WordPress : mise en vigueur du RGPD

Les consommateurs se sont longtemps demandé ce que Google et Facebook savent à leur sujet, et qui d’autre peut accéder à leurs données personnelles. Mais les géants de l’Internet ont toujours eu du mal à donner des réponses claires à ces interrogations, même à des questions aussi simples que “Pourquoi me montre-t-on cette publicité ?”.
Cependant, le 25 mai, l’équilibre du pouvoir va balancer du côté des consommateurs, grâce à une loi européenne sur la vie privée qui restreint la façon dont les données personnelles sont collectées et traitées. La loi, appelée RGPD (Règlement Général sur la Protection des Données Personnelles), vise à garantir que les utilisateurs connaissent, comprennent et acceptent les données collectées à leur sujet.

Qu’est-ce que le RGPD

Le RGPD c’est la nouvelle loi sur la protection des données personnelles applicables depuis le 25 mai dernier. Cette loi s’applique à toute les personnes utilisant un site web, entreprise, blogueurs.

– Il facilite l’accès à la politique de confidentialité du site web
WordPress encourage les sites web à publier une page qui présente les informations liées à la politique de confidentialité (privacy policy). Cette page est obligatoire depuis le 25 mai 2018. Grâce à la nouvelle version de WordPress, vous pouvez facilement désigner votre page Data Privacy et l’ajouter tout aussi aisément sur toutes les pages de votre site (dans le footer par exemple).

– Il permet plus de souplesse pour laisser un commentaire
Ensuite, les internautes non-inscrits qui publient des commentaires sur votre site WordPress auront désormais le choix. Ils pourront décider (ou non) que leurs données (nom, email, website par défaut) soient enregistrées dans leur navigateur pour qu’ils puissent commenter plus facilement la prochaine fois.

– Il permet l’export et la suppression des données sur WordPress
Enfin, les utilisateurs peuvent désormais exporter leurs données personnelles et les supprimer facilement. Ils obtiennent un fichier zippé avec toutes les informations. Les administrateurs peuvent également effacer facilement les données personnelles des internautes qui le souhaitent.
Une action est exigée côté admin, lorsqu’un internaute voudra exporter ou supprimer ses données, les administrateurs recevront un email pour valider (ou non) la demande.

Quels changements apporte le RGPD ?

Dès l’entrée en vigueur du RGPD, les pages en petits caractères pour expliquer les conditions d’utilisation ne suffiront plus. Les utilisateurs ne seront pas non plus obligés de cliquer sur oui pour s’inscrire. Le RGPD force les entreprises à être claires et concises quant à la collecte et à l’utilisation des données personnelles telles que le nom complet, l’adresse personnelle, les données de localisation, l’adresse IP ou l’identifiant associé aux sites web et aux applications sur les smartphones. Les entreprises doivent expliquer pourquoi les données sont collectées et si elles seront utilisées pour créer des profils basés sur les actions et les habitudes des utilisateurs.
De plus, le RGPD donne le droit aux consommateurs d’accéder aux données stockées par les entreprises, le droit de corriger des informations inexactes et le droit de limiter les actions des algorithmes, entre autres.
La loi protège les individus dans les 28 pays membres de l’Union européenne, même si les données sont traitées ailleurs. Cela signifie que le RGPD s’applique aux éditeurs, aux banques, aux universités, 500 premières entreprises américaines, aux agences de pub sur le web et sur mobile, et bien sûr aux géants de la technologie de la Silicon Valley.

Quels types de données de confidentialité le RGPD protège-t-il ?

Les données concernées sont :
 Nom/prénom
 Adresse postale
 Adresse IP / données GPS (données de localisation)
 Numéro de téléphone
 Adresse email
 Numéro d’identification ou identifiants
 Cookies
 Les données sensibles : informations relatives à l’identité économique, physique, psychique ou génétique.
 Opinions politiques

La Commission Européenne précise à titre d’exemple, sur son site web qu’un service de partage de voitures peut demander le nom, l’adresse, le numéro de carte de crédit d’un utilisateur et, éventuellement, si la personne a un handicap, mais ne peut exiger qu’un utilisateur précise sa race. En effet dans le cadre du RGPD, des conditions plus strictes s’appliquent à la collecte de « données sensibles », telles que la race, la religion, l’appartenance politique et l’orientation sexuelle.

Quelles sanctions en cas de non-respect du RGPD ?

