RGPD et Wordpress : le guide concret pour se mettre en conformité

Le RGPD est un acronyme qui depuis sa mise en place en 2018 ne cesse de tourmenter les développeurs de sites internet et les utilisateurs de données. Au cours de vos navigations, vous avez probablement dû le découvrir sous son appellation anglaise GDPR. Si vous êtes spécialisé dans la conception de plateformes Wordpress, vous devez impérativement en apprendre davantage sur cet acronyme. Qu’est-ce qu’il signifie ? Dans quel cadre est-il utilisé ? Comment l’employer pour la création de sites Wordpress ? Voilà autant de questions auxquelles vous obtiendrez des réponses grâce à la lecture de cet article.

Tour d’horizon sur le RGPD ou GDPR

Avant d’aborder le rapport entre le RGPD et Wordpress, il est important de comprendre ce dont il s’agit réellement. Qu’est-ce que le RGPD concrètement ?

Qu’est-ce que le RGPD ?

Le RGPD est un acronyme qui signifie Règlement Général pour la Protection des Données. Il s’agit d’une loi européenne qui a vu le jour le 25 mai 2018. Préalablement votée au parlement en 2016, cette réglementation a été appliquée sur le plan mondial. En France, l’organisme qui s’occupe de sa mise en place optimale et de son respect, c’est la Commission nationale de l’informatique et des libertés (CNIL).

La raison d’être de cette loi qui a eu pour effet de bousculer les pratiques des entreprises et des particuliers sur internet est simple. L’objectif de sa création est d’assurer la sécurité des personnes qui naviguent sur internet grâce à la protection des informations qu’ils laissent sur internet au cours de la navigation.

Les données à caractère personnel : qu’est-ce que c’est ?

Les données à caractère personnel sont des informations qui servent à mettre un nom sur un individu ou une entreprise. Par exemple, il est possible de déterminer l’identité d’un internaute en utilisant son nom, son prénom, son numéro de téléphone ou son adresse électronique. D’autres éléments tels que les données géographiques et les données démographiques sont également concernées.

En dehors de ces éléments, il y a des informations numériques que laissent les utilisateurs du web au cours de leurs différentes sessions. Il s’agit de leur adresse IP, de leurs actions sur la toile et des clics et des visites de sites. Les données à caractère personnelles concernent aussi les photos, les likes et les données que l’utilisateur publie de sa propre volonté.

Que dit la législation ?

Si vous n’avez jamais pris connaissance des implications du RGPD, vous devez savoir qu’il possède trois éléments importants que vous devez connaître. Premièrement, il y a le consentement de l’utilisateur. En effet, lorsqu’il se rend sur une plateforme, celle-ci a la possibilité d’exploiter ses données personnelles à diverses fins. Cependant, le site doit l’informer qu’il partage ses informations et lui expliquer à quoi elles serviront.

Deuxièmement, les données doivent être sécurisées pour éviter les situations désagréables. La législation est très stricte au sujet des failles de sécurité qui peuvent engendrer des fuites de données. Lorsque des données importantes sont divulguées, l’entreprise chargée de les réunir est tenue pour responsable. En tant que prestataire de service, vous devez vous assurer que les données soient protégées et en sécurité.

Troisièmement, vous devez donner le droit à l’internaute de recueillir ses propres données dès qu’il le souhaite. Il peut également réaliser d’autres actions telles que la suppression, la rectification et la modification de ses informations personnelles. Voilà autant d’éléments que vous devez prendre en considération pour concevoir et parfaire la gestion d’une plateforme internet.

Quelles sont les personnes concernées par le RGPD ?

Le RGPD touche les personnes physiques et morales qui manipulent les données à caractère personnel des internautes de l’Union européenne dans le cadre de leur activité professionnelle. Par conséquent, si vous réunissez, conservez ou exploitez les informations d’utilisateurs, vous êtes concerné par la législation. Quels que soient votre domaine d’activité et la taille de votre entreprise, vous êtes dans le viseur du CNIL. Vous devez donc vous montrer très prudent.

