Souhaitez-vous savoir comment rendre votre site WordPress conforme au GDPR ? Alors découvrez la suite de cet article.
Si vous êtes dans le monde WordPress depuis un certain temps, vous avez certainement entendu parler du GDPR. Mais qu’est-ce que cela signifie réellement ? Qui est concerné ? Quelles sont les sanctions en cas de non-conformité ? Et à quoi servent les notifications de cookies ? Dans l’ensemble, le GDPR est-il quelque chose d’important pour vous ?
Dans cet article, nous répondrons à ces questions et à bien d’autres, et nous vous donnerons quelques solutions simples pour rendre votre site WordPress conforme au GDPR. Bien que cela puisse sembler être une réglementation légale compliquée, il est en fait assez simple pour la plupart des sites de suivre toutes les règles.
Lançons-nous !
Avertissement juridique
Cet article ne constitue pas un conseil juridique. Si vous avez des questions ou des inquiétudes concernant le GDPR, vous devriez contacter un avocat.
Qu’est-ce que le GDPR ?
GDPR est l’acronyme de General Data Protection Regulation (règlement général sur la protection des données). Il s’agit d’un règlement adopté par l’Union européenne en 2016 et entré en vigueur en 2018.
Il fait plus de 200 pages et comprend de nombreuses réglementations sur la manière dont les données des utilisateurs sont collectées et traitées. Vous pouvez lire un guide détaillé du GDPR sur Wikipedia ou le lire en entier sur gdprinfo.eu.
Quelles sont les exigences du GDPR ?
Bien que le règlement dans son intégralité soit assez complexe, il vous oblige essentiellement à demander explicitement le consentement des citoyens de l’UE avant de collecter ou d’utiliser leurs données à caractère personnel.
Ces données comprennent des éléments évidents comme les adresses électroniques, mais aussi les données de Google Analytics, les adresses IP et d’autres types d’informations personnelles. Vous devez également signaler immédiatement toute violation ou piratage, et permettre aux utilisateurs de supprimer ou d’exporter leurs données en temps voulu.
Principales exigences du GDPR pour les sites web :
- Indiquer clairement l’usage que vous ferez des données (dans votre politique de confidentialité).
- Obtenir l’autorisation d’utiliser des cookies
- Demander aux citoyens de l’UE leur consentement avant de collecter ou d’utiliser leurs données personnelles.
- N’envoyez des courriels qu’aux abonnés qui ont accepté de s’inscrire sur votre liste.
- Si les utilisateurs vous demandent d’accéder à leurs données et/ou de les supprimer, vous devez vous y conformer.
Qui est soumis au GDPR ?
Il y a essentiellement deux groupes qui sont soumis au GDPR :
- Les organisations basées dans l’UE ou qui y sont présentes. Même si les données sont traitées en Antarctique, vous êtes soumis au GDPR.
- Les organisations qui vendent ou traitent les données de toute personne se trouvant dans l’UE. Il s’agit donc de non-citoyens et même de touristes. La localisation de votre entreprise n’a pas d’importance, seule compte celle du client.
Les 8 principaux droits prévus par le GDPR
Plus précisément, le GDPR confère huit droits aux individus. Examinons brièvement chacun d’entre eux :
- Droit d’être informé. Les personnes doivent comprendre comment vous allez collecter et utiliser leurs données. C’est dans votre politique de protection de la vie privée que vous devez le faire.
- Droit d’accès. Si quelqu’un demande ses données, vous devez les lui fournir.
- Droit de rectification. Cela signifie que les personnes ont le droit de corriger ou de modifier toute information que vous détenez à leur sujet.
- Droit à l’effacement. Également appelé “droit à l’oubli”, ce droit signifie que si une personne vous demande de supprimer ses données, vous devez le faire.
- Droit de restreindre le traitement. Une personne peut vous demander de ne conserver que les données la concernant et de ne pas les utiliser à d’autres fins.
- Droit à la portabilité. Les données à caractère personnel doivent pouvoir être exportées dans un format courant, tel que .xls ou .csv. Vous ne pouvez pas leur fournir des données formatées de manière étrange ou confuse.
- Droit d’opposition. Les personnes peuvent toujours s’opposer à l’utilisation de leurs données à quelque fin que ce soit.
- Droits liés à la prise de décision automatique (comme le profilage). Il s’agit essentiellement d’une liste de règles sur la manière dont vous êtes autorisé à utiliser le profilage.
Faut-il s’inquiéter du GDPR ?
