RGPD et WordPress
Publié: 2022-11-10RGPD signifie Règlement général sur la protection des données. Il s'agit d'un vaste règlement de l'UE (Union européenne) qui représente les exigences minimales pour toute personne manipulant les données des citoyens de l'UE. Le règlement compte 99 articles, répartis en 11 chapitres. Bien que cela puisse sembler intimidant, le décomposer peut nous aider à comprendre ses points clés et son impact sur les sites Web WordPress.
Suite à la promulgation du RGPD par l'UE, plusieurs autres pays et juridictions ont mis à jour leurs lois en s'inspirant de ce règlement, notamment le Royaume-Uni, le Japon, le Brésil, la Turquie et d'autres. La Californie, en particulier, a sa propre version appelée CCPA – California Consumer Privacy Act.
Dans cet article, nous examinerons les principes fondamentaux du RGPD, en accordant une attention particulière à leur lien avec la sécurisation des données personnelles.
Avis de non-responsabilité : cet article ne constitue pas un avis juridique. Vous devez prendre au sérieux les lois sur la confidentialité. Les sanctions en cas de violation des règles du RGPD peuvent être très sévères, allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires total, selon la somme la plus élevée. En cas de doute, demandez conseil à un professionnel.
Table des matières
- 1. Une introduction au RGPD de WordPress
- 2. Que sont les données personnelles
- 3. Collecte de données personnelles sur WordPress
- 4. RGPD et sécurité des données
- 5. WordPress est-il conforme au RGPD ?
- 6. Premiers pas avec la conformité technique GDPR
- 7. Plugins WordPress pour vous aider à vous conformer au RGPD
- 8. Foire aux questions
Une introduction au RGPD de WordPress
WordPress GDPR fonctionne de la même manière que tout autre site Web GDPR. Comme GDPR est très complet, la façon dont vous l'implémenterez dépendra en grande partie du type de site Web WordPress que vous utilisez. Bien que certains aspects de la réglementation soient universels, d'autres aspects dépendront de votre mise en œuvre et de votre activité. Par exemple, les exigences d'un site Web de commerce électronique varieront considérablement de celles d'un site WordPress exécutant un blog.
Les quatre acteurs du RGPD
Avant de commencer à examiner les principes fondamentaux du RGPD, il convient de prendre quelques minutes pour comprendre qui sont les acteurs. Considérez les acteurs comme des rôles que le RGPD identifie comme essentiels à sa mise en œuvre. Il y a quatre acteurs que nous devons connaître. Comprendre ces rôles nous aidera à mieux comprendre qui est responsable de quoi et rendra la compréhension de la réglementation beaucoup plus accessible.
1. La personne concernée
Dans le cas des sites Web WordPress, les personnes concernées sont les visiteurs de notre site Web originaires de l'Union européenne. Le terme personne concernée fait directement référence à la personne à qui appartiennent les données que nous collectons.
2. Le responsable du traitement
En tant que propriétaire du site Web qui collecte des données, c'est vous. Les contrôleurs de données ont plusieurs responsabilités. Nous les passerons en revue lorsque nous examinerons les sept principes du RGPD.
En tant que responsable du traitement, vous devez être en mesure de démontrer que vous êtes conforme au RGPD. Ne pas le faire vous classe comme non conforme à toutes fins utiles. À cette fin, il est utile de comprendre de quoi les responsables du traitement sont tenus responsables aux yeux de la loi.
3. Le sous-traitant
Les sous-traitants sont les personnes ou entreprises qui traitent les données pour le compte du responsable du traitement (vous).
Remarque complémentaire : à ce stade, il est essentiel de comprendre ce que le RGPD considère comme un traitement de données, car l'entité qui traite les données a certaines obligations. À cette fin, GDPR considère toute action entreprise sur les données comme un traitement de données, de la simple collecte et du stockage à l'utilisation, à l'organisation et à toute autre forme de traitement.