Ce que certaines personnes ignorent, c’est que le GDPR ou RGPD concerne aussi les informations internes aux structures. Autrement dit, lorsque vous collectez les informations relatives à vos employés, vous êtes concerné par le RGPD. Enfin, la législation s’applique à vous, peu importe le pays dans lequel vous exercez vos différentes activités. Cela se justifie par le fait que la protection des données se place du point de vue des internautes résidants dans les 28 pays de l’UE.

RGPD, agences Wordpress et développeurs : que faut-il savoir ?

Certains lecteurs se disent qu’ils ne sont pas concernés par le RGPD parce qu’ils traitent les données récoltées par leurs clients. Ce qu’ils doivent savoir, c’est que même en étant un sous-traitant, ils sont impliqués. En d’autres termes, si la manipulation que vous faites des informations à votre portée n’est pas conforme aux exigences du RGPD, vous risquez de subir des sanctions. D’ailleurs, il y a de nombreux clients qui mettent en avant les règles propres au RGPD pour choisir leurs prestataires de service. Par conséquent, si vous ne vous adaptez pas aux réalités actuelles, vous risquez de perdre vos clients et de faire faillite.

Par conséquent, vous devez rapidement maîtriser les différents éléments relatifs au GDPR afin d’obtenir des contrats avec de futurs clients. Lorsque vous souhaitez remporter des marchés, vous devez mentionner quelques informations essentielles dans vos contrats afin de convaincre le client. Parmi les éléments spécifiques en rapport avec l’exploitation des données, on peut par exemple mentionner :

• Les informations relatives à l’identité de votre DPO (Délégué à la Protection des Données) ;
• La technique utilisée pour obtenir, conserver et exploiter les informations ;
• Les méthodes pour la protection des données ;
• Les rapports avec les sous-traitants qui exploitent les données ;
• La méthode utilisée pour trouver les failles de sécurité.

Quelles sont les sanctions possibles en cas de non-respect de la réglementation ?

Avant l’application du GDPR, la loi française avait prévu des sanctions pénales applicables aux entreprises qui utiliseraient les données personnelles de manière frauduleuse. Cependant, dans la pratique, les sanctions n’étaient pas effectives et les amendes étaient presque négligeables.

Heureusement, le Règlement Général pour la Protection des Données est venu appuyer les sanctions existantes. D’ailleurs, les amendes administratives qu’il apporte sont assez convaincantes. En fonction de la gravité de l’infraction commise, les sanctions peuvent atteindre 2 ou 4% du chiffre d’affaires du particulier ou de l’établissement coupable. Dans d’autres cas, une amende de 20 millions d’euros est prévue.

WordPress et le Règlement Générale pour la Protection des Données

Lorsque vous créez le site de votre entreprise ou de votre commerce en ligne, vous devez impérativement éviter les situations qui mettront à mal vos activités. C’est la raison pour laquelle vous devez effectuer la mise en conformité de votre plateforme face aux nouvelles réglementations. Quels sont alors les éléments que vous devez prévoir pour votre site Wordpress ?

La mise en place d’une politique de confidentialité

La première règle incontournable, c’est d’inscrire les mentions d’informations précises et transparentes pour tous les internautes. En plus de travailler sur la politique de confidentialité de votre plateforme, vous devez agir sur les conditions générales de vente lorsque vous possédez un site e-commerce.

La page relative à la politique de confidentialité se trouve au pied de la page de votre site internet. Elle doit détailler l’utilisation que vous faites des données recueillies auprès des clients. Dans la politique de confidentialité, on doit retrouver certains éléments incontournables. Parmi ceux-ci, on peut par exemple citer :

• Les coordonnées de l’entreprise ou du propriétaire du site ;
• L’éditeur et l’hébergeur du site ;
• Le type de données récoltées en cas d’inscription ou de commande sur le site internet ;
• L’objectif de la collecte des informations (analyse du comportement de l’utilisateur, facturation de services, envoi d’offres par newsletters) ;
• La durée de stockage des données (3 ans pour le marketing et 6 ans pour la facturation des commandes) ;
• Les solutions de protection mises en place pour éviter la divulgation des informations personnelles recueillies.

