Si vous avez gardé un oeil sur l’actualité numérique, vous avez du sans doute rencontrer des articles parlant de RGPD ou GDPR… [Maj le 23-01-2023]
Un gros sujet que je vous présente en plusieurs parties dans cet article afin de vous apporter une aide et une façon de pouvoir mettre à niveau votre site.
Plan de l’article
Que cela signifie-t-il concrètement ?
RGPD signifie Règlement Général sur la Protection des Données et sa version anglophone GDPR General Data Protection Regulation.
L’UE, par l’intermédiaire du Parlement Européen, a adopté le 14 avril 2016 ce nouveau règlement de protection des données pour l’ensemble des 28 états membres de l’UE avec application de façon unilatérale le 25 mai 2018.
Qu’est ce que cela va engendrer comme obligation ?
Pour faire court car il y a bon nombre d’écrit à ce sujet dont le principal se trouve au sein de la commission européenne:
- CNIL – Règlement-europeen-protection-donnees (les 99 articles)
- CNIL – Comprendre le règlement européen sur la protection des données personnelles
- Règlement européen sur la protection des données : que faut-il savoir ?
- En quoi les collectivités territoriales sont-elles impactées par le règlement européen sur la protection des données ?
- RGPD : un logiciel pour réaliser son analyse d’impact sur la protection des données (PIA)
- Outil PIA : téléchargez et installez le logiciel de la CNIL
- Règlement européen sur la protection des données personnelles se préparer en 6 étapes
- La CNIL et Bpifrance s’associent pour accompagner les TPE et PME dans leur appropriation du Règlement européen sur la protection des données (RGPD) 17-04-2018
- Les 99 articles du règlement original avec les textes correspondants pour la loi française et la loi belge
- Décision n° 2018-765 DC du 12 juin 2018 du Conseil Constitutionnel (Maj 14-06-18)
- Conformité RGPD : comment recueillir le consentement des personnes ? (Maj 08-08-18) Recadrage suite à des dérives constatées après 2 mois et demi
Mais aussi des blog avec des infographies:
ou encore une version condensée ne prenant que 10 min pour comprendre tous les rouages:
- GUIDE DE SENSIBILISATION AU RGPD POUR LES ASSOCIATIONS
- RGPD Guide de survie à destination des opérateurs de place de marché
Je n’ai pas voulu faire du re re avec déjà beaucoup de bonnes ressources sur la toile qui explore le sujet au plus profond.
Je vous recommande :
- la publication d’Eléonor de l’équipe de WP Marmite qui l’a épluché:
- ainsi que la publication de Claire alias Miss Comm’
- mais aussi le blog d’un fournisseur d’accès:
- un article sur la partie répression et comment cela va se passer avec la CNIL après le 25 mai
Comment faire pour mon site sous WordPress ?
A J -7 , le noyau de WordPress 4.9.6 incluant le RGPD en natif est déployé:
Comme toute mise à jour importante et pour éviter toute déconvenue, on ne rappellera jamais assez de faire une sauvegarde de votre site. Par ailleurs, comme tous les plugins ne sont pas encore accrédités 4.9.6, il convient de rester sur ses gardes.
Principale nouveauté: la gestion de la page politique de confidentialité qui apparaît dans le backoffice, menu réglage puis confidentialité ou Privacy.
Si vous avez déjà rédigé votre page de politique de confidentialité , sélectionnez là, sinon, vous pouvez la créer à ce niveau.
Pour vous aidez dans la création du contenu de votre page, voici un site d’avocat propose un générateur de politique de confidentialité de base.
Il va de soi qu’il est souhaitable de vous faire aider si vous avez des particularités à y faire mention. (Maj:08-08-18)
Vous pourrez gérer, l’export et la suppression des données privées dans Outils puis Exporter les données et Effacer les données.
De même, les commentaires WordPress intègrent une coche de consentement.
Attention avec le module JetPack, ce n’est pas encore intégré en cas de gestion des commentaires depuis JetPack Discussion.
Les plugins suivants, dans cet article, pourront vous aider.
Merci à l’Agence Whodunit . Retrouvez l’implantation RGPD et les phases de montée en puissance sur leur article : WordPress 4.9.6 et la conformité RGPD
Il en va de même pour le module pour site marchand WooCommerce 3.4 qui est en ligne depuis le 23/05/2018.