4. Le délégué à la protection des données (DPO)
Le délégué à la protection des données, appelé DPO en abrégé, est une personne qui assume la responsabilité de la conformité GDPR sur les données personnelles collectées. Bien que tous les contrôleurs de données et processeurs de données n'aient pas besoin d'un DPO, vous pouvez toujours en nommer un au sein de votre organisation pour assurer la conformité avec le RGPD.
Les sept principes du RGPD
Comme mentionné précédemment, le RGPD comporte sept principes régissant le traitement des données personnelles. Ces principes sont basés sur la protection des données et la responsabilité, garantissant ainsi le respect de la législation. Ensemble, ces principes agissent comme un cadre qui peut vous aider à vous conformer au RGPD.
Principe 1 : Traitement licite, équitable et transparent
Vous devez traiter les données conformément aux dispositions prévues par la loi et de manière loyale et transparente pour la personne concernée. Cela signifie que vous devez être clair et franc sur les données que vous collectez, pourquoi vous en avez besoin et comment vous les utiliserez. Il est tout aussi important de s'assurer que toutes les informations sont fournies dans un anglais simple.
Principe 2 : Traitement légitime
Vous devez traiter les données conformément au consentement de la personne concernée. Comme indiqué précédemment, vous devez obtenir le consentement de l'utilisateur/visiteur avant de collecter et de traiter ses données.
Principe 3 : Collecte minimale de données
Seules les données directement nécessaires au traitement et pour lesquelles l'utilisateur a donné son consentement doivent être collectées. C'est une bonne pratique même en dehors du RGPD puisqu'elle suit le principe de réduction des pièces mobiles.
Principe 4 : Exactitude des données
Vous devez maintenir à jour les données personnelles collectées. Toute personne concernée peut demander que ses données soient effacées ou mises à jour - et vous devrez remplir cette demande dans les 30 jours. Dans de tels cas, vous devez prendre « toutes les mesures raisonnables » pour vous conformer aux souhaits de la personne concernée.
Principe 5 : Stockage des données
Vous devez conserver les données aussi longtemps que nécessaire. Comme cela peut être très subjectif (quand un client cesse-t-il d'être client ?), un avis juridique professionnel est fortement encouragé pour vous assurer de ne pas enfreindre ce principe.
Principe 6 : Sécurité, confidentialité et intégrité des données
Ce principe est le plus technique des sept. Il incombe au responsable du traitement des données de s'assurer que des protections contre l'accès non autorisé, le vol, la perte, la destruction ou les dommages sont mises en place pour garantir l'intégrité et la confidentialité des données personnelles.
Principe 7 : Responsabilité
La responsabilité est essentielle pour garantir que vous respectez toujours les exigences du RGPD. Cela signifie disposer de la documentation, des procédures, des avis, des enregistrements et des évaluations de processus conformes au RGPD nécessaires. Le RGPD stipule que le responsable du traitement doit être en mesure de prouver qu'il se conforme au RGPD.
Qu'est-ce qu'une donnée personnelle ?
Le RGPD n'est pas là pour protéger tous les types de données. Son objectif principal est de protéger les données personnelles. À cette fin, les données personnelles comprennent toutes les données permettant d'identifier directement ou indirectement une personne. Comme la définition des données personnelles est assez ouverte, pécher par excès de prudence est la stratégie recommandée.
Collecte de données personnelles sur WordPress
Selon la façon dont vous avez configuré votre site Web WordPress, vous pouvez collecter différents types de données personnelles auprès de vos utilisateurs et visiteurs Web. En tant que responsable du traitement des données, vous êtes responsable d'identifier les données personnelles collectées et de vous assurer que tous les processus associés sont conformes au RGPD.
Cela peut être assez simple lorsque vous êtes à la fois le responsable du traitement et le sous-traitant. Un exemple de ceci est la conformité WooCommerce GDPR sans utilisation de services externes. Cependant, les choses peuvent devenir un peu plus troubles lors de l'utilisation de services tiers tels que l'analyse et la publicité.
Bien que le RGPD n'interdise pas la collecte de données personnelles, il établit des réglementations spécifiques sur la manière dont les données peuvent être collectées, traitées et stockées. Bien qu'une compréhension complète de la réglementation soit recommandée, l'UE propose sept principes directeurs pour vous aider à façonner votre stratégie de données afin de vous conformer aux exigences du RGPD.