Pour rappel, l’intégralité de ces éléments indispensables doit être disponible sur une page intégrée à votre pied de page. Avec ceux-ci, vous serez irréprochable.

La révision des formulaires du site Wordpress

Les éléments qui sont touchés par le GDPR sur internet, ce sont les formulaires. En effet, ce sont des pages qui servent de contact entre vous et l’internaute. Par le biais de celles-ci, les utilisateurs partagent des informations personnelles avec votre entreprise.

Sur votre site, vous mettez probablement des formulaires pour aider au téléchargement d’un document ou pour favoriser l’inscription à une newsletter. Avec ce point de contact, les clients partageront leurs données avec vous. Au nombre de celles-ci, il y a leur mail, leur nom et leur prénom. Sachez que les formulaires peuvent être créés par vous-même ou vous pouvez confier la tâche à un plug-in Wordpress. Quelle que soit l’option choisie, vous devez vérifier certains éléments incontournables. Parmi ceux-ci, on peut notamment citer :

• La possibilité d’ajouter une mention de transparence notifiant la personne responsable du traitement ;
• La possibilité de préciser le but de la collecte des informations ;
• La possibilité de présenter les droits de l’utilisateur (accès aux données, rectification et désabonnement) ;
• La possibilité de renvoyer l’utilisateur vers la politique de confidentialité.

Au cas où vous envisageriez de partager les informations avec quelques partenaires, vous devez nécessairement obtenir l’approbation des internautes. Pour ce faire, vous devez mettre dans le formulaire des cases à cocher relatives aux consentements dont vous avez besoin. En outre, vous ne pouvez pas demander à un client de vous fournir des informations qui ne concernent en rien le service qu’ils souhaitent obtenir. En leur offrant la possibilité de s’inscrire à votre newsletter, vous n’avez pas besoin de connaitre leur âge ou leur sexe.

Les extensions Wordpress

Ce que vous devez savoir, c’est que toutes les extensions Wordpress ne sont pas forcément compatibles avec le GDPR. Par conséquent, vous devez mener une petite enquête afin d’éviter les situations désagréables. Bien sûr, c’est une opération qui prendra du temps. Pour commencer, vous devez faire une liste des extensions liées à la récolte du consentement et des informations personnelles des internautes. Il s’agit ici des plug-ins de commentaires, des plug-ins de retargeting et des plug-ins de formulaires. Listez aussi les plug-ins relatifs à l’exploitation des informations. Au nombre de ceux-ci, on peut citer :

• Les plug-ins de marketing automatisé ;
• Les plug-ins de personnalisation de contenus ;
• Les plug-ins de suivi des habitudes de l’internaute ;
• Les plug-ins de newsletters…

La suite de votre processus sera d’aller sur les sites de ces extensions afin de découvrir les efforts de leurs développeurs afin de respecter le GDPR. Au cas où les plug-ins que vous souhaitez utiliser ne sont pas compatibles avec le Règlement Général pour la Protection des Données, vous devez les remplacer. C’est une étape difficile, mais nécessaire pour éviter les ennuis.

La mise en place d’un dispositif de sécurité des données implacable

Lorsque vous êtes responsable des données que vous détenez, vous devez nécessairement en prendre soin. Pour ce faire, vous devez les protéger contre les failles de sécurité et permettre aux personnes concernées d’y accéder. Pour ce faire, vous devez suivre quelques étapes.