Vous l’aurez compris, tout le monde est concerné du moment que vous collectez des coordonnées mails, nom, téléphone, adresse pour un simple site, une correspondance par formulaire, inscription aux newsletters, des commentaires à des posts et raison de plus, pour le e-commerce, vous devez garantir la transparence d’usage des données personnelles de vos visiteurs/clients.
Ne pas oublier que cela va aller de paire avec la mise en place de la loi de finance sur le TVA au 01/01/18.
Certains gros éditeurs se conforment déjà quant au respect de la RGPD/GDPR comme Automattic (Editeur de Jetpack), en limitant les données collectées.
De même des évolutions par l’ensemble des acteurs de la communauté font que les plugins vont évoluer sur cette réglementation.
Avec JetPack, depuis la version 4.9, vous pouvez utiliser la bannière de consentement pour les Cookies sous la forme d’un Widget à placer en footer ou barre du bas:
Vous pouvez ainsi paramétrer votre page de politique de confidentialité et la fréquence de rappel
A vous d’adapter le message d’accueil en fonction de la destination:
Politique de confidentialité
Il faut afficher votre politique de confidentialité que vous adopterez sur votre site, en tenant compte des tiers , tout comme les cookies, et faire approuver l’ensemble ou partiellement par vos visiteurs/clients.
Dans le meilleur des cas, une confirmation par mailing réciproque (double Opt-in est un plus) permettra d’entériner la validation avec une date précise.
Pour vous aidez à réaliser votre page de politique de confidentialité, il existe plusieurs aides en ligne :
- si vous voulez une politique de confidentialité simple voici un modèle qui pourra vous aider à mettre les éléments principaux
- pour une version personnalisable bien plus complète car elle permet de prendre en compte tous les éléments qui touchent aux traitements des données personnelles pour un site vitrine mais aussi de e-commerce (cookies inclus).
Merci à Miss Comm’ de m’avoir fait découvert ce site :
Dans les 2 cas, cela demande une adaptation à vos besoins en mentionnant la durée de conservation des données personnelles.
Passons aux travaux pratiques
Avant tout, j’ai voulu vous proposer des solutions dites Gratuites (freemium) avec ce que le génie de la communauté WordPress propose à ce jour.
Bien que nous ne soyons plus qu’à quelques jours de la date de mise en service, le 25 mai 2018, j’ai parcouru les extensions à disposition pour les évaluer afin de voir ce qu’elles pouvaient apporter ainsi que leurs manques encore à combler.
J’en ai sélectionné 3 pour le moment qui répondent déjà sur différents critères, bien que pas encore complet mais qui utilisez conjointement avec les bons paramétrages, pourra vous apportez de solutions.
Vous connaissez la démarche:
- Extensions puis Ajouter et taper GDPR, car RGPD ne donnent pas encore grand chose (l’anglais of course!)
Voici ce qu’il est possible de trouver à l’heure où j’écris cet article, je sais que bon nombre d’éditeurs planchent sur des extensions que devraient arriver d’ici au 25 mai.
Comment détecter les cookies
Vous pouvez vous aider de plugin sur Firefox comme Cookie AutoDelete.
Détection des cookies utilisés par votre site avec la méthode de l’auteur:
Détection de vos cookies via un site dédié à cette fonction d’analyse gratuit, pour 1 nom de domaine: CookieBot
Saisir vos regroupements ente les Cookies minimums vitaux pour le bon fonctionnement de votre site et les facultatifs:
Consentements
Cette partie sera présenté à votre visiteur/client pour décrire le(s) consentement(s).
Visualisation du centre de préférences de confidentialité avant approbation.
Points négatifs:
- Aide en anglais et peu pratique pour détecter les cookies à intégrer
- pas de datation du consentement
- pas de durée de conservation du consentement
- pas de validation par double OPT IN (échange de mails de validation du consentement)
W3 Total Cache est connu pour ces soucis d’erreur 500 selon les plugins présents et cela s’avère positif avec celui ci (plus moyen d’accéder à l’administration).
Voyant les nombreux articles concernant ce cache et cette problématique, je l’ai remplacé, malgré ces bonnes performances.
Ce plugin va vous permettre de demander l’accord auprès de vos visiteurs ou clients pour collecter les données personnelles dans un cadre stricte.
