Comment rendre votre site WordPress conforme au RGPD

Avatar pour Andrei Chira

Andreï Chira

·

plugins de bloc wordpress

Le RGPD est la législation européenne sur la protection de la vie privée entrée en vigueur le 25 mai 2018.

Quelques semaines avant cette date, beaucoup de nos clients ont paniqué et nous ont demandé de l’aide pour mettre en œuvre le RGPD sur leurs blogs WordPress.

J'avais promis d'écrire un article sur le RGPD, mais je ne l'ai pas écrit jusqu'à présent, presque un an après. C'est parce que j'ai attendu de voir quels outils émergeraient pour faciliter la mise en œuvre. Ensuite, j'ai documenté et mis en œuvre sur mes sites Web.

Tout d’abord, il n’y a pas de quoi paniquer avec le RGPD.

Il s'agit d'une loi de bon sens qui vise à rendre les propriétaires de sites responsables des données personnelles qu'ils collectent auprès des visiteurs du site.

Parce que les données personnelles appartiennent à ces personnes et que nous, en tant que propriétaires du site, ne pouvons pas faire ce que nous voulons avec ces données. Nous avons besoin de leur acceptation pour collecter et traiter les données d'une certaine manière.

J'ai un simple blog, pourquoi devrais-je me conformer au RGPD ?

C'est la question la plus posée par nos clients, qui sont pour la plupart des petits et moyens éditeurs indépendants.

Vous devez être conforme car vous enregistrez des données personnelles sans le savoir.

Si vous intégrez une vidéo de Youtube ou si vous disposez de boutons de partage Facebook sur votre site, des cookies sont enregistrés dans le navigateur du visiteur.

Ces cookies sont considérés comme des données personnelles car ils permettent d'identifier une personne. Ils peuvent suivre le visiteur d’un site à un autre, ou créer des profils démographiques, etc.

Le problème est que parfois votre site Web enregistre ces données personnelles. Mais c’est totalement inutile, vous n’utilisez pas les données vous-même.

Ok, que dois-je faire pour me conformer au RGPD ?

Eh bien, vous devez démontrer que vous comprenez et respectez les droits des personnes dont vous enregistrez et traitez les données personnelles.

Dans le même temps, vous devez réellement respecter ces droits, et pas seulement écrire dans votre politique de confidentialité que vous les respectez.

Si une personne sollicite la suppression de ses données ou se désabonne de votre newsletter, vous devez respecter la demande de cette personne.

Comme je l'ai dit plus haut, ce sont des choses qui relèvent du bon sens. Si vous respectez les visiteurs du site et les clients dont vous collectez les données personnelles, vous êtes déjà sur la bonne voie.

Le moyen le plus simple d’implémenter le RGPD sur votre site WordPress est d’utiliser une solution externe, un service spécialisé tel que :

Cette option simple n’est pas gratuite. Mais il n’y a aucun moyen de se conformer au RGPD sans payer : soit vous payez avec de l’argent, soit vous payez avec du temps et des efforts.

La mise en œuvre est assez compliquée et implique à la fois des configurations voire de la programmation ainsi que des conseils juridiques d'un avocat spécialisé.

Comment j'ai rendu mon site WordPress conforme au RGPD

Ci-dessous, je vais vous expliquer comment j'ai mis en œuvre le RGPD sur mes sites Web WordPress. Je dois mentionner que je ne suis pas un conseiller juridique et que ce tutoriel n'équivaut pas à un conseil juridique.

Pour être conforme au RGPD, nous avons besoin des éléments suivants :

  • une page de politique de confidentialité
  • informations sur les cookies (elles peuvent être incluses dans la politique de confidentialité)
  • consentement explicite à la collecte de données (notice de bannière de cookie)
  • la possibilité de retirer son consentement
  • outils d’exercice des droits (export de données, suppression de données)

Des outils d'exercice des droits sont intégrés dans WordPress depuis la version 4.9.6. Vous pouvez exporter ou supprimer des données personnelles si cela vous est demandé. Nous avons placé les coordonnées dans notre politique de confidentialité afin que toute personne souhaitant exercer ces droits puisse nous contacter.