Même s’il n’y a pas lieu de s’inquiéter, vous devez absolument mettre votre site web en conformité avec le GDPR. C’est particulièrement le cas si vous avez un grand nombre d’utilisateurs de l’Union européenne. Si vous n’êtes pas conforme, vous vous exposez à de lourdes amendes et à d’autres maux de tête.
Si vous n’avez pas d’utilisateurs européens, vous pouvez tout de même vous poser la question : Cela en vaut-il la peine ? Dois-je me préoccuper de toutes ces questions relatives au GDPR ?
La réponse : oui, vous devez le faire. Cela vaut quand même la peine d’installer l’un des plugins que nous mentionnons ci-dessous. Cela ne vous prendra qu’une heure, au maximum, et vous n’aurez plus à vous soucier des conflits futurs.
Certains sites ont “résolu” le problème du GDPR en bloquant toutes les IP provenant de l’Union européenne, mais comme vous pouvez l’imaginer, ce n’est pas une bonne idée, surtout si vous comptez sur le trafic ou le bouche-à-oreille. Cela donne également une très mauvaise impression de vous à vos lecteurs européens.
Fausses idées courantes
Examinons quelques fausses idées sur la mise en conformité avec le GDPR. De nombreuses informations erronées circulent en ligne et il peut être difficile de déterminer ce qui est réellement légitime.
Dois-je demander à mes abonnés de se réabonner ?
Non, mais seulement s’ils ont volontairement rejoint votre liste et consenti à recevoir des communications de votre part. Si vous avez ajouté des abonnés à votre liste sans obtenir leur consentement, vous devez leur demander de se réinscrire. Si vous ne le faites pas, vous enfreignez le GDPR !
Cela dit, ne pas utiliser de listes opt-in est de toute façon une perte de temps, car ce n’est pas une méthode pour gagner des abonnés de qualité.
Dois-je cesser de collecter des adresses IP personnelles ?
Cela reste autorisé, à condition que vous mettiez en place des mesures de sauvegarde pour protéger les données des utilisateurs. Il s’agit principalement d’être ouvert et transparent sur les données que vous collectez, d’avoir une politique de confidentialité et de permettre aux utilisateurs de supprimer leurs données.
Plus précisément, vous devez prévoir un moyen pour les utilisateurs de demander la suppression de leurs données. Par exemple, un formulaire de contact.
Dois-je ajouter une case à cocher de consentement aux boîtes de commentaires et de contact ?
Probablement pas, surtout si vous utilisez l’un des plugins de formulaire de contact mentionnés ci-dessous.
Que se passe-t-il si votre site web n’est pas conforme ?
Les sanctions varient en fonction de la taille de votre organisation, de la nature de l’infraction et d’un certain nombre d’autres facteurs. Pour les infractions graves, les sanctions peuvent aller jusqu’à 2 millions d’euros ou 4 % du chiffre d’affaires mondial de l’année précédente. Ce n’est pas rien !
Pour en savoir plus sur les sanctions prévues par le GDPR, cliquez ici.
Et si vous pensiez que ces amendes n’étaient que des “suggestions”, prenez garde. Entre janvier 2020 et le 27 janvier 2021, l’UE a infligé près de 200 millions de dollars d’amendes. Parmi les contrevenants figurent Google, H & M, British Airways et Marriott Hotels.
Comment rendre votre site WordPress conforme au GDPR
Votre site est-il conforme au GDPR ? Cela dépend de la situation et de ce que vous faites sur votre site. Les exigences seront différentes selon que vous vendez des produits, envoyez des lettres d’information par courrier électronique ou publiez simplement du contenu.
Voici quelques exigences de base pour différents cas d’utilisation.
- Si vous avez un site de commerce électronique, vous devez permettre aux utilisateurs de voir toutes les données que vous avez collectées à leur sujet, s’ils le demandent. Vous devez également permettre aux utilisateurs de supprimer leur compte et/ou d’exporter les données qu’il contient.
- Si vous avez une lettre d’information électronique, vous ne devez envoyer des courriels qu’aux abonnés qui ont explicitement accepté de s’inscrire sur votre liste. N’envoyez pas d’e-mails aux abonnés que vous n’avez pas ajoutés de cette manière.
- Si vous avez un site d’adhésion, vous devez permettre aux utilisateurs de supprimer leur compte et/ou leurs données. Il peut s’agir simplement d’un formulaire “supprimer mon compte” sur une page spécifique. Vous devez également permettre aux utilisateurs de modifier ces données en cas d’erreur.
- Si vous avez un blog avec des commentaires, vous devez permettre aux utilisateurs de supprimer leurs commentaires.
- Si vous utilisez des cookies (ce qui est le cas de pratiquement tous les sites), installez l’un des plugins de cookies que nous mentionnons ci-dessous.