Bon, il est encore en anglais mais cela peut encore évoluer.
Le plugin se loge dans Outils:
Il est possible de demander un consentement sur plusieurs modes de fonctionnement:
– formulaire de contact via Contact Form7
– Gravity Form
– Module d’inscription de Woo-Commerce
– La saisie de commentaire WordPress uniquement dans les articles
Il est aussi possible de paramétrer au plus près de la structure de votre site:
Voici ce que cela a pour effet en fonction de l’endroit affecté:
Sur le formulaire de contact vous aurez ce bloc texte à cocher pour pouvoir valider votre envoi:
Pour la partie E-shop avec le panier de Woo-Commerce:
Points négatifs:
- Il n’y a pas de traçabilité concernant la date et l’heure du consentement ainsi que sa durée de validité.
- La demande de consentement pour les commentaires ne fonctionne que pour la gestion des commentaires par WordPress. Le module de gestion des commentaires par Jetpack ne fonctionne pas à l’instant où je rédige cet article.
COMPLIANZ pour WordPress
Ce plugin permet de mettre en place aisément l’ensemble des éléments pour identifier le propriétaire mais également les cookies déjà présents sur le site en cours de configuration par l’intermédiaire de tiers de détection.
Passons en revue la mise en place et la configuration du plugin depuis son activation.
Il suffit juste de se laisser guider: Profiter les ? pour lire les aides contextuelles
Une nouvelle page est générée pour intégrer l’analyse des cookies présents sur le site et les règles de conservations. Pour une mise en page différente, vous pouvez utiliser le shortcode proposé.
Vous avez la possibilité de fixer cette page sur le menu, pas très joli ou alors l’intégrer dans vos politiques de confidentialité ou mentions légales.
Précéder aux réglages de la bannière de cookies, plutôt riche
Retrouvez les autres fonctionnalités sur le menu admin
Et la conservation des contacts et commentaires ?
Le RGPD induit de ne plus conserver ad vitam æternam les contacts et commentaires au delà de 3 ans ou 6 ans après la dernière action commerciale, à titre indicatif car il existe des cas de figure où la durée pourrait être au delà, mais rien n’est encore figé à cette heure.
Je vous parlerai de la solution de formulaire de contact que beaucoup utilise, à savoir CONTACT FORM 7.
Il est possible dans vos formulaires de contact gérés par CONTACT FORM 7 de demander l’acception de votre politique de confidentialité
Voici l’extrait du code à placer dans FORMULAIRE
[acceptance accept-this-1] J'ai pris connaissance et j'accepte <a href="/les-mentions-legales" target=_blank>les mentions légales</a>. [acceptance accept-this-2] J'ai pris connaissance et j'accepte <a href="/politique-de-confidentialite" target=_blank>la politique de confidentialité</a>.
Par ailleurs vous pouvez noter la date et l’heure des envois afin de pouvoir tenir à jour votre registre du traitemenet des données personnelles
Ajouter ces lignes dans le Corps du message dans l’onglet E-Mail:
Mentions légales - Vous avez [accept-this-1] le [_date] à [_time] Politique de confidentialité - Vous avez [accept-this-2] le [_date] à [_time]
Vous recevrez la réponse sous cette forme:
Mentions légales – Vous avez Autorisé le 4 mai 2018 à 22 h 07 min
Politique de confidentialité – Vous avez Autorisé le 4 mai 2018 à 22 h 07 min
Bon je conçois que ce terme « Autorisé » généré par CF7 aurait été mieux en Accepté.
Le même auteur à proposer un additif qui permet de conserver les traces de contacts avec un marquage du temps écoulé depuis la dernière visite.
A utiliser conjointement avec un nettoyeur de messages automatique au bout d’un certain nombre de jour: (1095 pour 3 ans)
Inazo’s flamingo automatically delete old messages
Celui ci permet de nettoyer tous les messages de contacts qui n’auraient pas été sur le site depuis le nombre de jour.
Sécurisation
Normalement, nous avez tous adopté un autre login que « admin » et mis un mot de passe fort autre que « 1234abcd »…
Le B.A.BA consiste à sécuriser votre site internet en adoptant une connexion cryptée de type SSL où l’on retrouve le fameux https et le cadenas vert dans la barre d’adresse (Pour Chrome).