La création d’un système d’effacement ou de rectification des informations

Les données ont une durée légale de conservation particulière avec le RGPD. Par conséquent, vous ne pouvez pas détenir des informations relatives à vos clients sans raison précise. Le Règlement Général pour la Protection des Données vous contraint donc à conserver dans votre base de données des contacts qui n’ouvrent pas vos mails pour une durée maximale de 36 mois. Elle vous oblige également à réafficher le bandeau d’acceptation des cookies après une durée de 13 mois.

Selon le GDPR, vous devez également mentionner aux utilisateurs qu’ils peuvent retirer leur consentement dès qu’ils le souhaitent. Cela doit se faire avant qu’il n’accepte de partager ses informations personnelles avec vous. Quel que soit le type de site que vous possédez, vous devez vous assurer que l’internaute soit en mesure de retirer son consentement, d’accéder à ses informations, de les modifier, de les effacer ou de les transférer.

Sur votre site internet, il vous suffit de créer une page spécifique qui servira à respecter cette procédure.

La préparation à une possible faille de sécurité

En tant que manipulateur des données, vous devez garantir leur sécurité afin de mettre en confiance l’internaute. Pour ce faire, il existe des éléments dont vous devez tenir compte. Vous devez recourir aux solutions et aux méthodes appropriées afin de vous assurer que les informations de vos utilisateurs sont en sécurité. La pseudonymisation et le chiffrement des données sont des options que vous pouvez envisager.

Par ailleurs, vous devez mettre au courant la CNIL de l’existence d’une faille de sécurité dans un délai maximum de 72 heures. En fonction de la situation, vous devez nécessairement informer l’individu auquel les données appartiennent. Cela est nécessaire surtout lorsque la faille de sécurité peut mettre en danger ses droits et ses libertés.

L’instauration d’un registre interne de traitement des données

Avant la mise en pratique des règles du RGPD, les entreprises qui exploitent les données personnelles d’internautes devaient le signaler. Pour ce faire, elles utilisaient un système d’autorisation ou de déclaration. Heureusement, avec l’arrivée du GDPR, ce n’est plus une procédure importante. À la place, les entreprises doivent disposer d’un registre de traitement des données. Quelle est son utilité ?

Utilité du registre de traitement des données

L’objectif de ce document, c’est de mettre en place au sein de votre structure une documentation qui prouve que vous respectez les réglementations relatives à la protection des données personnelles. En d’autres termes, c’est une idée pour montrer que vous êtes complètement en règle.

La création du registre de traitement des données

Si vous êtes le responsable de l’exploitation des informations de votre entreprise, vous avez la possibilité de créer le registre de traitement des données. À cet effet, vous pouvez faire usage du modèle proposé par la CNIL. Quoi qu’il en soit, votre document doit apporter la réponse à trois principales questions relatives à la gestion des données des utilisateurs. Parmi celles-ci, il y a le « Qui », le « Quoi » et le « Comment ».

Avec le « Qui », l’idée est de faire une liste des personnes en interne qui seront amenées à exploiter les données. Le cas échéant, vous devez mentionner les sous-traitants qui peuvent traiter les informations et vous assurer qu’ils respectent les règles relatives au RGPD.

En répondant au « Quoi », vous devez détailler le traitement des informations effectuées par votre établissement. L’idée ici est de parler de la finalité des traitements, d’apporter la preuve des consentements et de mentionner le type de données recueillies.

Quant au « Comment », il concerne la manière dont les données sont traitées et les mesures de sécurité choisies en interne.

N’oubliez pas de terminer le registre à jour pour le présenter en cas de besoin. C’est un indispensable pour être en conformité. Au cas où vous posséderiez une boutique en ligne, il existe des éléments que vous devez prendre en considération afin de garantir la sécurité des données des utilisateurs.

RGPD et Wordpress : en résumé

En définitive, le Règlement Général pour la Protection des Données est très strict. Afin d’éviter les amendes et les lourdes sanctions, pensez à respecter ses recommandations au moment de créer votre site Wordpress. Si vous possédez déjà une entreprise, avez-vous mis à jour votre registre de traitement des données récemment ?