En outre, pour tous les sites, vous devez disposer d’une politique de confidentialité.
Passons maintenant à un certain nombre d’autres choses que vous pouvez faire pour vous assurer que vous n’aurez pas de problèmes.
Veillez à ce que WordPress soit toujours mis à jour
Tout d’abord, vous devez toujours mettre à jour votre site WordPress avec la version la plus récente. Les versions les plus récentes de WordPress comprennent des mises à jour qui concernent directement la protection des données des utilisateurs.
Depuis WordPress 4.9.6, le logiciel WordPress.org lui-même est conforme au GDPR. Les changements apportés par cette mise à jour concernent notamment les commentaires, les paramètres de confidentialité, etc. Lisez le rapport complet de la mise à jour ici.
Collecte des courriels
Si vous recueillez l’adresse électronique de vos utilisateurs, vous aurez certainement besoin d’une case à cocher dans votre formulaire d’inscription. Heureusement, cette fonctionnalité est incluse dans presque tous les plugins d’email marketing et de formulaires de contact :
- MailPoet propose un guide complet pour vous assurer que vos formulaires et vos courriels sont conformes au GDPR.
- ConvertPro vous aide à rester conforme au GDPR lorsque vous inscrivez des utilisateurs à votre lettre d’information et à d’autres listes.
- MailChimp facilite la collecte d’adresses électroniques et l’envoi d’e-mails en toute sécurité.
Bien que cela ne soit pas strictement obligatoire, c’est aussi une très bonne idée d’activer le double opt-in pour vos newsletters. Cela signifie que les abonnés devront confirmer leur inscription avant que vous ne leur envoyiez des courriels et, comme vous pouvez l’imaginer, cela renforce considérablement votre argumentaire en faveur du consentement.
WooCommerce / eCommerce
WooCommerce propose à la fois un bref aperçu du GDPR pour les utilisateurs du commerce électronique et une variété d’autres guides pour des questions spécifiques. Ils recommandent trois mesures de base à prendre :
- Créer une politique de confidentialité qui détaille les données que vous collectez.
- Permettre aux utilisateurs de demander et d’effacer leurs données
- Élaborer un plan de divulgation d’une violation de données, dans le cas malheureux où elle se produirait.
WooCommerce ne stocke pas de données personnelles, mais plusieurs de ses extensions le font. Consultez cette page pour plus d’informations sur les extensions qui le font.
Ajouter une politique de confidentialité
Vous devriez toujours avoir une politique de confidentialité sur votre site web. Celle-ci indique clairement quelles données vous recueillez et comment vous les recueillez.
Par défaut, WordPress dispose d’un générateur de politique de confidentialité intégré. Pour l’utiliser, allez dans Réglages > Confidentialité puis cliquez sur Créer pour créer une page de politique de confidentialité. C’est facile !
WP AutoTerms est un autre plugin gratuit utile qui vous aide à générer une variété d’accords juridiques pour des réglementations telles que CCPA, GDPR ou Amazon Associates affiliate link disclosure.
Google Analytics / Autres outils d’analyse
Google Analytics suit un certain nombre de données personnelles différentes, il est donc important de comprendre et d’utiliser un plugin qui collecte ces données de manière responsable. Google lui-même a mis en œuvre de nombreuses exigences au sein de l’écosystème publicitaire. L’année dernière, il a lancé le mode consentement, qui permet à vos paramètres de s’adapter dynamiquement, en fonction du niveau de consentement de l’utilisateur.
MonsterInsights est l’un des plugins d’analyse les plus populaires pour WordPress. Ils ont un guide complet sur l’utilisation de leur plugin en conformité avec les réglementations GDPR et leur pack premium comprend également un addon EU GDPR Compliance pour faciliter le processus.
Permettre aux utilisateurs d’exporter et de supprimer leurs données
Si vous recueillez des données sur les utilisateurs dans le cadre de votre site web, il est essentiel que vous leur permettiez de les supprimer. Il peut s’agir d’informations personnelles, d’images, de commentaires ou d’autres détails.
Il existe un certain nombre de plugins qui ajoutent cette fonctionnalité. Essayez l’un des deux ci-dessous. Si vous ne souhaitez pas utiliser de plugin, vous devez créer un formulaire de contact permettant aux utilisateurs de vous contacter et de demander la suppression de leurs données.
WP Delete User Accounts
Ce plugin ajoute un bouton “supprimer” à la page du profil de l’utilisateur. Vous pouvez également l’ajouter à n’importe quelle autre page en utilisant un shortcode.