Cela permet que vos données transmises à votre site et passant par des chemins diverses et variées soient codées par une clé unique et ainsi éviter d’être détournées trop facilement.
Si vous utilisez Chrome comme navigateur, celui-ci vous indique simplement, pour le moment, que votre connexion n’est pas sécurisée.
Là où cela se gâte, c’est sur Firefox qui bloque la navigation à moins d’enregistrer une exception, ce qui pourrait faire courir des risques lors de transfert de données strictement personnelles.
L’idéal est de le prévoir à la genèse de votre site lors de l’installation initiale de WordPress sur votre hébergeur ou votre site locale.
Maintenant, pour basculer en SSL à moindre coût, rendez-vous sur le panel de votre hébergeur et regarder s’il ne propose pas une solution de type Let’Encrypt qui est un certificat mise à disposition gratuitement.
Attention, si vous faites des opérations de ventes, préférer un certificat dédié qui aura un coût en fonction du degré de sécurisation désirée.
Tous les fournisseurs d’accès ne proposent pas de certificat gratuit comme GANDI où c’est uniquement payant.
Chez O2switch ou LWS, le service est présent et s’active en quelques clics depuis le cPanel ou le LWS panel.
Vous devrez effectuer des modifications d’URL dans tout votre site, de votre base SQL, ainsi que de votre fichier .HTACCESS pour permettre la redirection en https. Cela demande un peu de rigueur et de patience.
Ne pas oublier votre outil de suivi statistique comme Google Analytics qui sera à mettre en https://[nom.de.domaine] également.
Vous pouvez aussi faire appel à un plugin de migration Really simple SSL qui s’occupe de la transcription des lignes du site et surtout de la base de donnée vers https.
Comme tous travaux importants sur votre site, faites une sauvegarde complète (FTP + base SQL). Un incident dans les manips et c’est la cata.
Ne pas confondre vitesse et précipitation ! Step by step !
Sauvegardes
Le RGPD ne demande pas à avoir une sauvegarde mais ce serait idiot de perdre tout son travail suite à une maladresse, une erreur de mise à jour ou pire un hacking.
Il existe bien des méthodes de sauvegarde, mais il ne faut pas perdre à l’idée que le RGPD demande à être garant des données personnelles donc, la pérennisation des éléments confiés par vos visiteurs/clients.
Ainsi, si vous faites vos sauvegardes sur un cloud via UpDraftPlus, vérifier qu’il réponde aux exigences du RGPD.
Vous pouvez opter par une sauvegarde « manuel » avec plugin genre BackWPup pour compacter le site et la base de données puis de télécharger le tout sur une unité de stockage à votre domicile.
Nota : Comme toute bonne sauvegarde informatique, en prévoir au moins 2 sur des médias distincts et entreposés à des endroits différents.
Registre des activités de traitement
Article30 : « Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. »
Le RGPD demande de veiller l’utilisation des données personnelles. Cela implique la consignation sur un registre qui pourra être demandé lors de contrôle, de toutes les finalités faites à ces données.
Il devra, en autre, tenir compte de la durée de conservation, comme vu plus haut.
Si vous ne stockez rien en ligne, et traiter qu’une newsletter, alors vous pouvez consigner ce but au titre de tenir informer des nouveautés faites pour chaque destinataire.
Ce registre peut très bien être sous une forme papier, ce qui permet de ne sécuriser que le lieu où il est stocké.
En version informatique, la CNIL propose un modèle de registre universel sous la forme d’un tableau (Excel ou Calc de LibreOffice).
Comme c’est un fichier sensible, attention, à ne pas le laisser « trainer » sur un cloud non sécurisé, une clé USB ou une unité de sauvegarde non cryptée, sur votre serveur non SSL, etc…
Le service DigiPoste propose gratuitement un coffre-fort numérique de 5GO pour y stocker vos documents sensibles en toute sécurité : fiches de paie numérique, contrats, factures, etc.
Optez pour un verrouillage de votre fichier par mot de passe ou chiffrage pour obtenir le maximum de sécurisation.
Ressources pour réaliser cet article:
- RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
- Commission européenne
- GDPR-TEXT
GDPR-EXPERT.EU- La CNIL
- Le Journal du Net
- Miss Comm’
- Solutions-Numériques
- WP Marmite
- Whodunit
Merci à l’équipe de App Saloon avec qui j’ai pu échanger sur leur produit.
