RGPD & WordPress : Comment mettre en conformité mon site internet ?

Le RGPD encadre le recueil et l’utilisation des données personnelles

Quelques rappels sur le RGPD

Entré en vigueur en 2018, le règlement général sur la protection des données personnelles (RGPD) est le texte juridique qui encadre le traitement des données personnelles au niveau européen. Ce texte juridique s’applique à toute organisation qui collecte et utilise des données personnelles sur des résidents de l’Union européenne.

Le RGPD impose plusieurs règles aux entreprises et gestionnaires de sites web à propos de la collecte et de l’utilisation des données à caractère personnel. 

Une donnée personne est une information qui permet d’identifier directement ou indirectement un individu : nom, prénom, email, téléphone, données démographiques, données géographiques. Les adresses IP et les cookies sont aussi considérés comme des données personnelles dans la mesure où ils permettent de remonter à l’individu indirectement.

Pour en savoir plus, nous vous invitons à découvrir nos articles dédiés au RGPD. Nous avons produit une série de pages pour vous familiariser avec cette nouvelle réglementation.

Les contrôles de la CNIL se multiplient

La CNIL multiplie les contrôles pour vérifier que les entreprises respectent les règles du RGPD. Les sanctions prévues en cas de non conformité sont très lourdes. Elles peuvent atteindre jusqu’à 4% du chiffre d’affaires de votre société (ou de votre patrimoine personnel si vous êtes un entrepreneur individuel) et jusqu’à 20 millions d’euros.

Si vous gérez un site WordPress et que vous utilisez votre site pour collecter des données personnelles (formulaire, inscription à la newsletter…), vous devez absolument respecter les règles du RGPD. Cela tombe bien, nous allons vous partager quelques conseils pour mettre votre site internet WordPress en conformité avec le RGPD. 

Les 3 règles fondamentales du RGPD

Le RGPD contient un ensemble de règles, d’interdictions et d’obligations qui vous impactent directement si vous gérez un site WordPress. Les voici.

La première règle est le consentement. La collecte de données personnelles est soumise (sauf quelques exceptions) au consentement des internautes. Par exemple, vous ne pouvez pas collecter des données personnelles via des formulaires sans demander le consentement aux personnes concernées. Nous verrons tout à l’heure comment mettre en pratique cette règle.

La deuxième règle est la sécurisation des données personnelles. Vous devez assurer un niveau optimal de sécurité des données que vous stockez dans votre système d’information. Votre système d’information ne doit pas présenter de failles de sécurité. Votre entreprise est responsable de la sécurité des données qui sont dans vos bases, sur vos serveurs.

La troisième règle se résume dans ce que l’on appelle le “droit des personnes”. Un individu a le droit de rectifier, de modifier ou de demander la suppression des données personnelles que vous collectez sur lui. Vous devez donc mettre en place les process permettant de garantir ce droit à tout moment.

Les prestataires WordPress sont eux aussi concernés par le RGPD

Si vous êtes une agence WordPress qui accompagne des clients dans la création et la gestion de leurs sites web, vous êtes pleinement concernés par le RGPD. En effet, le RGPD inclut dans son périmètre tous les sous-traitants. 

Pour en savoir plus sur ce sujet complexe, nous vous invitons à découvrir notre page dédiée aux sous-traitants RGPD.

Quelques bonnes pratiques pour mettre en conformité RGPD un site web WordPress

Passons maintenant à la pratique. Vous avez un site WordPress et vous voulez vous mettre en conformité avec le RGPD. Nous allons vous présenter les principales bonnes pratiques, une checklist des étapes classiques à réaliser pour mettre en conformité votre site internet WordPress.

1 – Créer une page de politique de confidentialité & cookies

Tous les sites internet utilisent des données personnelles (y compris des cookies) doivent créer une page d’information expliquant quelles sont les données collectées, quelles sont les bases légales des traitements, pourquoi elles sont collectées, pour quelle durée, les modalités proposées aux internautes pour rectifier ou supprimer leurs données, etc.

Cette page doit présenter votre politique en matière de gestion des données personnelles et des cookies de manière claire et transparente. 

Tous les sites sérieux disposent d’une page de ce type. Nous vous conseillons de consulter plusieurs sites dans votre domaine pour vous inspirer. Les pages de confidentialité sont dans 95% des cas accessibles depuis le pied de page (footer). Il existe également des modèles personnalisables sur internet. 

Pour que cette page reflète fidèlement votre gestion des données personnelles, il peut valoir le coup de demander conseil auprès d’un expert : un avocat expert en Données Personnelles et en Droit de l’internet, ou bien un Data Protection Officer (DPO).

2 – Mettre à jour tous vos formulaires de collecte

Le formulaire est l’outil par excellence pour recueillir des données personnelles auprès des visiteurs de votre site WordPress. Il permet de collecter l’email, le nom et le prénom aussi, voire d’autres informations personnelles.

