La mise en place du RGPD structure la gestion des données personnelles par les entreprises et les institutions. Elle impacte les supports physiques et numériques, et donc naturellement les sites internet. En tant que spécialistes WordPress, nous vous expliquons ce qu'un site basé sur cette technologie doit intégrer. Mais d'abord, reprenons les bases...
Qu'est-ce que le RGPD ?
Le RGPD (ou GDPR en anglais) est le Règlement Général pour la Protection des Données. Il a pour but de responsabiliser les organismes - publics comme privés - sur l'utilisation (ou le traitement) des données personnelles qu'ils collectent sur leurs prospects, clients, partenaires et collaborateurs.
Émis en avril 2016 par le Parlement Européen, le règlement fait figure de loi depuis mai 2018. Et c'est la CNIL - Commission Nationale de l'Informatique et des Libertés - qui s'occupe de faire respecter le RGPD en France.
Qu'appelle-t-on une donnée personnelle ?
Il s'agit d'une donnée qui permet d'identifier directement ou indirectement une personne telles que : le nom, le prénom, le numéro de téléphone ou de sécurité sociale, un identifiant comme le numéro client, la voix, l'image, l'âge, le sexe, la localisation, l'adresse IP, les données comportementales liées aux visites sur un site, etc. Le tout forme une base de données personnelles.
Par exemple, une base marketing de clients indiquant leur âge, leur adresse, leurs goûts et leurs comportements d'achat est typiquement une base de données personnelles.
Et le traitement de données personnelles ?
Il s'agit d'une opération de collecte, d'enregistrement, d'organisation, de conservation, etc., de données personnelles d'utilisateurs.
Le RGPD indique que le traitement doit avoir un objectif et que chaque donnée doit être collectée de manière légale et légitime par une entreprise.
L'idée est de s'assurer que les données que l'on collecte servent bien l'objectif prévu : il est interdit de collecter des données en pensant qu'un jour peut-être elles serviront.
Ce que le RGPD améliore pour l'utilisateur d'un site Internet
La loi prévoit d'améliorer le consentement de l'utilisateur sur un site internet, lorsque ce dernier récolte ses données (via les cookies ou les formulaires par exemple) : il doit ainsi être informé du but de la collecte de ses données. Celles-ci doivent être sécurisées par le site qui les collecte ; le site est en effet responsable de leur stockage, de leur traçabilité et de leur protection. Enfin, à tout moment, l'internaute doit pouvoir consulter, modifier ou supprimer ses données.
Et cela concerne les utilisateurs d'Internet des 28 pays de l'Union Européenne, que l'on soit basé ou non en UE.
Comment mettre à jour son site WordPress pour être en conformité avec le RGPD ?
Voici une liste d'actions à effectuer pour mettre en conformité un site internet développé sur le CMS WordPress.
Créer des pages mentions légales et politique de confidentialité
Les mentions légales d'un site internet doivent présenter les coordonnées de l'éditeur, du directeur de publication, du créateur et de l'hébergeur du site.
Pour la partie Politique de confidentialité, il faut préciser :
- quelles données sont collectées, pour quelles raisons et combien de temps elles sont conservées,
- les mesures de sécurité liées au stockage de ces données,
- le droit des utilisateurs concernant ces données.
Adapter les formulaires de contact
Un site internet contient la plupart du temps au minimum un formulaire pour que des clients ou prospects contactent l'entreprise. Certains proposent de télécharger des documents ou de s'inscrire à une newsletter. Quelque soit le formulaire, il faut prévoir une case à cocher (qui n'est pas cochée par défaut, cela fait partie du consentement) pour que l'utilisateur accepte le traitement de ses données.
Les visiteurs doivent pouvoir accéder à leurs informations et pour une newsletter pouvoir se désinscrire à tout moment.
En cochant cette case, j'accepte que les informations saisies soient traitées dans le cadre de la demande d'informations et de la relation commerciale qui peut en découler.
Exemple de phrase à mettre sur une case à cocher
Une mention au niveau du formulaire doit aussi préciser l'endroit où l'utilisateur peut trouver la politique de confidentialité et où il peut excercer son droit.
Pour connaître et exercer vos droits, notamment de retrait de votre consentement à l’utilisation des données collectées par ce formulaire, veuillez consulter notre politique de confidentialité.
Exemple de mention de la politique de confidentialité
Mettre en conformité d'autres éléments de votre site WP
La partie commentaire de votre site WordPress, sur une partie blog par exemple, doit également être mis en conformité si un consentement est à demander par exemple.
Il faut analyser également les plugins/extensions utilisés sur le site WordPress et identifier ceux qui pourraient collecter des données. Ils seront peut-être à adapter afin d'être en règle au niveau du traitement.
Sécuriser le site WordPress
Si des données personnelles sont stockées sur le site, il est de la responsabilité de l'éditeur de s'assurer qu'elles sont bien gardées.
Il est ainsi fortement conseiller d'utiliser des outils (pare-feu, etc.) et de s'assurer que le code ne contient pas de grosses failles pour limiter les risques de piratage. De nombreuses solutions existent mais cette partie nécessite une expertise technique spécifique. Il peut être intéressant de s'adresser à un expert de la sécurité WordPress.
Mettre en lumière la politique de confidentialité dans le cadre d'un ecommerce avec WooCommerce
Un site WordPress propose une fonctionnalité e-commerce ? Il faudra s'assurer que les données des clients et prospects sont correctement traitées.
Aussi, les clients sont de plus en plus sensibles à la manière dont leurs données seront utilisées. Une e-boutique doit jouer la transparence et afficher comme un argument de vente le fait que le site est RGPD-friendly.
En complément des informations nécessaires dans les mentions légales et politique de confidentialité dont nous parlions plus haut, les CGV ou Conditions Générales de Vente devront aussi être adaptées au réglement européen.
Enfin, attention au plugin WooCommerce qui collecte des données avant le consentement du client. Certains sont connus pour cela, notamment ceux qui concernent l'abandon de panier et qui peuvent collecter des données avant que l'utilisateur ait donné son consentement sur l'utilisation des données.
Quid du RGPD si mon site WordPress est géré par une agence web ?
Une agence web ou un freelance, en plus de gérer ses propres données peut, selon les cas, être responsable d'informations collectées par ses clients.
L'agence doit donc respecter des obligations de sécurité, de confidentialité et de documentation de l'activité. Elle doit aussi être force de proposition envers ses clients pour que le RGPD soit au mieux pris en compte lors de la conception d'un site internet (ou lors de sa refonte).
Il conviendra d'aborder le sujet avec votre prestataire afin que vous puissiez définir ensemble les données collectées par le site et voir dans quelles mesures il est impliqué sur leur traitement.
Le RGPD est très bénéfique pour les utilisateurs mais sa mise en place est assez contraignante pour les entreprises. Il faudra y passer du temps pour être sûr de le respecter. Comme vous l'avez compris, dans le cadre d'une mise en conformité, un site WordPress nécessite des ajustements. Renseignez-vous, parlez-en avec des spécialistes et documentez-vous sur les outils (plugins) dédiés existants. Tout cela vous aidera dans ce travail important pour la pérennité de votre entreprise.