RGPD, les sanctions sont beaucoup plus sérieuses et très dissuasives.
Concrètement, le non-respect du RGPD vous expose à une amende pouvant aller jusqu’à 4 % du chiffre d’affaires de l’entreprise ou de la personne dont les données ont été utilisées.
Par ailleurs, en fonction de la gravité de l’infraction les amendes peuvent grimper jusqu’à 20 millions d’euros.
Pour ne pas tomber sous le joug de ces sanctions sévères vous devez savoir comment mettre votre site internet WordPress en conformité (et même si nous ne parlons que de WordPress, car c’est notre métier, si vous avez un site développé sur Joomla, Jimdo, Drupal ou encore Shopify, vous devrez également respecter ce règlement européen).
Les dispositions à prendre lors de la conception de votre site WordPress
Pour être en conformité avec les dispositions du RGPD votre site web doit respecter certaines dispositions.
Avoir une bonne politique de confidentialité
C’est un point clé à prendre en compte. En effet, vous devez rassurer l’internaute sur le fait que ses données resteront confidentielles.
Au cas où l’utilisation de certaines données serait nécessaire, vous devez faire savoir à l’utilisateur l’objectif de l’exploitation de ses données.
Vous pouvez par exemple mettre sur votre page de politique de confidentialité certains éléments importants.
Précisez vos coordonnées, les raisons de la collecte des données (correspondance par newsletters par exemple), la durée de stockage des données, les dispositions sécuritaires prises pour garantir la protection des données.
Vous devez aussi mettre en exergue la façon dont l’utilisateur pourra procéder à la modification ou à la suppression de ses données collectées.
Prenez ensuite les dispositions nécessaires pour que votre politique de confidentialité soit visible dès que l’utilisateur partage ses données.
Réviser les formulaires de votre site WordPress
Les formulaires présents sur les pages web sont les plus touchés par le RGPD.
Ces formulaires sont en fait de petits contrats reliant les utilisateurs de votre site et vous.
Dans ces contrats l’utilisateur consent l’exploitation de certaines de ces données sous des conditions précises.
Ces formulaires doivent contenir la mention de transparence (précisant à qui incombe la responsabilité du traitement).
Ils doivent comporter aussi, les informations sur le processus par lequel l’internaute pourra modifier ces données. Il faudra aussi dire concrètement le but de la collecte de ces informations.
Dans les cas où les informations personnelles de l’utilisateur seraient destinées à être partagées à d’autres partenaires, il faut le notifier. Le transfert ne pourra donc se faire que si l’utilisateur donne son consentement dans le contrat. Il est aussi important de souligner qu’il faut savoir quelle information demander à vos utilisateurs.
Ne leur demandez pas de vous fournir des données sur leur âge ou leur sexe, s’ils doivent s’abonner à une boîte à lettres. Il serait donc souhaitable pour vous de faire une liste de toutes les données personnelles dont vous aurez besoin. Ceci facilitera la conception des formulaires.CONFORMITÉ RGPD
Produire un récapitulatif des extensions WordPress
Cette tache vous permet de savoir si vos extensions respectent les normes du RGPD.
Il faudra aussi faire une investigation personnelle à cet effet pour s’assurer que tout se passe bien.
Dans un premier temps, il faut faire la liste de toutes les extensions ayant un rapport avec certains points sensibles.
À savoir, l’obtention du consentement des internautes (formulaires, commentaires, plugins…), l’exploitation des données utilisateurs.
Ensuite, il faut consulter le site officiel des différents plugins afin de voir les dispositions prises par leurs développeurs pour être en conformité avec le RGPD.
Il faut noter que la majorité des plugins sont en anglais.
Dès lors, pour faciliter les recherches, tapez directement GDPR (l’équivalent anglais de RGPD) sur le site de ces plugins.
De manière générale, la plupart des plugins respectent les dispositions du RGPD et sont adaptés au responsive design (version mobile et tablette).
