RGPD : votre site est-il conforme avec la nouvelle réglementation européenne ?
Le RGPD ou Règlement Général sur la Protection des Données est une loi Européenne dont vous avez certainement entendu parler dernièrement. Dans cet article, nous allons vous expliquer tout ce que vous avez besoin de savoir à propos du RGPD et son impact sur votre site WordPress.
RGPD, Kezako ?
Le RGPD ou Règlement Général sur la Protection des Données est une loi de l’Union Européenne qui a pris effet le 25 mai 2018. Son but est de donner aux citoyens européens plus de contrôle sur leurs données personnelles et changer ainsi l’approche des sociétés vis-à-vis de la vie privée des internautes. C’est pourquoi vous avez peut-être reçu des douzaines d’e-mails provenant d’entreprises comme Google ou d’autres à propos de leur nouvelle politique en matière de vie privée. Notamment au vu des lourdes amendes en cas de non-respect de ces nouvelles directives. Pour faire simple, depuis le 25 mai 2018, les entreprises fautives peuvent se retrouver avec une amende équivalente à 4% du chiffre d’affaire annuel ou 20 millions d’euros. Assez pour faire paniquer les entreprises au quatre coins du globe !
Est-ce que le RGPD s’applique à mon entreprise ?
OUI ! Le RGPD s’applique à toutes les entreprises, qu’elles soient grandes ou petites, et ce, partout dans le monde. Si votre site web comprend des visiteurs venant de pays européens, alors cette loi s’applique à vous.
Mais rassurez-vous, alors que le RGPD menace de vous amender de sommes astronomiques, vous devrez d’abord recevoir un premier avertissement puis une réprimande, suivi d’une suspension du traitement des données, et si vous continuez à enfreindre la loi, c’est alors que l’amende tombera.
L’objectif est de protéger les consommateurs contre le traitement abusif de leurs données et les brèches dans la sécurité de ces mêmes informations.
Le côté “excessif” des contraventions est surtout fait pour faire peur aux grandes entreprises comme Facebook ou Google, et donc faire en sorte que cette loi soit prise au sérieux.
Enfin, dès que vous aurez compris ce qu’implique le RGPD, vous verrez que cette réglementation est plutôt la bienvenue dans la jungle du web.
Qu’est-ce qu’implique le RGPD ?
Le but principal du RGPD est de protéger les informations permettant d’identifier l’utilisateur (ou PII pour Personally Identifying Information), et que les entreprises soient transparentes quand il s’agit de collecter, stocker et utiliser ces informations. Ces PII comprennent notamment le nom, les adresses e-mail et postales ainsi que l’adresse IP, les informations sur la santé, le salaire ou encore le profil culturel et religieux, etc.
Bien que le RGPD fasse au moins 200 pages, vous trouverez ci-dessous les points les plus importants qu’il vous faut connaître :
Consentement explicite
Si vous récupérez des informations personnelles d’un résident européen, alors vous devez obtenir son consentement explicite afin de pouvoir les utiliser. En d’autres termes, vous ne pouvez pas envoyer d’emails non-sollicités à des personnes qui vous ont transmis leurs coordonnées si elles n’ont pas accepté de recevoir votre newsletter (par ailleurs, on appelle ça des SPAM et de toute façon vous devriez éviter).
Pour qu’un consentement soit considéré comme explicite, vous avez besoin d’une réponse positive (donc pas de checkbox pré-remplie), celle-ci doit être claire et précise et doit être séparé des autres termes et conditions.
Droits sur les données
Vous devez absolument informer vos utilisateurs de la manière dont ses informations personnelles sont utilisées et stockées. Un utilisateur a le droit de télécharger ses propres données mais il a également le droit d’être “oublié” en demandant à ce que ses données soient supprimées.
Notification de violation
Les organisations doivent signaler certains types de violations aux autorités compétentes dans un délai de 72 heures, à moins que l’infraction ne soit considérée comme sans danger et ne présente aucun risque pour les données individuelle. Toutefois, si une violation présente un risque élevé, la société se doit également d’informer immédiatement les personnes concernées.
Agents de protection des données
Si vous êtes une entreprise publique ou que vous traitez de grandes quantités d’informations personnelles, vous devez désigner un responsable de la protection des données (DPO). Encore une fois, ce n’est pas nécessaire pour les petites entreprises. Dans le doute, nous vous recommandons de consulter un avocat spécialisé.
Maintenant, vous vous demandez probablement ce que vous devez faire pour vous assurer que votre site soit compatible avec le RGPD. Cela va dépendre des fonctionnalités de votre site.
Commençons par répondre à la plus grande question des utilisateurs :
WordPress est-il conforme au RGPD ?
Oui ! A partir de la version 4.9.6, l’équipe de WordPress a ajouté plusieurs fonctionnalités pour s’assurer de la conformité avec le RGPD.
Cela dit, en raison de la nature dynamique des sites web, aucune plateforme, module ou solution ne peut offrir une totale conformité avec le RGPD. Le processus de conformité lui-même changera en fonction du type de site web que vous gérez, des données que vous stockez et de la manière dont vous les traitez.