Delete Me
Ce plugin simple permet à certains types d’utilisateurs de supprimer leur propre compte. Pour ce faire, il crée une page de suppression qui demande une confirmation avant de supprimer le compte. Bien que légèrement dépassé, Delete Me devrait encore fonctionner pour la plupart des gens.
Utiliser un plugin acceptant les cookies de consentement GDPR
Quel que soit votre site, vous devez utiliser un plugin pour demander le consentement à l’utilisation de cookies. Heureusement, il existe un certain nombre de plugins gratuits qui facilitent cette tâche.
Ce plugin entièrement gratuit permet aux utilisateurs d’un site web d’activer ou de désactiver les cookies. Vous pouvez également personnaliser les couleurs et le texte du modèle.
Ce plugin gratuit crée un avis de cookie avec des options d’acceptation et de refus. Par défaut, les cookies ne seront pas activés tant que le bouton Accepter n’aura pas été pressé.
Complianz – Consentement aux cookies GDPR/CCPA
Complianz est un plugin de consentement aux cookies qui prend en charge le GDPR, le California Consumer Privacy Act (CCPA) et d’autres politiques mondiales. Vous pouvez configurer l’acceptation des cookies pour des régions particulières, comme les États-Unis, le Canada ou l’Europe. La version gratuite est limitée à une région à la fois, tandis que la version payante offre des fonctionnalités supplémentaires.
Surbma | GDPR Proof Cookie Consent & Notice Bar
Ce plugin demande aux utilisateurs d’accepter ou de refuser les cookies. S’ils refusent, les scripts de suivi comme Google Analytics et Facebook Pixel ne se chargeront pas.
Uniquement utiliser des plugins et des thèmes conformes au GDPR
Il existe plus de 50 000 plugins WordPress. Si la plupart des meilleurs d’entre eux ont mis en œuvre des politiques compatibles avec le GDPR, ce n’est pas le cas de tous. Cela est particulièrement vrai si les développeurs du plugin ne sont pas basés dans l’Union européenne.
Vous devez donc toujours vous assurer que les plugins ou les thèmes que vous utilisez sont conformes au GDPR. Veillez à ce qu’ils ne collectent pas de données d’une manière jugée illégale par la réglementation, sinon vous risquez des amendes salées !
Obtenez l’autorisation avant de partager ou d’utiliser des données
Si vous envisagez d’utiliser les données de vos utilisateurs d’une manière ou d’une autre, vous devez d’abord leur demander la permission. Il peut s’agir de vendre l’accès aux données, de vendre les données elles-mêmes ou de les utiliser d’une manière qui n’est pas prévue dans l’accord initial accepté par les visiteurs.
Supposons par exemple que vous teniez un blog sur la cuisine. Les abonnés s’inscrivent volontairement à votre liste pour recevoir du contenu de votre part. Si vous vendez votre site web et la liste d’adresses électroniques qui l’accompagne, vous devrez reconfirmer tous les abonnés.
Notifier les utilisateurs en cas de piratage ou de violation
Si vous êtes la malheureuse victime d’un piratage ou d’une violation, vous êtes tenu d’en informer tous les utilisateurs dès que possible. Selon la réglementation officielle, vous disposez de 72 heures pour signaler une violation à partir du moment où vous en avez pris connaissance.
Si vous utilisez un site web optimisé pour WordPress, il est probable que vous deviez d’abord contacter votre hébergeur. Il pourra vous aider à gérer le piratage.
Utiliser un outil de test
Enfin, pour un niveau de sécurité supplémentaire, essayez d’utiliser un outil qui vérifie si votre site est conforme au GDPR. Bien que leur exactitude ne soit pas garantie, le processus peut néanmoins s’avérer utile.
Essayez l’un des outils suivants :
Votre site est-il conforme au GDPR ?
Nous espérons que ce guide vous a aidé à rendre votre site conforme au GDPR. Bien que la longue liste de réglementations puisse sembler décourageante, il est assez simple de la mettre en place.
En résumé, pour être conforme au GDPR, vous devrez :
- informer tous les utilisateurs de l’existence de cookies et obtenir leur consentement
- proposer des mécanismes permettant aux utilisateurs de supprimer ou d’exporter leurs données dans un format courant
- N’envoyer des courriels qu’aux abonnés qui se sont explicitement inscrits.
- Ne pas utiliser les données d’un client s’il s’y oppose.
- Maintenez votre site WordPress et vos plugins/thèmes à jour.
Avez-vous des difficultés à comprendre les exigences du GDPR ? Avez-vous besoin d’aide pour un aspect particulier du processus ? Faites-le nous savoir dans les commentaires. et nous ferons un guide à ce sujet !