RGPD et sécurité des données
La sécurité des données est un aspect important du RGPD, encourageant les mesures techniques et organisationnelles pour assurer la protection et la sécurité des données. Pour se conformer au RGPD, la protection des données doit être « par conception et par défaut ». Cela signifie que vous devez intégrer des considérations de protection des données dans tout ce que vous faites plutôt qu'une réflexion après coup.
Mesures techniques
GDPR.EU donne deux exemples de mesures techniques que vous pouvez prendre pour protéger les données de vos utilisateurs. Le premier est l'authentification à deux facteurs, qui, heureusement pour les administrateurs WordPress, est facile à mettre en œuvre grâce à WP 2FA. Ce plugin WordPress 2FA prend en charge plusieurs canaux d'authentification. Il est livré avec de nombreuses fonctionnalités utiles pour vous aider à garantir le succès continu de votre déploiement 2FA.
Le deuxième exemple fait référence au chiffrement de bout en bout. Il est important de noter que le RGPD n'impose pas le chiffrement pur et simple. Au lieu de cela, il met l'accent sur les mesures appropriées pour sécuriser les données personnelles - le cryptage étant un exemple d'une telle mesure. Ces mesures, quelles qu'elles soient, devraient couvrir deux états de données – les données en transit et les données au repos.
Comprendre les données en transit et les données au repos
Les données en transit sont des données qui sont envoyées sur un réseau. D'un autre côté, les données au repos font référence aux données qui sont en place, telles que les données d'une base de données. L'utilisation d'un certificat SSL/TLS sur votre WordPress vous aidera à vous assurer que les données en transit sont cryptées. Le cryptage des e-mails et des autres canaux de communication est tout aussi important.
Les données personnelles au repos sont légèrement plus compliquées. Tout d'abord, vous devez identifier le type de données personnelles que vous stockez dans votre base de données WordPress. Nous avons couvert cela dans une section précédente. Bien que WordPress ne collecte pas de données personnelles par défaut, les formulaires personnalisés et les plugins tiers peuvent collecter ces données.
WordPress n'offre pas de chiffrement des données pour le moment. Par conséquent, vous devez prendre d'autres mesures pour vous assurer que les données sont aussi sécurisées que possible. Une politique de mot de passe WordPress forte est l'une des mesures que vous pouvez prendre pour vous assurer que l'accès est aussi sécurisé que possible. Bien sûr, cela devrait accompagner une politique d'accès qui respecte le principe du moindre privilège.
Collecte de données et consentement
Vous devez minimiser[a] la collecte de données à la nécessité absolue pour l'objectif pour lequel elle est collectée et, dans la mesure du possible, vous devez l'anonymiser[b]. Même dans ce cas, il est essentiel de toujours obtenir le consentement de la personne concernée, en expliquant pourquoi vous collectez les données et comment vous les utiliserez.
Le consentement est une partie importante du RGPD. Le consentement doit être sans ambiguïté, ce qui signifie que vous ne pouvez pas le cacher dans les petits caractères. Vous devez vous assurer de rédiger toutes les politiques dans un langage clair et simple. De plus, vous devez obtenir le consentement séparément - en ce sens que vous ne pouvez pas l'inclure avec d'autres déclarations.
Les personnes concernées ont également le droit de retirer leur consentement à tout moment. Le retrait du consentement doit être rendu aussi simple que le fait de donner son consentement. En outre, les personnes concernées conservent le droit d'effacement, où elles peuvent demander que toutes les données personnelles les concernant soient effacées.
Traitement de l'information
Le site Web WordPress typique collecte et traite les données de différentes manières. Bien qu'il soit pratiquement impossible de couvrir toutes les manières dont les données sont collectées et traitées sur tous les sites Web, nous pouvons examiner quelques exemples typiques pour comprendre comment le RGPD les affecte.
