Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Comment mettre votre site WordPress en conformité avec le RGPD

WordPress a réalisé d’importants changements en lien avec le RGPD. Ces changements s’inscrivent dans la lignée des efforts de WordPress visant à simplifier la mise en conformité avec le RGPD pour ses utilisateurs. Toutefois, la seule utilisation de ces outils n’est pas une garantie de conformité.

Ci-dessous, nous passerons en revue les fonctionnalités importantes liées au RGPD et ce qu’elles peuvent vous apporter, ainsi que leurs limites et nos solutions pour les surmonter. C’est parti.

Page de politique de confidentialité de WordPress

outil de wordpress consacré à la vie privée

Pour les propriétaires d’un site WordPress, il est désormais plus facile de créer une page consacrée à la Politique de confidentialité en sélectionnant Réglages > Confidentialité dans votre tableau de bord WordPress. Dans cette section, vous pouvez sélectionner une page existante ou en créer une nouvelle et la désigner comme la page de votre politique de confidentialité.

Bien que cette fonctionnalité facilite la désignation d’une page, elle ne fournit pas de texte complet et applicable. Cela se comprend parfaitement puisque, pour vous mettre en conformité, vous devez mettre en place une politique de confidentialité qui s’applique à votre situation spécifique et qui inclut des informations pertinentes sur les données que vous traitez. Toutefois, si vous cliquez sur le bouton « Créer une nouvelle page », vous obtiendrez une ébauche de texte et un modèle rudimentaire.

Avantages

Limites et solutions

Principales limites

Comme nous l’avons mentionné, cet outil ne génère pas de politique de confidentialité utilisable et conforme. S’il constitue un point de départ utile pour vous faire réfléchir aux types d’informations que vous devriez inclure dans votre politique de confidentialité, le texte du modèle est loin d’être conforme au RGPD.

Dans le guide qui accompagne la Politique de confidentialité, WordPress en informe les utilisateurs comme suit :

Veuillez modifier le contenu de votre politique de confidentialité. Assurez-vous de supprimer les exemples de textes et d’ajouter les différentes informations à propos de vos thèmes et extensions. Il est de votre responsabilité de rédiger une politique de confidentialité compréhensible, de vous assurer qu’elle reflète les exigences nationales et internationales sur la vie privée et de maintenir cette politique à jour et exacte.

Nous aurions beaucoup à écrire au sujet de l’ébauche de texte. Toutefois, au premier abord, on voit tout de suite que certaines sections (comme la section consacrée aux droits des utilisateurs sur leurs données) sont incorrectes ou incomplètes si vous souhaitez vous mettre en conformité avec le RGPD.

Comme la plupart des lois relatives à la vie privée, le RGPD exige que votre politique de confidentialité soit accessible depuis chaque page de votre site Web. Avec ce nouvel outil consacré à la vie privée, ce n’est pas automatique.

Solutions

  • Rédigez une politique de confidentialité complète et facile à lire qui satisfait les exigences légales. Pour cela, vous pouvez engager un avocat qui la rédigera pour vous. Pour faire plus simple, vous pouvez aussi utiliser notre générateur de politique de confidentialité et de cookies pour générer très facilement une politique de confidentialité rédigée par un avocat, complète et personnalisable. Pour commencer, c’est très simple. Il vous suffit de saisir le nom de votre site dans le générateur, de sélectionner la langue souhaitée et de cliquer sur « Générer ».
    Guide de démarrage du générateur

    Ensuite, sélectionnez les services qui vous concernent :

    Services

    Personnalisez les services si nécessaire et sauvegardez. C’est tout ! Pour en savoir plus, consultez le guide Comment générer une politique en cliquant ici.

  • Assurez-vous que votre politique soit visible et facile d’accès depuis toutes les pages de votre site Web. Pour cela, vous avez plusieurs options, comme le montre l’image ci-dessous :
    méthodes d’intégration

    Toutefois, la méthode la plus simple consiste à placer le lien vers la page de votre politique de confidentialité dans le pied de page, soit directement, soit par le biais d’un menu ou d’un widget textuel ajouté à votre pied de page. Pour consulter le guide complet sur l’intégration de la politique de confidentialité et de cookies à WordPress, cliquez ici.