La politique de confidentialité

La politique de confidentialité doit contenir les informations suivantes :

  • les coordonnées du propriétaire du site
  • les coordonnées de l’autorité nationale de protection des données
  • les données que vous collectez
  • comment vous utilisez les données
  • qui a accès aux données
  • comment sécuriser les données
  • informations sur les cookies
  • quels sont les droits des personnes dont vous collectez les données
  • comment peuvent-ils exercer leurs droits

Un modèle de politique de confidentialité se trouve dans l’interface d’administration de WordPress. Accédez à Paramètres > Confidentialité, puis cliquez sur le lien « Consultez notre guide ».

page de confidentialité
page de confidentialité

J'ai utilisé un modèle de politique de confidentialité généré par le plugin GDPR Framework que j'ai modifié avec les informations pertinentes pour chacun de mes sites.

Une fois que vous avez créé la page de politique, vous devez l'ajouter à un menu de navigation, généralement dans le pied de page du site.

Quelles données nous collectons et à quoi nous les utilisons

Dans le cadre de la politique de confidentialité, il est également important d'indiquer quelles données personnelles vous collectez. Nous devons donc savoir quelles informations personnelles nous collectons.

Comme mentionné ci-dessus, nous sauvegardons parfois des données sans le savoir.

Pour identifier les données personnelles que nous collectons, vous devez auditer votre site pour comprendre comment il fonctionne et comment il stocke les données. Chaque site Web est différent, il utilise des thèmes et des plugins différents et a des implémentations différentes.

Sur un simple blog, vous collectez des données via :

  • le formulaire de commentaire WordPress
  • cookies placés par les plugins

Les données collectées par le formulaire de commentaire sont le commentateur (nom, adresse email, site internet) ainsi que l'adresse IP et un agent utilisateur. Ces données sont utilisées pour lutter contre le spam.

Les cookies par défaut de WordPress sont ceux présents dans les commentaires (nom, email, site web) et doivent être conformes au RGPD. Une coche a été insérée dans la version 4.9.6 pour permettre au commentateur d'accepter s'il souhaite que ces cookies soient enregistrés dans votre navigateur.

simplenet

Données pour les boutiques en ligne

Si vous possédez une boutique en ligne, vous collectez également des données via le formulaire de commande des produits/services présents sur le site. Vous ne pouvez utiliser ces données que pour le traitement de la commande : facturation, livraison, etc.

D'autres sites peuvent collecter des données via des plugins marketing, des formulaires de contact ou des formulaires d'abonnement à une newsletter. Les gens doivent savoir ce que vous faites avec les données que vous collectez. Vous ne pouvez pas envoyer de newsletter à ceux qui ne sont pas explicitement abonnés à cette newsletter.

Une astuce utilisée par certains magasins consistait à mettre une case pré-cochée sur la page de paiement, et le client était automatiquement abonné à la newsletter. Ce n’est plus légal. Vous pouvez avoir la boîte si vous le souhaitez. Mais elle ne peut pas être pré-vérifiée, le visiteur doit la cocher s'il souhaite s'abonner à la newsletter.

Divers plugins WordPress peuvent collecter d'autres données (cookies) : boutons de réseaux sociaux, codes de suivi comme Google Analytics ou intégrations d'autres sites (vidéos Youtube par exemple).

Tout cela doit être identifié, et une fois que nous avons déterminé quelles données nous collectons et comment nous les collectons, nous devons décider si nous en avons réellement besoin ou non.

Identifier les cookies

Le moyen le plus simple d'identifier les cookies enregistrés par votre site consiste à utiliser un essai gratuit de l'un des services répertoriés ci-dessus (OneTrust, par exemple). Ils vont scanner toutes les pages de votre site, lister tous les cookies et les catégoriser.

La méthode manuelle

La méthode difficile consiste à identifier les cookies manuellement.

