Votre WordPress conforme au RGPD

Votre WordPress conforme au RGPD

Votre Wordpress conforme au RGPD

Wordpress - LogoSi près d'un tiers des sites web dans le monde sont des WordPress, plus des trois-quarts ne respectent pas l'ensemble des règles informatiques et libertés ! Et le tout nouveau RGPD, le Règlement général sur la protection des données, en réaffirme les grands principes, allant plus loin pour certains, avec de lourdes sanctions à la clé pour les responsables de site en cas de non-respect.
Dans cette situation, il serait extrêmement dommage de perdre de la crédibilité auprès de vos utilisateurs et clients ou de risquer les foudres de la Commission Nationale Informatique et Libertés (CNIL), l'autorité de contrôle en matière de données personnelles. Pourquoi ne pas obtenir l'inverse avec un site WordPress conforme au RGPD avant le 25 mai 2018* ?

 

Un WordPress conforme au RGPD, ça prend du temps

Des sanctions lourdes en cas de non-respect au RGPDSur ce point, ne nous racontons pas d'histoires. La mise en conformité au RGPD ne se fait et ne peut pas se faire en un claquement de doigts. Elle résulte plutôt d'un accompagnement personnalisé avec audit complet du site web. A minima, un WordPress conforme au RGPD signifie en effet que les traitements de données internes d'un site (par exemple une collecte de données à partir d'un bon vieux formulaire de contact) sont repensés et ajustés pour une plus grande protection de la vie privée des utilisateurs.

Ainsi, les mêmes types d'interventions émergent dans la plupart des cas, et dont les plus importantes sont :

  • la mise à jour des mentions légales du site, et plus particulièrement la création ou la mise à niveau d'une page dédiée à la politique de confidentialité,
  • la mise en conformité du "bandeau cookies", quasiment systématique sur les sites pour peu qu'une mesure d'audience de type Google Analytics soit utilisée. Et les sites internet, sur ce point, ne sont presque jamais dans la légalité.

 

D'autres éléments sont à vérifier et à paramétrer. Comme la présence d'une procédure pour satisfaire aux droits d'accès et portabilité, de rectification et d'effacement des données utilisateurs.
Ou la certitude de ne pas traiter de données sensibles (ou de l'éviter à tout prix). Ou encore de ne pas collecter des données non strictement nécessaires et disproportionnées vu la finalité du traitement. Par exemple demander l'adresse postale dans un formulaire de contact juste pour répondre par mail.
[...] Ceci plus bien d'autres éléments, tel est le prix d'un site WordPress conforme au Règlement européen sur la protection des données !

 

Un WordPress conforme au RGPD, ce n'est pas si compliqué

RGPD : se mettre définitivement en conformité

... Tout dépend de quel point de vue on se place et de l'énergie que l'on y met ! Mais la mise en conformité d'un site web, WordPress ou non d'ailleurs, n'est pas insurmontable.
Se faire accompagner d'un professionnel est toujours meilleur. Typiquement, un délégué à la protection des données ou un prestataire web ou informatique spécialisé dans la question. En effet, l'entité sous-traitante saura évaluer d'un rapide coup d’œil les manquements les plus graves à la réglementation. Et, en conséquence, faire émerger rapidement les actions prioritaires à mettre en oeuvre.

Rappelons aussi qu'un site WordPress conforme au RGPD n'est de loin pas le seul domaine (c'est le cas de le dire) d'intervention et à évaluer. En effet, le RGPD ne concerne pas que le site internet mais tous les traitements de fichiers. Quels qu'ils soient et où qu'ils soient. Si vous avez en back-office dans votre ordinateur un fichier client sur Excel, celui-ci est soumis à la même réglementation. C'est donc tout un process qu'il s'agit de revoir pour se mettre en conformité avec le RGPD.

 

Mais concrètement, comment arrive-t-on à un WordPress conforme au RGPD ?

Mais, pour l'heure, que faire sur son WordPress ? Dans l'ordre d'importance :

  • passer son site http en https pour une sécurité et une confidentialité accrues des données
  • création d'une nouvelle page de politique de confidentialité (si elle n'existe pas) dissociée de vos mentions légales classiques et CGU
  • mise à jour des mentions juridiques pour informer les utilisateurs des droits nouveaux, renforcés ou rééquilibrés par le RGPD
  • mise à jour de tous les traitements de données de son site (formulaire d'abonnement à la newsletter, formulaire de contact)
  • facilitation pour les utilisateurs de l'accès à leurs données - mise en oeuvre du droit à la portabilité des données
  • mise à jour du "bandeau cookie" en cas d'utilisation de services intrusifs pour la vie privée. Par exemple les mesures d'audience, publicités ciblées, boutons de partage de réseaux sociaux, etc.
  • ...

 

WordPress et "bandeau cookie", une histoire compliquée

Bandeau "cookie" version RGPDDisons-le, la conformité de la plupart des points évoqués précédemment peut être réalisée à l'aide d'un ou plusieurs plug-in(s) WordPress prêt(s) à l'emploi. D'ailleurs, des dizaines de modules fleurissent en ce moment à quelques jours de l'entrée en application du Règlement européen. Néanmoins, ils sont disparates en termes de prise en main ainsi que de respect aux règles énoncées par le RGPD.

Un point ceci étant pose actuellement problème : le (fameux) "bandeau cookie". Beaucoup de choses ont déjà été dites (et écrites, jusque dans notre blog). Pour résumer, en l'état actuel :

  • la directive "paquet télécom" de 2009 demande le consentement préalable des personnes pour tout dépôt de cookies potentiellement intrusifs pour la vie privée comme dans les cas de mise en place de mesures d'audience. Et rien qu'à ce stade, la majorité des sites web ne respectent pas ces dispositions vieilles de 9 ans.
  • le Règlement européen sur la protection des données renforce la notion de réversibilité du consentement donné ou refusé originellement.


A ce sujet, la réalité pratique est que, sauf erreur, AUCUN plug-in ne satisfait aujourd'hui pleinement aux dernières avancées du RGPD sur la remise en cause par l'utilisateur de son consentement. On peut tabler sur l'apparition rapide d'une solution simple arrivant à ce résultat mais elle se fait tout de même attendre...

___
* le 25 mai 2018 est la date d'entrée en application du Règlement général sur la protection des données (RGPD)

 

Votre WordPress conforme au Règlement général sur la protection des données

Votre  WordPress conforme au Règlement général sur la protection des données constituera un signal positif envoyé aux utilisateurs de votre site ainsi qu'à l'autorité de contrôle (la CNIL).

En ce sens, l'agence A Vos Sites Pros propose une procédure d'accompagnement simplifié et personnalisé de mise en conformité :

- audit juridique,
- maximisation de la sécurisation du WordPress,
- mise à niveau du "bandeau cookie",
- mentions juridiques mises à jour,
- ...

 

Pour aller plus loin :

Centre de préférences de confidentialité

Fermer votre compte ?

Votre compte sera fermé et toutes les données seront définitivement supprimées et ne pourront pas être récupérées. Confirmez-vous ?