Analytique
Les outils d'analyse, tels que Google Analytics et Hotjar, pour n'en nommer que quelques-uns, traitent les données des clients en votre nom. Aux yeux du GDPR, cela en fait un processeur de données tiers. Même ainsi, vous êtes toujours responsable de ce qu'il advient de ces données, ce qui signifie que vous devez prendre certaines précautions pour assurer la conformité.
Une chose qu'il est très important d'avoir est ce qu'on appelle l'accord de traitement des données. Cet accord écrit, que les deux parties doivent signer, détaille explicitement les responsabilités de chaque partie. Ce document est juridiquement contraignant et sa signature peut vous éviter bien des ennuis.
Ceci est particulièrement important si vous avez des intégrations avec des tiers, que ce soit via un plugin d'analyse ou directement. Dans tous les cas, il est essentiel de comprendre quelles données sont collectées, qu'il s'agisse d'informations de géolocalisation,
Biscuits
Les outils d'analyse, WordPress, certains plugins et thèmes utilisent des cookies pour stocker et suivre les informations des utilisateurs et des visiteurs. En tant que contrôleur de données, vous devez savoir ce que fait chaque cookie et obtenir une autorisation explicite pour la collecte de données de chaque cookie.
De plus, l'utilisateur doit pouvoir choisir ce à quoi il donne son consentement et également pouvoir retirer son consentement à tout moment. Les consentements doivent être renouvelés chaque année et doivent être conservés en tant que documents juridiques.
Consentement aux cookies RGPD
Les cookies sont soumis à leur propre réglementation européenne depuis 2002 - lorsque la directive ePrivacy, également connue sous le nom de loi sur les cookies, est entrée en vigueur. L'UE a encore modifié cette loi en 2009. Elle agit comme un complément au RGPD de l'Union européenne et, dans certains cas, la remplace.
La directive ePrivacy, EPD en abrégé, est sur le point de disparaître et devrait être remplacée par l'EPR - ePrivacy Regulation.
La différence entre une directive et un règlement est d'ordre technique. Les directives doivent être incorporées dans la loi par le gouvernement de chaque pays au sein de l'UE, tandis que les règlements sont des lois à l'échelle de l'UE.
Dans tous les cas, pour vous y conformer, vous devez :
- Demander aux utilisateurs leur consentement explicite avant d'utiliser des cookies
- Fournir aux utilisateurs des informations en langage clair sur chaque donnée suivie lorsqu'ils s'inscrivent
- Autoriser les utilisateurs à accéder au service complet même s'ils refusent certains cookies
- Documenter le consentement de l'utilisateur
- Autoriser les utilisateurs à retirer leur consentement
WordPress est-il conforme au RGPD ?
WordPress a introduit plusieurs fonctionnalités dans la version 4.9.6 qui facilitent grandement la conformité au RGPD. Bien que ces fonctionnalités ne vous rendent pas nécessairement conforme au RGPD (nous en reparlerons plus tard), elles vous aideront à vous assurer que les bases sont couvertes.
Exportation des données personnelles
Vous pouvez facilement exporter toutes les données d'un utilisateur s'il dépose une demande de données. Pour exporter les données personnelles d'un utilisateur, accédez simplement à Outils > Exporter les données personnelles et entrez le nom d'utilisateur ou l'adresse e-mail de l'utilisateur dans la zone de texte fournie.
Vous pouvez également envoyer un e-mail de confirmation en cochant la case E-mail de confirmation.
Effacement des données personnelles
Pour respecter le droit à l'oubli, WordPress propose également une fonctionnalité d'effacement des données personnelles. Vous pouvez accéder à cette fonctionnalité en accédant à Outils > Effacer les données personnelles. Comme la fonction d'exportation de données personnelles, il existe également une option pour envoyer un e-mail de confirmation.
Politique de confidentialité
Avoir une page de politique de confidentialité n'est qu'un petit pas vers la conformité au RGPD - mais un pas très important. Bien qu'avoir une politique de confidentialité personnalisée soit idéal car cela vous permet de tout rendre compte, avoir un modèle peut vous aider à démarrer plus rapidement - c'est précisément ce que propose WordPress.