Cependant, dans les situations où une extension ne respecterait pas les dispositions du RGPD, il faut les substituer par une autre alternative.
Un exemple de plugins WordPress couramment utilisés :
- Google Analytics
- Hotjar
- Sendinblue, Mailchimp, Sarbacane
- …
Cependant, beaucoup de nos clients pour qui nous travaillons nous posent la question « cela va-t-il impacter le référencement naturel de mon site (SEO) sur les moteurs de recherche ? ».
La réponse est non, cela n’a aucun impacte à ce jour et votre positionnement sur Google et consort ne bougera pas.
Si vous ne vous en sortez pas, notre agence web pourra vous accompagner.
Installer un processus sophistiqué de sécurisation des données
Le premier responsable du traitement la protection des données personnelles des utilisateurs est bien entendu celui qui les collecte.
Vous devez donc pouvoir mettre en place l’arsenal nécessaire pour la sécurité ces données.
Ce faisant, il faudra également permettre aux propriétaires de ces données d’avoir connaissance de ce mécanisme de protection que vous mettrez en place sur votre site. Pour cela, concevez un process de suppression ou de modification des informations (impossible de détenir pour une durée indéterminée les informations de vos utilisateurs, sans quoi vous serez dans le cadre de la violation de données à caractère personnel).
De façon concrète, le RGPD vous permet de garder les données personnelles pour une durée de 3 ans maximum.
Après cela, vous devez les libérer.
Le RGPD dispose aussi que vous avez l’obligation de faire savoir à vos utilisateurs que vous voulez collecter leurs données avant de les récolter.
Vous devez aussi préciser à vos utilisateurs qu’ils ont le droit absolu de retirer leurs données à tout moment.
Par ailleurs, vous devez vous arranger pour que ce processus soit le plus facile possible pour les utilisateurs, car le RGPD vous y oblige.
Vous devez donc installer une procédure à travers laquelle les internautes pourront faire diverses opérations de manière simple.
À savoir : faire le retrait de leur consentement à partager leurs données, avoir accès à leurs données.
Cette procédure doit pouvoir aussi permettre à l’utilisateur de modifier le plus simplement possible ses données, de demander à les supprimer ou encore d’émettre le désire de vouloir les transférer à une autre personne.
Pour rendre la conception de cette procédure plus facile, vous pouvez prévoir une page spéciale réservée pour cela sur votre site. Cette page doit nécessairement contenir un formulaire de demande.
Prenez aussi l’habitude de vous mettre à la place de vos utilisateurs.
Ceci vous permettra de prévoir les raisons pour lesquelles ces derniers pourraient vouloir exercer leur droit de retrait ou de suppression.
C’est vrai que cela paraît fastidieux, surtout si vous avez un site ecommerce et beaucoup de trafic.
Cependant, il est important de le faire afin de réduire au maximum le nombre d’utilisateur voulant vous retirer leurs données.
De plus, si vous le faites, vous augmentez vos chances de concevoir un processus d’une simplicité sans pareil.
Si malgré tout vous recevez quand même de la part d’un utilisateur une demande d’effacement, respectez la décision de ce dernier.
Allez donc dans l’onglet outils puis cliquez sur « effacer les données de votre administration ».
Ensuite, vous aurez la possibilité de supprimer manuellement l’ensemble des informations que l’utilisateur vous aurait demandé d’effacer.
Dès que la suppression est faite, l’utilisateur reçoit aussitôt un mail de notification. Aujourd’hui, le que le processus de sécurisation des données est essentiel pour respecter la sécurité et la vie privée des utilisateurs.
La CNIL, Commission Nationale de l’Informatique et des Libertés est une autorité administrative indépendante agissant au nom de l’État sans être placé sous autorité d’un gouvernement.
Cette commission est chargée de veiller à la protection des données personnelles traitées (informatiquement ou non).