Les amendes pour non-conformité au RGPD sont très dissuasives. Elles peuvent atteindre 20 millions d’euros, ou 4% du chiffre d’affaires global d’une entreprise, le montant le plus élevé étant retenu. C’est l’amende maximale qui peut être imposée pour les violations les plus graves, par exemple, ne pas avoir le consentement clair du client avant de traiter ses données, ou violer les concepts fondamentaux du “Privacy by Design” du RGPD.

Cependant, il y a une approche progressive des amendes, par exemple, une entreprise peut être condamnée à une amende de 2% de son chiffre d’affaires pour ne pas avoir mis de l’ordre dans ses collectes de données, pour ne pas avoir informé l’autorité de surveillance et la personne concernée d’une violation, ou pour n’avoir pas procédé à une analyse d’impact.

RGPD : Quelles sont les obligations pour votre entreprise

1. Création et mise à jour d’un registre des activités de traitement des données

Vous devez mettre en place et actualiser un outil de pilotage de la protection des données. Cet outil doit servir à :
 Maîtriser, gérer et piloter votre stratégie de protection des données ;
 Gérer plus facilement les demandes des utilisateurs (consultation, consentement, modification, suppression de données) ;
 Spécifier les mesures de sécurité à mettre en œuvre en cas de faille ou de piratage des données.

2. Demande de consentement des utilisateurs et conservation de la preuve du consentement

Les utilisateurs sont propriétaires de leurs données et ont le droit de savoir la finalité du traitement de celles-ci. C’est pourquoi le RGPD veut apporter plus de transparence dans l’utilisation de ces données. Ainsi, les entreprises devront désormais obligatoirement demander aux utilisateurs leurs autorisations pour le traitement de leurs données personnelles.
Dès lors que votre entreprise initie un traitement des données personnelles de l’utilisateur, elle doit demander le consentement de celui-ci de manière loyale et explicite (opt-in).

3. Conception de produits/services conformes au respect de la vie privée (Privacy by design)

Avec l’entrée en vigueur du RGPD, chaque produit ou service commercialisé par votre entreprise doit prendre en compte les contraintes liées au respect de la vie privée, dès sa conception.
Le principe « Privacy by design » du RGPD contraint les entreprises à prendre les mesures appropriées pour protéger les données personnelles des utilisateurs dans la réalisation des nouveaux projets. Elles doivent aussi s’assurer que les produits/services proposés sont conformes à la Loi Informatiques et des libertés.

4. Alerter les autorités de contrôle en cas de violation des données à caractère personnel

En cas de faille du système ou de piratage informatique des données personnelles, votre entreprise a l’obligation d’alerter la CNIL (Commission Nationale de l’Informatique et des Libertés dans un délai de 72 heures).

5. Nommer un Délégué à la Protection des Données

La nomination d’un Délégué à la Protection des Données (DPO) est aussi un élément incontournable. C’est lui en effet qui sera en charge du respect des obligations du RGPD : responsable des analyses d’impact, point de contact avec les utilisateurs finaux et les autorités, etc. Plusieurs entreprises, notamment d’un même secteur d’activité, peuvent avoir un même DPO.

Comment préparer votre site web à l’arrivée du RGPD ?

1. Demander le consentement des utilisateurs

Pour être en conformité avec le nouveau règlement général sur la protection des données (RGPD), la première chose à faire au niveau de votre site web est de prendre les mesures nécessaires pour obtenir le consentement des utilisateurs avant de collecter et traiter leurs données personnelles.
La demande de consentement doit se faire au niveau de chaque service de votre site web qui collecte et traite des données comme : Newsletter, Adwords, Adsense, Google Analytics, Twitter, Facebook…
Pour la gestion des données sensibles, la CNIL recommande d’avoir recours au cryptage ou l’anonymisation des données ( ou pseudonymisation). Pour les mineurs de moins de 16 ans, le consentement d’un parent, ou du tuteur légal, est obligatoire.

2. Comment faire la demande de consentement ?

Vous pouvez faire la demande de consentement sur votre site web de manière globale ou segmentée.
 Demande de consentement globale : créer une page de demande de consentement globale permet de regrouper les cookies et la collecte de données. C’est le moyen le plus simple d’obtenir le consentement en une seule validation. Mais cette méthode a un inconvénient, car cumuler les demandes peut nuire à la lisibilité des informations. Cela peut créer de la confusion chez l’utilisateur et entrainer son refus.
 Demande de consentement segmentée : l’autre alternative à la demande de consentement globale est de segmenter les demandes de consentement par bloc pour chaque service de votre site.
Quelle que soit la méthode que vous choisissez, le consentement doit être obtenu par des formulaires clairs et explicites, avec des boutons d’action sans ambiguïté (« Accepter » et « Refuser »).