Commentaires

Une nouvelle fonctionnalité permet désormais aux commentateurs non connectés de définir des préférences relatives au stockage de leurs informations personnelles (nom, adresse e-mail et site Web) dans un cookie déposé dans leur navigateur.

case à cocher pour accepter les cookies sur les commentaires sur wordpress

L’option à activer se trouve dans l’onglet Réglages > Discussion.

paramètres des cookies sur les commentaires

Avantages

  • Cette fonctionnalité vous permet de recueillir un consentement précis à la finalité d’amélioration de l’expérience utilisateur des commentateurs sur votre site, à l’aide d’un cookie.
  • Les utilisateurs peuvent même y consentir lorsqu’ils ont refusé les cookies par le passé à l’aide de votre mécanisme principal de gestion des cookies, à condition que vous n’ayez pas configuré séparément votre système de gestion des cookies pour qu’il bloque ces cookies précis.
  • Elle permet également aux utilisateurs de comprendre la finalité de la collecte dans son contexte.

Limites et solutions

Principales limites

La nouvelle fonctionnalité ne porte que sur un type de cookie. En vertu du RGPD et, surtout, de la Loi cookies toujours en vigueur (qui s’applique en plus du RGPD), vous devez informer vos utilisateurs, par un moyen visible et suffisamment gênant comme un bandeau, de toutes les finalités pour lesquelles votre site utilise des cookies (à l’exception des cookies exemptés), et leur permettre de donner leur consentement par un acte positif (comme une case à cocher ou un bouton à activer), de refuser ces cookies ou de retirer leur consentement.

Solution

Pour vous mettre en conformité, que vous décidiez ou non d’utiliser cette nouvelle fonctionnalité, vous devez tout de même mettre en place une solution de gestion des cookies qui satisfait les exigences légales.

La Cookie Solution de iubenda satisfait toutes les dispositions légales et s’accompagne d’options de personnalisation complète, d’optimisation en vue d’obtenir le consentement des utilisateurs, d’enregistrement de preuves des préférences des utilisateurs, de consultation des statistiques du site, et plus encore. Le paramétrage de la Cookie Solution est encore plus facile avec notre module WordPress. Pour plus d’informations sur la façon d’intégrer la Cookie Solution à votre site WordPress, consultez le guide d’installation du module.

Gestion des données

Les nouvelles fonctionnalités de gestion des données vous permettent d’exporter facilement un fichier ZIP contenant les données personnelles d’un utilisateur précis ou d’effacer toutes les données d’un utilisateur précis, y compris les données recueillies par les modules compatibles.

La fonctionnalité d’exportation envoie un dossier ZIP contenant un « mini site Web » composé d’une page HTML sur laquelle sont listées les données personnelles de l’utilisateur, réparties dans différents groupes. Ces deux fonctionnalités proposent également aux propriétaires de site une nouvelle méthode de confirmation par e-mail des demandes relatives aux données personnelles pour les utilisateurs enregistrés et les commentateurs.

Avantages

  • Grâce à ces fonctionnalités, vous pouvez plus facilement respecter les exigences relatives au droit d’accès prévu à l’article 15 du RGPD en exportant les données de l’utilisateur et en les lui fournissant dans un format pratique et conforme.
  • Elle vous aident également à respecter plus facilement les exigences relatives au droit à l’effacement prévu à l’article 17 du RGPD.
  • Enfin, elles vous donnent la possibilité de demander facilement la confirmation de l’utilisateur par e-mail avant d’effectuer une action irréversible comme l’effacement de ses données.

Limites et solutions

Principales limites

Les fonctionnalités de gestion des données vous seront d’une aide précieuse et vous feront gagner beaucoup de temps. Toutefois, elles présentent quelques limites non négligeables dont vous devez avoir conscience. Pour commencer, elles permettent uniquement d’exporter les données recueillies par les modules compatibles. En d’autres termes, elles ne vous seront utiles que si les modules que vous utilisez sont connectés aux nouvelles fonctionnalités d’exportation et d’effacement. Cela signifie aussi qu’elles ne fonctionneront ni avec les modules qui n’ont pas été modifiés pour être compatibles ni avec les modules dont vous utilisez une ancienne version (c’est-à-dire que vous n’avez pas mis à jour) sur votre site. Dans le second cas, il vous suffira bien sûr de mettre à jour les modules concernés vers la version la plus récente.

Le vrai problème qui se pose ici réside dans l’absence (au moment de l’écriture de cet article) d’un référentiel central qui montrerait quels modules sont compatibles avec cette fonctionnalité. Par ailleurs, aucune mesure incitative n’a été prévue pour encourager les créateurs à assurer la compatibilité de leurs modules avec ces fonctionnalités. Il est donc peu probable que les créateurs de module s’embêtent à remanier leur code pour le rendre compatible.