Les 6 bons réflexes à adopter selon la CNIL
1 – Ne collecter que les données vraiment nécessaires à l’atteinte de vos objectifs
Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial.
Le principe de finalité limite la manière dont vous pourrez utiliser ou réutiliser ces données dans le futur et évite la collecte de données « au cas où ».
Le principe de minimisation limite la collecte aux seules données strictement nécessaires à la réalisation de votre objectif.
2 – Être transparent
Les individus doivent conserver la maîtrise des données qui les concernent. Cela suppose qu’ils soient clairement informés de l’utilisation qui sera faite de leurs données dès leur collecte. Les données ne peuvent en aucun cas être collectées à leur insu.
Les personnes doivent également être informées de leurs droits et des modalités d’exercice de ces droits.
3 – Organisez et facilitez l’exercice des droits des personnes
Vous devez organiser des modalités permettant aux personnes d’exercer leurs droits et répondre dans les meilleurs délais à ces demandes de consultation ou d’accès, de rectification ou de suppression des données, voire d’opposition, sauf si le traitement répond à une obligation légale (par exemple, un administré ne peut s’opposer à figurer dans un fichier d’état civil).
Ces droits doivent pouvoir s’exercer par voie électronique à partir d’une adresse dédiée.
4 – Fixez une durée de conservation des données
Vous ne pouvez pas conserver les données indéfiniment.
Elles ne sont conservées en « base active », c’est-à-dire la gestion courante, que le temps strictement nécessaire à la réalisation de l’objectif poursuivi.
Elles doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.
5 – Sécurisez les données récoltez
Vous devez prendre toutes les mesures utiles pour garantir la sécurité des données : sécurité physique ou sécurité informatique, sécurisation des locaux, armoires et postes de travail, gestion stricte des habilitations et droits d’accès informatiques.
Cela consiste aussi à s’assurer que seuls les tiers autorisés par des textes ont accès aux données.
Ces mesures sont adaptées en fonction de la sensibilité des données ou des risques qui peuvent peser sur les personnes en cas d’incident de sécurité.
6 – Inscrivez la mise en conformité dans une démarche continue
La conformité n’est pas gravée dans le marbre et figée.
Elle dépend du bon respect au quotidien par les agents, à tous les niveaux, des principes et mesures mis en oeuvre.
Vérifiez régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.
Questions-réponses
Poursuivre de la navigation permet-elle de valider l’acceptation des cookies ?
Non.
Et même si beaucoup de sites indiquent que si l’utilisateur continue sa visite, cela vaudra son accord.
L’utilisateur doit donner son accord avant tout dépôt de traceurs sur son navigateur.
Le consentement de l’utilisateur doit se matérialiser par un acte positif clair.
L’utilisateur peut-il revenir sur sa décision de consentement ?
Oui.
Le visiteur de votre site web doit être en mesure de pouvoir revenir sur son consentement aux cookies à tout moment, et de manière accessible.
La CNIL recommande d’afficher un lien vers « gérer mes cookies » sur chaque page de son site.
Il est également acceptable, comme le fait notre site, de placer une icone dans un coin de l’écran.
Le bouton « Tout refuser » peut-il être différent du bouton « Tout accepter » ?
Non.
Tout du moins si vous utilisez le concept de « tout accepter ou tout refuser ».
Le bouton de refus doit être au même niveau, de la même taille et être aussi accessible que le bouton « accepter ».
L’internaute ne doit pas être influencé de quelque manière que ce soit.
La CNIL indique : ne pas chercher à tromper l’utilisateur ou à rendre plus complexe le fait de refuser les traceurs que d’y consentir.
Le bouton « Tout refuser » peut-il être différent du bouton « Tout accepter » ?
Non.
Tout du moins si vous utilisez le concept de « tout accepter ou tout refuser ».
Le bouton de refus doit être au même niveau, de la même taille et être aussi accessible que le bouton « accepter ».
L’internaute ne doit pas être influencé de quelque manière que ce soit.