3. Preuve et durée du consentement

Si le RGPD stipule qu’il est obligatoire de conserver la preuve du consentement, il n’indique pas cependant la forme sous laquelle cette preuve doit être conservée. Le texte spécifie aussi que la durée du consentement n’a pas de limite de validité, tant que l’utilisateur ne demande pas de modification des conditions d’utilisation de ses données personnelles.

4. Les formulaires de votre site web

Pour chaque formulaire de votre site, il est obligatoire d’indiquer la durée de conservation des données et les finalités du traitement des données. Vous pouvez mettre ces informations au niveau des mentions légales, dans une section dédiée aux formulaires, mais il faut qu’elles soient facilement accessibles depuis les formulaires. Cela démontrera votre volonté de transparence.
Il est obligatoire d’indiquer la durée de conservation des données collectées via les formulaires. Une seule section suffit pour tous les formulaires, sauf si l’un des formulaires implique une durée de conservation des données différente ou une autre finalité du traitement des données.
En ce qui concerne les adresses mails collectées grâce au champ d’inscription à la newsletter, il n’y a pas de limite de durée de conservation tant que l’utilisateur ne fait pas de demande de suppression ou de désabonnement.

5. Extensions de CMS, plugins et autres services

Tous les plugins installés sur votre site WordPress, Prestashop, Magento… qui ne sont pas aux normes RGPD ne pourront plus être utilisés tant qu’ils n’auront pas été mis à jour. Il en est de même pour les services natifs des différents CMS, comme l’insertion d’une Twitter Card sur WordPress. Sans oublier d’autres services comme l’insertion de cartes Google Map, de vidéos Youtube ou de player Calameo, car ces services aussi peuvent collecter des données grâce au code inséré, sans consentement préalable.
La solution est d’utiliser un gestionnaire de tag pour exploiter ces services. Pour la gestion des demandes de consentement et des cookies sur votre site, la CNIL recommande le gestionnaire de tag Tarteaucitron.js.
&n>bsp;
Pour conclure, voici 3 modules gratuits ou de référence pour faciliter la conformité aux normes RGPD des sites web basés sur le CMS open source (outil qui permet la gestion d’un site web)
1/ All In One WP Security & Firewall, qui aide dans la conformité RGPD de la Cybersécurité
2/ WP CONTROL pour la conformité RGPD de la durée de conservation des données
3/ Piwik-Matomo pour la conformité RGPD de la mesure d’audience.

Formation RGPD – Le règlement

Le règlement nᵒ 2016/679, dit règlement général sur la protection des données (RGPD / GDPR), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Il introduit de nouveaux droits pour les individus et de nouvelles obligations pour les entreprises dont les modalités de mise en oeuvre doivent être rapidement appliquées.

Pourquoi suivre une formation RGPD ?

Il est nécessaire de se former aux RGPD pour connaître les évolutions réglementaires imposées par le nouveau règlement européen, pouvoir Identifier les impacts sur les aspects organisationnels et sur les procédures internes de l’entreprise et savoir préparer le plan d’actions de mise en conformité.

Pourquoi suivre un séminaire approfondi ?
Il existe de nombreux séminaires qui vous propose une synthèse approfondie des différents volets de mise en œuvre du RGPD (Règlement européen sur la protection des données personnelles) et de la nouvelle loi Informatique et Libertés à la fois règlementaires, organisationnels, techniques, mais aussi et surtout informatiques et méthodologiques.

Il fait également le point sur les retours d’expérience et l’évolution des offres des fournisseurs et sous-traitants. Il est destiné aux responsables métiers, juridiques, informatiques qui veulent apprécier dans leur globalité les différentes composantes du chantier de mise en conformité qui restent (éventuellement) à mettre en œuvre.

Plus d’informations sur : Pourquoi les bonnes performances d’un site optimisent-elles son SEO ?

Si vous souhaitez être accompagné pour générer des leads avec une Landing Page, n’hésitez pas à lire notre Guide Complet du Marketing digital ou à nous contacter pour bénéficier d’un rendez-vous gratuit avec l’un de nos consultants en marketing digital.

Plus d’informations sur les Une nouvelle ère pour le marketing mobile.

Si vous souhaitez être accompagné pour créer ou améliorer votre marketing digital, n’hésitez pas à lire notre Guide Complet du Marketing digital ou à nous contacter pour bénéficier d’un rendez-vous gratuit avec l’un de nos consultants en marketing Adwords.