Il convient toutefois de noter que, même si chaque module du site WordPress était compatible avec ces fonctionnalités, vous pourriez tout de même traiter des données utilisateur qui ne seraient pas gérées par des modules. Par exemple, si vous utilisez un service cloud ou un système externe de gestion des listes de diffusion, les données traitées par ces derniers ne seront pas automatiquement intégrées au nouveau système de gestion des données de WordPress. Il s’agit d’une limite importante à connaître, car le droit d’accès et le droit à l’effacement s’appliquent à TOUTES les données utilisateur, et non à certaines d’entre elles. Par conséquent, si vous vous appuyez sur un mécanisme incomplet ou ne fournissez qu’une partie des données, vous serez tout simplement en situation de non-conformité.

Cela dit, si vous êtes le seul à traiter les données personnelles des utilisateurs par le biais de la plateforme WordPress elle-même, ces nouvelles fonctionnalités suffiront probablement, car votre conformité ne dépendra pas de la compatibilité de divers modules tiers avec celles-ci.

Solutions :

Actuellement, la meilleure solution à ces problèmes comporte deux parties principales : des mesures préliminaires et des actions manuelles.

Mesures préliminaires

  • Choisissez des partenaires conscients des exigences du RGPD : assurez-vous que les sous-traitants avec lesquels vous travaillez respectent le RGPD et qu’ils ont mis en place des mesures visant à vous permettre de répondre aux demandes des utilisateurs, comme les demandes d’accès ou d’effacement. Ces informations devraient figurer dans l’Accord de traitement de données que vous avez conclu avec eux.
  • Ayez conscience de vos processus : évaluez votre cycle et vos systèmes de traitement des données et faites en sorte qu’ils vous permettent de répondre facilement à ces demandes. Voici quelques questions à vous poser,à titre d’exemple :
    • comment puis-je exporter facilement les données d’un utilisateur précis à partir de mes bases de données ? (La mise à jour de WordPress apporte une solution partielle à ce problème, puisqu’il se rapporte aux données stockées dans vos propres bases.)
    • comment puis-je accéder facilement aux données d’un utilisateur précis et les effacer complètement ? (Les nouvelles fonctionnalités de gestion des données facilitent aussi ces processus.)
    • quelles sont précisément les données dont je confie le traitement à des tiers et sont-elles considérées comme des données personnelles ?
  • Ayez conscience des données que vous traitez : tenez réellement compte du principe de minimisation des données établi par le RGPD et mettez-le en œuvre. Voici quelques questions à vous poser,à titre d’exemple :
    • quelles sont les données que je traite ?
    • sont-elles considérées comme des données personnelles ?
    • sont-elles strictement nécessaires à la prestation du service ?

Actions manuelles
Avec le système actuel, si vous utilisez des services tiers pour traiter des données personnelles (en dehors des services compatibles avec les outils de Gestion des données de WordPress), vous devrez manuellement identifier les données d’un utilisateur précis, les exporter des bases de données concernées et les mettre à sa disposition, ou les effacer s’il vous le demande. De façon générale, vous aurez en moyenne un mois pour accéder à sa demande (à quelques exceptions près).

En cas de demande d’accès, n’oubliez pas que vous devez fournir les données à l’utilisateur dans un format courant et facile d’accès (p.ex. une feuille de calcul).

Par ailleurs, en cas de demande d’effacement, il est utile d’informer l’utilisateur de façon préventive des conséquences de l’effacement complet de ses données, et notamment du fait que vos systèmes ne le reconnaîtront plus en tant qu’utilisateur (sauf s’il transmet à nouveau ses données à vos systèmes) et que vous ne pourrez donc plus accéder à ses demandes à l’égard de ses données.

Pour plus d’informations sur ces fonctionnalités de WordPress, consultez la section consacrée à la Vie privée du Guide destiné aux créateurs de module WordPress en cliquant ici.


Ces nouveaux ajouts indiquent que WordPress reconnaît l’importance de la conformité avec le RGPD et souhaite aider ses utilisateurs à en respecter les exigences. Toutefois, au bout du compte, la conformité requiert une étude personnalisée et il vous revient, en tant que responsable du traitement, d’évaluer vos activités de traitement de données de façon adéquate et de vous assurer de la conformité de vos systèmes et processus.

Les procédures telles que la tenue d’un registre du traitement et la réalisation d’une analyse d’impact relative à la protection des données peuvent vous être très utiles pour y parvenir.

C’est pourquoi, en nous appuyant sur le travail que nous avons effectué ces derniers mois autour du RGPD, nous avons compilé une liste de ressources et d’articles au sujet du RGPD pour vous assister davantage dans votre mise en conformité.

Voir aussi