Si vous utilisez le navigateur Google Chrome, supprimez les cookies et le cache du navigateur, puis accédez à votre site Web, faites un clic droit sur la page, puis cliquez sur Inspecter, accédez à la section Application, puis cliquez sur Stockage puis sur Cookies (dans Safari, c'est Inspecter l'élément > Stockage > Cookies).

Vous devez vérifier toutes les pages du site pour identifier les cookies, ce qui est difficile à faire manuellement.

Certaines pages sont similaires, cela vaut donc la peine d'être consulté :

  • première page
  • archives (catégories, tags, recherche, etc.)
  • page de message unique
  • pages intégrant des intégrations provenant d'autres sites
  • page d'abonnement à la newsletter
  • page du formulaire de contact
  • pages avec d'autres formulaires ou éléments qui enregistrent des données (enquête, etc.)

Comme vous pouvez le constater, il est difficile de vérifier manuellement, il est donc préférable d'utiliser un service spécialisé qui analyse automatiquement toutes les pages du site.

La méthode automatique

Une fois identifiés, les cookies doivent être répartis en catégories :

  • essentiel (le site Web ne peut pas fonctionner sans)
  • statistiques (Google Analytics par exemple)
  • les réseaux sociaux (Facebook, Youtube, etc.)
  • publicité (retargeting, remarketing, etc.)

Selon le RGPD, lorsque les visiteurs accèdent au site, ils doivent être informés que vous enregistrez des cookies, vous devez leur indiquer quels cookies vous enregistrez et ils doivent vous donner votre consentement pour enregistrer ces cookies.

Il n'est pas acceptable de définir tous les cookies comme essentiels et de n'avoir qu'un simple bouton d'acceptation ; les cookies doivent être acceptés ou refusés pour chaque catégorie.

Dans le même temps, vous devez également disposer d'une page de configuration des cookies à partir de laquelle le visiteur peut retirer son acceptation s'il vous l'a donnée dans le passé ou accepter s'il a refusé dans le passé et a maintenant changé d'avis.

Si un visiteur refuse la catégorie des cookies des réseaux sociaux, par exemple lors de sa visite sur le site, les scripts des réseaux sociaux doivent être bloqués.

Compliqué, non ?

Ouais, je n'ai pas trouvé de plugin WordPress qui fasse tout automatiquement.

Pluggins que j'ai testés

Les plugins que j'ai testés sont :

Au moment de mes tests, aucun d’entre eux ne semblait complet, ils nécessitaient des implémentations supplémentaires, certaines assez complexes pour un utilisateur moyen.

C'est pourquoi je recommande des solutions externes spécialisées, notamment pour les sites qui ont besoin d'enregistrer des cookies. Je parle des sites qui effectuent du retargeting, du remarketing, de l'optimisation du taux de conversion, etc.

Mais la plupart des sites Web n’ont pas besoin d’enregistrer tous ces cookies et pourraient très bien fonctionner.

Selon la loi RGPD, si nous ne collectons pas de cookies considérés comme des données personnelles, alors il n'est pas obligatoire de demander le consentement du visiteur pour enregistrer des cookies.

Ainsi, si nous enregistrons uniquement les cookies essentiels, nous ne sommes pas tenus d’afficher cette bannière de cookies et nous nous débarrassons également des implémentations complexes de scripts de blocage et de paramètres de cookies.

Supprimons la bannière de cookies

Je trouve absurde de gâcher la conception de votre site et l'expérience utilisateur en affichant une fenêtre contextuelle demandant aux visiteurs de vous donner la permission d'enregistrer des cookies dont vous n'avez même pas besoin ou que vous n'utilisez pas.

Supprimons donc les cookies non essentiels, c'est justement dans l'esprit de la loi, c'est-à-dire ne pas enregistrer de données personnelles sauf si nous avons un motif légitime de le faire.