J’espère que cet article vous aura permis de démystifier cette nouvelle mise en conformité sachant que d’autres plugins vont voir le jour dans les prochaines semaines.
Je vous donne rendez-vous régulièrement grâce a notre newsletter afin de vous tenir informer des derniers éléments sur le sujet surtout pour la partie traçabilité, à défaut de tenir des registres à côté.
Eric_HWC
Dernière mise à jour le 12 janvier 2024
Bonjour,
merci pour l’article. Je gère un site e-commerce sous WordPress/Woocommerce.
Woocommerce est à jour et propose maintenant dans Réglages/Comptes & Confidentialité partie Conservation des données personnelles. Cette liste s’affiche :
Conserver les comptes inactifs
Conserver les commandes en attente
Conserver les commandes échouées
Conserver les commandes annulées
Conserver les commandes terminées
Conserver les données Stripe
Est ce que vous savez ce que je dois mettre pour chacune d’elle ?
Merci d’avance
Bonjour,
N’étant pas juriste, voici mon analyse.
Les données personnelles ont des durées de conservation différentes en fonction de l’usage.
Pour les prospects sans opération, c’est 3 ans maxi
Pour les transactions bancaires, les coordonnées bancaires ne peut être conservées que pour la dite opération, ensuite elles doivent être effacées ou archives.
Voici un poste de la CNIL qui évoque le sujet: https://www.cnil.fr/fr/limiter-la-conservation-des-donnees
La liste:
Conserver les comptes inactifs (Client potentiel)
Conserver les commandes en attente(Client potentiel)
Conserver les commandes échouées (Statistique)
Conserver les commandes annulées (Statistique)
Conserver les commandes terminées (Justificatif)
Conserver les données Stripe (Justificatif)
C’est du commerce donc 6 ans maxi depuis la dernière opération.
Valeurs à ajuster dans l’onglet « compte et confidentialité », puis la possibilité est offert pour les Demandes d’effacement de données.
Vous devrez noter ces buts et la durée de conservation, dans votre page de politique de confidentialité voir CGU.
Maintenant il a le code des impôts, les justificatifs peuvent être demandés pour les 6 dernières années.
Quelle est la durée de conservation des papiers personnels et professionnels ?
J’espère avoir répondu sur l’ensemble.
Ok super, merci pour tes conseils.
J’ai toujours rien compris malgré l’exhaustivité et l’effort fourni pour faire cet article.
J’ai pas de newsletter j’ai juste Google analytics, un pare-feu wordfence, un formulaire de contact et des liens d’affiliation sur mon site.
Pour le formulaire je comprends qu’il faille ajouter un consentement OK.
Pour analytics c’est anonyme à ma connaissance.
Pour wordfence par contre on peut voir les IPs des visiteurs en clair.
Pour les liens d’affiliation je ne sais pas ce qu’il en est. À la fin Amazon obtient l’identité de la personne mais c’est suite à une entrée d’informations faites sur leur site donc selon moi c’est leur affaire.
Bonsoir,
Pour la partie Google Analytics, effectivement il y une anonymisation des adresses IP sur uniquement le dernier octet de l’IP: https://support.google.com/analytics/answer/2763052?hl=fr
WordFence permet de veiller les IP mais WordPress aussi en natif les trace aussi. Il suffit d’aller voir les commentaires, l’IP de votre interlocuteur y figure, donc consentement et registre à gérer.
Pour les liens d’affiliation, je n’ai pas la maitrise du sujet.
Toutefois, comme il y a notion d’affilieur et d’affilié cela se rapproche du traitement des cookies et autres traceurs, qui dans la précédente loi demandait à accepter leur usage. Avec le RGPD, on demande à ce qui a été légiféré soit appliqué. Le visiteur est en droit de les refuser globalement ou individuellement et ainsi ils ne doivent plus être actifs pour ce visiteur, chose qui n’a jamais trop fonctionné à ce jour mais devra l’être. https://www.cnil.fr/fr/site-web-cookies-et-autres-traceurs
Par ailleurs, si votre lien propose un produit de votre boutique via WooCommerce, par exemple, le panier trace les faits et gestes, donc l’IP.