Vous pouvez accéder à cette fonctionnalité en accédant à Paramètres > Confidentialité et en suivant les instructions fournies.
Case à cocher Consentement
Pour aider à la conformité des cookies GDPR, WordPress est livré avec une case à cocher de consentement aux cookies intégrée, qui est activée par défaut. Gardez à l'esprit que cela n'est valable que pour les utilisateurs de commentaires - vous devez vous occuper du reste si vous configurez autre chose qui dépose un cookie.
Vous pouvez activer ce paramètre en accédant à Paramètres > Discussions.
Se conformer au RGPD
Se conformer au RGPD n'est pas un processus ponctuel que vous pouvez effectuer une fois et jeter au bas de la pile. Bien que l'exercice de conformité initial soit le plus laborieux de tous, investir du temps supplémentaire ici rapportera des dividendes à l'avenir.
Non seulement cela maintiendra la conformité de votre site Web, mais cela garantira également que la maintenance et les mises à jour prennent le moins de temps possible. À cette fin, vous devrez :
Faites le point – La première étape que vous devez franchir consiste à évaluer les données personnelles que vous collectez et où elles sont stockées. Les listes de marketing par e-mail, les profils d'utilisateurs et les données d'utilisateur stockées dans les cookies sont des éléments que vous devez prendre en compte. Assurez-vous de noter les informations identifiables, y compris les pseudonymes, les adresses IP, etc. La liste réelle dépendra des données que vous collectez et de la manière dont vous les traitez.
Installez un plug-in de consentement et assurez-vous qu'il existe une case à cocher de consentement pour chaque traitement de données. Alors que nous parlerons plus de ces plugins dans peu de temps,
Pages juridiques conviviales – Assurez-vous que toutes les pages de politique, telles que votre page de politique de confidentialité, sont rédigées dans un anglais simple et compréhensible par tous.
Bannière de consentement aux cookies - Ajoutez une bannière d'avis de cookie qui informe l'utilisateur ou le visiteur des données que vous collectez et pourquoi tout en offrant la possibilité d'accepter ou de refuser.
Premiers pas avec la conformité technique RGPD
La mise en conformité avec le RGPD nécessite à la fois des efforts techniques et opérationnels. Bien que vos obligations dépendent de votre configuration et de votre situation spécifiques, les bases ont tendance à être les mêmes. Ceux-ci inclus:
- Renforcez le serveur Web WordPress
- Renforcez PHP pour la sécurité de WordPress
- Renforcer le site WordPress
Une politique de mot de passe WordPress solide est un autre aspect crucial de la conformité au RGPD, car elle garantit une meilleure sécurité globale du compte. Vous pouvez facilement l'implémenter avec WPassword, qui comprend de nombreuses options de sécurité de mot de passe WordPress pour garder votre WordPress sécurisé. De même, l'activation de 2FA sur WordPress peut vous rapprocher de la conformité au RGPD, de nombreuses études montrant à quel point 2FA peut être efficace pour arrêter la plupart des attaques.
Une chose à garder à l'esprit est que la sécurité WordPress est un processus itératif - ce n'est pas quelque chose que vous configurez une fois et que vous oubliez, mais il nécessite une surveillance et des ajustements constants pour s'assurer qu'il reste solide à mesure que la technologie évolue.
Plugins WordPress pour vous aider à atteindre la conformité GDPR
L'optimisation GDPR n'a pas besoin d'être fastidieuse. Grâce aux plugins WordPress, vous pouvez facilement vous assurer de respecter toutes vos obligations. Gardez à l'esprit qu'aucun plugin ne peut garantir une conformité complète. Étant donné que les exigences peuvent varier d'un site Web à l'autre, il vous appartient de vous assurer que vous respectez toutes les exigences légales. En cas de doute, consultez un avocat.
Cookieyes s'attache à aider les propriétaires de sites à se conformer aux exigences du RGPD en matière de cookies. En outre, il prend également en charge la conformité avec l'aCCPA, la CNIL et la LGDP.
