Le RGPD est entré en vigueur depuis Mai 2018. Aujourd’hui encore, beaucoup de propriétaires de sites internets peuvent prendre peur à l’idée de ces 4 lettres. Cet article a pour but de vous aider en vous donnant des clés, des actions concrètes à mettre en place pour rendre votre site WordPress conforme au RGPD.
Mais avant toute chose, le RGPD, qu’est ce que c’est ?
Règlement général pour la protection des données personnelles
Le RGPD signifie « Règlement Général pour la Protection des Données personnelles » : on peut aussi entendre parler de GDPR pour les anglophones (General Data Protection Regulation).
Cette réglementation est entrée en vigueur le 25 mai 2018 au niveau européen : en effet, elle s’applique à tout site traitant des données personnelles de citoyens européens. Cela signifie qu’une société américaine traitant des données pour des personnes françaises doit également s’y conformer ! En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) est l’organisme qui veille à l’application du RGPD.
Cette règlementation vise à protéger toutes les données personnelles transmises au quotidien à de nombreux sites et applications mobiles. Cela concerne donc toutes les données permettant d’identifier une personne : nom, prénom, adresse email, téléphone, etc… Les données personnelles incluent également les données démographiques (âge, genre et localisation, entre autres) et comportementales (adresse IP, historique de navigation, etc…).
3 actions pour rendre votre site WordPress conforme au RGPD
1. Recueillir le consentement
Un des éléments clés du RGPD est qu’il impose aux entreprises plus de transparence. Les internautes doivent être informés de façon claire, des données récoltées et de leur traitement par n’importe quel site web.
Souvent, les premières données personnelles sont collectées dès l’arrivée sur un site, via des cookies (à savoir un mini fichier qui permet d’identifier de façon anonyme votre connexion, votre navigateur internet, etc…). Un message doit donc apparaître sur votre site pour que l’internaute autorise l’utilisation de cookies lors de sa session. Les cookies sont notamment utilisés par des services comme Google Analytics, pour collecter les statistiques de trafic.
De la même façon, si vous diffusez un formulaire de contact sur votre site, vous devez également demander à l’internaute son consentement pour le recueil de ses données et leur utilisation. Cela consiste en une case à cocher (et qui n’est pas cochée, par défaut !) où l’internaute stipule autoriser le traitement de ces données conformément à votre politique de confidentialité (avec un lien vers celle-ci).
En effet, avec le RGPD, vous devez vous assurer de diffuser une politique de confidentialité en libre accès sur votre site (généralement dans votre footer), ainsi que des mentions légales et des conditions générales de vente (dans le cas d’une boutique de ventes en ligne). Cette page doit résumer :
- vos coordonnées et celles du responsable de publication du site,
- l’hébergeur du site,
- l’ensemble des données récoltées et la raison pour lesquelles vous les collectez,
- la durée de conservation des données,
- comment les internautes peuvent accéder, modifier ou supprimer leurs données personnelles,
- votre procédure garantissant la sécurité des données.
Depuis 2018, WordPress vous propose par défaut une page de politique de confidentialité, pré-remplie selon les extensions dont dispose votre site. A vous de compléter les trous !
Une fois que vous avez mis en place le recueil du consentement pour les cookies et les formulaires, voilà l’étape 1 terminée, félicitations !
2. Respecter le droit d’accès aux données
Grâce au RGPD, les entreprises doivent être en capacité de fournir à tout moment l’ensemble des données personnelles qu’elles possèdent sur un internaute, à sa demande. L’internaute doit donc pouvoir demander leur modification ou même leur suppression, de façon simple. Si vous traitez peu de données, un simple formulaire de contact classique suffira alors.
En cas de demande, il vous faudra ensuite utiliser les menus « Exporter les données » et « Effacer les données » dans Outils sur votre back-office WordPress. Vous pourrez y saisir l’adresse mail concernée et récupérer et / ou effacer les données liées à cette adresse.
Il vous faudra également respecter les délais légaux en vigueur : c’est à dire, supprimer toute donnée inutilisée après 36 mois et re-demander le consentement pour les cookies tous les 13 mois.
3. Sécuriser les données
Ce règlement demande aux entreprises beaucoup plus de rigueur dans la sécurisation de leurs données. Leur responsabilité pourra notamment être engagée en cas de perte ou de vol de données. Ainsi, une entreprise doit mettre en place les processus techniques nécessaires pour garantir cette sécurité (cryptage des données, protocole HTTPS…). Elle doit également déclarer à la CNIL toute perte de données dans les 72 heures.
Vous devez être en mesure de prouver les actions mises en place pour la protection des données mais également de fournir un registre des traitements de ces données.
Ce registre doit résumer toutes les opérations réalisées sur les données, ainsi que les services et / ou sous-traitants concernés par ces opérations. L’objectif étant de prouver que chaque opération réalisée l’est bien en conformité au règlement. Pour créer votre registre, suivez le guide fourni par la CNIL.
Concernant votre site WordPress, pensez donc également à toutes vos extensions activées, pouvant avoir accès aux données personnelles de vos internautes (module de newsletter, etc…). Vous devez vous assurer que chaque extension utilisée est elle aussi conforme au RGPD. Si ce n’est pas le cas, essayez de trouver des alternatives…
Les amendes pour non-respect du RGPD peuvent aller jusqu’à 4% du chiffre d’affaires de l’entreprise. Il est indispensable donc se mettre en conformité totale avec le règlement. Globalement, il invite les entreprises à être plus raisonnable et responsable dans la collecte et le traitement des données personnelles. Ce qui est plutôt une bonne chose finalement !