J'ai déjà identifié les cookies sur mon site internet, et ceux qui posent problème (données personnelles) sont :

  • Cookies Google Analytics
  • cookies du bouton de partage (Facebook)
  • Cookies YouTube
Comment se débarrasser des cookies Google Analytics

Je n'utilise pas de données démographiques ni de remarketing dans Google Analytics/Adsense/Adwords, donc je n'en ai pas besoin.

En gros, vous devez faire 4 choses dans votre compte Google Analytics :

  • accepter la modification du traitement des données
  • désactiver le partage de données
  • désactiver la collecte de données pour les fonctionnalités publicitaires
  • désactiver l'ID utilisateur

C'est le tutoriel que j'ai suivi pour configurer tout ce qui précède. Il est écrit par le développeur du plugin CAOS.

Après cela, la dernière étape consiste à anonymiser les adresses IP des visiteurs.

J'ai abandonné le plugin Google Analytics que j'utilisais et copié manuellement le code de suivi auquel j'ai ajouté le code suivant.

ga('set', 'anonymizeIp', true);

Si vous ne vous sentez pas à l'aise avec le code, une autre option consiste à utiliser le plugin Google Analytics appelé CAOS – il comporte une coche Anonymiser l'IP dans les paramètres.

D'accord, nous nous sommes débarrassés des cookies de Google Analytics qui sont des données personnelles ; Google Analytics fonctionnera très bien sans cela.

Comment se débarrasser des cookies Facebook

Bill Erickson et Jared Atchinson ont créé un plugin de bouton de partage conforme au RGPD, ce qui signifie qu'il n'enregistre pas de cookies, de scripts de suivi, absolument rien de données personnelles.

Le plugin s'appelle Shared Counts .

J'ai remplacé le plugin du bouton de partage par ce plugin conforme au RGPD, et j'ai donc supprimé les cookies Facebook.

Comment se débarrasser des cookies Youtube

J'ai intégré des vidéos sur certaines pages du site, et heureusement, il n'y en a pas beaucoup donc je peux les modifier manuellement. Si vous en avez plus, vous pouvez rechercher et remplacer avec un plugin WordPress ou directement dans la base de données.

J'ai remplacé l'URL youtube.com dans le code d'intégration par l'URL youtube-nocookie.com.

C'est ça.

J'ai identifié quels cookies sont enregistrés et éliminé ceux dont je n'avais pas besoin, ne laissant que ceux strictement nécessaires, pour lesquels je n'ai pas besoin d'obtenir le consentement du visiteur car ils ne sont pas considérés comme des données personnelles.

quels cookies sont enregistrés et éliminés ceux dont je n'avais pas besoin, ne laissant que ceux strictement nécessaires

Cela a éliminé le besoin d’avoir un cookie de notification de bannière sur mon site Web.

Gardez à l’esprit que ce que j’ai fait ci-dessus était spécifiquement pour mes sites Web ; vous pouvez avoir d'autres cookies sur votre site internet, chaque site est différent.

Autres considérations

J'ai essayé de rendre ce didacticiel RGPD aussi simple que possible, mais c'est une question très compliquée.

Ce que j'ai décrit dans cet article s'adapte généralement à la plupart des sites Web simples comme mon blog ou mon entreprise, mais pour les magasins ou autres entreprises en ligne, il ne suffit pas de mettre en œuvre certaines choses sur le site, vous avez également besoin de quelques implémentations administratives.

Par exemple, nous avons fait ce qui suit :

  • nous avons nommé un DPO (délégué à la protection des données)
  • nous avons demandé un DPA (accord de traitement des données) à tous les partenaires où nous stockons des données
  • nous rédigeons un DPA que nous pouvons proposer à nos clients
  • nous avons dispensé une formation à nos employés sur la protection des données

J'espère que cela vous a aidé à rendre votre site WordPress conforme au RGPD, si j'ai raté quelque chose, n'hésitez pas à laisser un commentaire, j'essaierai de répondre à vos questions, ou de vous diriger vers les ressources pertinentes.

Commentaires

Laisser un commentaire

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués *

Anglais