Le RGPD, nous l’avons vu, met l’accent sur le recueil des consentements. Dans un projet de mise en conformité RGPD, l’une des étapes incontournables est la mise en conformité des formulaires : formulaires d’inscription à la newsletter, formulaires de téléchargement, formulaires d’inscription à un service, etc.

Ces formulaires sont généralement gérés par des services tiers, soit des solutions d’emailing (comme Mailchimp par exemple) ou des solutions de Lead Generation (comme OptinMonster). Si vous êtes dans ce cas, vous devez mettre en conformité les formulaires depuis ces outils.

Voici les règles pour mettre en conformité un formulaire WordPress :

• Précisez les raisons de la collecte. Par exemple : “Recevez notre livre blanc !”.
• Mentionnez les droits des personnes : droit de rectification, droit de désabonnement…
• Insérez un lien vers votre politique de confidentialité.
• Si vous envisagez de partager les données à des partenaires, demandez le consentement via une case à cocher (qui ne doit pas être précochée!).

3 – Passez en revue tous les plugins WordPress

Vous utilisez certainement plusieurs plugins, voire des dizaines de plugins ! Dans une optique de mise en conformité au RGPD, vous devez inspecter chaque plugin pour vous assurer que les traitements qu’ils vous permettent de faire ou qu’ils font d’eux-mêmes respectent le règlement.

Vous devez bien sûr prêter une attention particulière aux plugins qui servent à collecter les consentements (formulaires, gestion des commentaires…) et aux plugins qui exploitent des données personnelles (plugins marketing, plugins analytics…).

C’est un travail de longue haleine, car vous devez mener une petite enquête sur chaque plugin en allant consulter la documentation officielle, les forums, etc. D’ailleurs, cette étape peut être l’occasion de faire le tri parmi les extensions que vous utilisez. 

4 – Sécurisez les données personnelles dans WordPress

Nous l’avons vu, le RGPD oblige les entreprises à mettre tout en oeuvre pour sécuriser les données personnelles. Voici quelques pistes d’actions pour sécuriser les données :

• Mettez en place un process de suppression ou de modifications des données. La durée de conservation des données est limitée, vous devez donc prévoir un process d’effacement automatique des données au bout d’un certain temps. Le RGPD limite par exemple la durée de conversation des contacts inactifs à 36 mois.
• Mettez en place un process pour donner la possibilité aux utilisateurs de rectifier ou supprimer leurs données personnelles. Le must est d’utiliser un logiciel dédié pour déployer un “centre des préférences”. Pour en savoir plus, lire notre article sur les logiciels RGPD. 
• Sécurisez au maximum les données en utilisant des mesures de chiffrage, de pseudonymisation. En cas de faille de sécurité détectée, vous devez impérativement en informer la CNIL dans un délai de 72 heures. Si la faille est susceptible d’avoir des impacts importants sur les utilisateurs (par exemple si la faille concerne les données de carte bancaire…), vous devez aussi informer les utilisateurs concernés par la fuite.
• Créez un registre des traitements dans lequel vous listez l’ensemble des traitements, leur finalité, les données concernées ainsi que les responsables des traitements. Vous devez tenir ce registre continuellement à jour. C’est en principe au DPO de gérer. Nous avons consacré un article complet sur ce document obligatoire.

Le back office de WordPress offre des fonctionnalités permettant de gérer les demandes d’effacement des données. Par exemple, l’onglet Outils > Effacer les données de votre administration.

La mise en conformité d’un site WordPress ne s’improvise pas…

Nous avons passé en revue les principales étapes à suivre pour mettre en conformité un site internet WordPress. Comme vous pouvez le constater, il y a un grand nombre d’étapes. Et encore, nous n’avons pas pu aborder tous les points. Chaque projet de mise en conformité est sur mesure pour la simple et bonne raison que chaque site WordPress est unique. Il est impossible de proposer un tutoriel étape par étape présentant toutes les étapes de mise en conformité pour votre site.

Aussi, nous n’avons pas pu entrer dans le détail de chaque étape. 

Inutile de vous préciser qu’il s’agit d’un travail de longue haleine nécessitant une vraie expertise.

Par ailleurs, nous n’avons pas abordé le cas particulier des sites ecommerce WordPress. Si vous avez un site WooCommerce par exemple, vous devrez réaliser les réglages présentés plus haut plus certains traitements spécifiques : la mise à jour des CGV, la mise en conformité des formulaires de commande, des avis clients…

Sans solides compétences techniques et juridiques, il est très difficile de réaliser la mise en conformité RGPD de son site WordPress de manière autonome. De manière systématique, nous recommandons à nos lecteurs le recours à un professionnel. Ce n’est pas un luxe, surtout quand on connaît les sanctions prévues en cas de non-conformité…