Voyons de manière plus détaillée les outils fournis par WordPress 4.9.6 :
Commentaires
Par défaut, WordPress avait l’habitude de stocker les nom, email et site web de l’utilisateur dans un cookie sur le navigateur de l’utilisateur, ce qui facilitait grandement l’expérience de l’utilisateur puisque ces champs-là étaient déjà pré-remplis. Afin d’être conforme avec le RGPD, WordPress a ajouté une checkbox aux commentaires.
Export et suppression des données
WordPress offre aux gérants des sites la possibilité de se conformer à l’exigence de gestion des données voulue par le RGPD, et propose d’exporter mais également de supprimer les données personnelles des utilisateurs enregistrées sur le site web.
Génération d’une politique de confidentialité
WordPress possède maintenant un générateur de politique de confidentialité. Il offre un modèle de politique de confidentialité et vous aide pour différents termes que vous voudriez ajouter, afin que vous puissiez être plus transparent envers les utilisateurs et expliquer comment vous allez gérer leurs données personnelles.
Ces trois fonctionnalités apportent les bases afin qu’un site WordPress soit conforme avec le RGPD. Mais ce ne sera certainement pas suffisant si vous utilisez d’autres modules qui eux aussi devront être conformes.
Modules impactés par le RGPD
En tant que gérant d’un site web, vous utilisez probablement divers modules qui stockent et traitent les données comme les formulaires de contact, les statistiques de visites, la vente en ligne, etc.
Selon les modules WordPress que vous utilisez sur votre site web, vous devrez vous assurer que ces derniers sont bien conformes avec le RGPD.
Un grand nombre de modules WordPress populaires ont déjà été mis à jour afin d’être en conformité avec le RGPD. Pensez donc à bien effectuer les mises à jours des plugins WordPress.
Regardons maintenant certains modules que vous devriez mettre en conformité.
Google Analytics
Comme la plupart des propriétaires de sites web, vous utilisez probablement Google Analytics pour obtenir des statistiques sur les sites web. Cela signifie que vous pouvez collecter ou suivre des données personnelles telles que des adresses IP, des identifiants d’utilisateur, des cookies et d’autres données pour profiler le comportement des utilisateurs.
Pour être compatible avec le RDPG, vous devrez effectuer l’une des opérations suivantes :
- Rendre anonyme les données avant le stockage et le traitement
- Ajouter un bandeau au site qui notifie l’utilisation de cookies et qui demande aux utilisateurs leur consentement avant de les tracer.
Formulaires de contact
Si vous utilisez un formulaire de contact sur WordPress, vous devriez être plus transparent surtout si vous conservez les données de formulaire ou si vous utilisez ces données à des buts commerciaux.
Ci-dessous se trouvent certains points a prendre en compte afin de rendre vos formulaires de contact WordPress conformes au RGPD :
- Obtenir le consentement explicite des utilisateurs quant à la conservation de leurs données.
- Obtenir le consentement explicite des utilisateurs si vous comptez utiliser ces données dans un but mercantile (par exemple si vous comptez les ajouter à votre liste d’e-mails).
- Désactiver les cookies, les traceurs d’IP, etc. des formulaires.
- Avoir un accord de traitement de données avec vos fournisseurs de formulaires si vous utilisez des formulaires SaaS.
- Respecter les demandes de suppression de données.
Quoi qu’il en soit, le simple fait d’ajouter une checkbox de consentement avec une explication claire devrait être suffisant pour rendre votre formulaire WordPress conforme aux normes du RGPD.
Formulaires opt-in pour la publicité par email
Comme pour les formulaires de contact, si vous avez des formulaires opt-in pour l’envoi d’emails publicitaires, vous devez vous assurer que vous avez le consentement explicite de vos utilisateurs avant de pouvoir les ajouter à votre liste. Cela peut être fait de deux manières :
- Ajouter une checkbox que l’utilisateur aura à cocher avant la validation
- En demandant une confirmation par email.
Les solutions de génération de prospects telles que OptinMonster ont déjà ajouté des checkbox de consentement conformes au RGPD et d’autres fonctionnalités nécessaires pour vous aider à rendre vos formulaires d’acceptation par e-mail conformes.
WooCommerce / Ecommerce
Si vous utilisez WooCommerce, vous devez vous assurer que votre site est conforme au RGPD. L’équipe de WooCommerce a créé un guide complet pour les propriétaires de magasins en ligne pour les aider à se conformer à la loi.
Ciblage des annonces
Si votre site web utilise des pixels de ciblage ou des annonces ciblées, vous devrez obtenir le consentement de l’utilisateur. Vous pouvez le faire en utilisant un plugin comme Cookie Notice.
Conclusion
Comme nous l’avons vu dans cet article, malgré tout ce qu’implique le RGPD, il est intéressant de mettre son site en conformité afin de proposer plus de transparence vis à vis des internautes. Quoi qu’il en soit, si votre site web n’est pas entièrement conforme, ne vous inquiétez pas mais commencez à y réfléchir sérieusement. Si vous le souhaitez, sachez que nous proposons la mise en conformité RGPD de votre site WordPress donc n’hésitez pas à nous contacter pour en savoir plus à ce sujet.