Complianz se présente comme la suite de confidentialité pour WordPress, offrant un ensemble complet d'outils qui comprend des avis de cookies, des pages juridiques, des enregistrements de consentement et de nombreuses autres fonctionnalités. MonsterInsights est un plug-in prêt pour le RGPD qui vous permet de mettre Google Analytics en conformité avec le RGPD. Il offre de nombreuses autres fonctionnalités non liées au RGPD, notamment l'analyse et le suivi.
WPassword vous permet d'implémenter des politiques de mot de passe pour vos utilisateurs, garantissant l'utilisation de mots de passe forts. Avoir des mots de passe WordPress forts minimise votre risque de violation, garantissant que les données des utilisateurs sont toujours en sécurité.
WP Activity Log conserve un journal d'activité de l'activité des utilisateurs et du système sur vos sites Web WordPress, enregistrant qui a fait quoi et quand. Il comprend également un module de session utilisateur pour vous aider à mieux gérer les sessions utilisateur.
WP 2FA vous permet d'implémenter facilement 2FA sur votre site Web WordPress - une exigence du GDPR et d'autres normes et réglementations, y compris PCI DSS. Il offre plusieurs canaux d'authentification pour vous aider à intégrer tous les utilisateurs.
Comment choisir les plugins RGPD
Caractéristiques – Les plugins se présentent sous différentes formes et tailles avec différents ensembles de fonctionnalités et à différents prix. Alors que les plugins gratuits sont toujours agréables, les plugins premium ont tendance à avoir plus de fonctionnalités professionnelles, que votre site Web pourrait trouver essentielles à son succès.
Intégration – Vous devrez vous assurer que tout plugin que vous choisissez peut fonctionner avec votre thème WordPress et tous les plugins tiers que vous pourriez exécuter, tels que les plugins de formulaire de contact. Les meilleurs plugins WordPress sont toujours testés avec les principaux plugins tiers, garantissant une mise en œuvre plus fluide dans la plupart des cas.
Tarification - La plupart des plugins sont disponibles dans une version premium et une version gratuite. Dans la plupart des cas, la version gratuite offrira des fonctionnalités de base, tandis que la version premium inclura des modules complémentaires qui peuvent ou non être importants pour votre site Web et votre entreprise. Les versions gratuites peuvent être téléchargées à partir du référentiel WordPress officiel sur WordPress.org, et les plugins premium sont généralement téléchargés à partir du site Web du fabricant.
Support - Parfois, les choses se cassent et lorsqu'elles se produisent, il est essentiel d'avoir un bon support pour minimiser les temps d'arrêt. Cela peut prendre la forme d'une assistance par e-mail, d'une documentation et d'une FAQ RGPD pour vous aider à obtenir des réponses rapides à des questions importantes. Cela peut également vous aider à vous assurer que de l'aide est à portée de main si vous en avez besoin à tout moment.
Questions fréquemment posées
Que signifie WP RGPD ?
WP GDPR est un acronyme qui signifie WordPress General Data Protection Regulation. Il fait référence à la conformité GDPR sur les sites Web WordPress, ce qui nécessite une bonne compréhension à la fois du GDPR et des données utilisateur que vous collectez auprès des visiteurs et des utilisateurs du site Web.
WordPress est-il conforme au RGPD ?
WordPress offre des fonctionnalités conformes au RGPD ; cependant, cela ne rend pas nécessairement tous les sites Web WordPress conformes au RGPD. Selon la façon dont vous configurez votre site Web WordPress, l'utilisation que vous en faites et les données que vous collectez, vous devrez peut-être prendre des mesures supplémentaires pour vous conformer au RGPD.
Comment rendre WordPress conforme au RGPD ?
Vous devez faire plusieurs choses pour rendre votre WordPress conforme au RGPD. Malheureusement, il n'y a pas de formule unique qui s'applique à tout le monde puisque les sites Web WordPress peuvent être radicalement différents les uns des autres. Consultez notre article pour comprendre quelles sont vos responsabilités et quelles mesures vous devez prendre pour vous conformer au RGPD.