Comment rendre votre site Web WordPress conforme au RGPD

Publié: 2021-02-04
Comment rendre votre site Web WordPress conforme au RGPD

La suprématie de WordPress sur les autres systèmes de gestion de contenu est imbattable. Avec plus de 60 millions d'utilisateurs, le règne de WordPress restera inchangé. Dans cet article, je partagerai quelques conseils utiles pour que votre site Web WordPress soit conforme au RGPD.

Qu'est-ce que le Règlement Général sur la Protection des Données (RGPD) ?

Le Règlement général sur la protection des données (RGPD) est une législation sur la protection des données adoptée par le Parlement européen en avril 2016. L'intention derrière l'élaboration du règlement est de protéger les pays de l'Union européenne (UE) et de l'Espace économique européen (EEE) contre les violations de données. La loi vise à protéger les droits et la liberté des personnes avec ses normes pour faire des affaires sur le territoire de l'UE.

Le RGPD de l'UE est entré en vigueur le 25 mai 2018, depuis que de nombreux États membres et de l'UE ont apporté des modifications importantes à leurs lois sur la protection des données pour s'adapter à la réglementation et l'appliquer.

L'arrivée du RGPD a poussé de nombreuses organisations à se mettre en conformité. Dans la plupart des cas, le non-respect du RGPD entraîne l'imposition de lourdes amendes. Elle s'applique à toute organisation, organisme ou individu qui traite les données personnelles des personnes dans les pays de l'UE/EEE.

Le fondement du RGPD repose sur ses principes de traitement des données. Ces principes sont souvent les facteurs déterminants de la conformité au RGPD. De plus, les droits des personnes de l'UE en matière de données font du RGPD de l'UE une législation importante en matière de confidentialité et de protection des données dans le monde.

Les sept principes du RGPD

  • Licéité, équité et transparence : les données personnelles doivent être traitées de manière licite, loyale et transparente. Il devrait y avoir des bases légales pour le traitement des données personnelles, dont le consentement s'applique dans la plupart des cas (sites Web). La collecte de données personnelles et leur traitement ultérieur sans le consentement librement donné et exprimé sans ambiguïté de l'utilisateur est illégal.
  • Limitation de la finalité : les données collectées ne doivent être traitées que dans le but prévu.
  • Minimisation des données : ne collectez pas de données en plus ou en plus de ce qui est requis pour votre objectif.
  • Précision : Gardez les données collectées exactes et à jour. Les données inexactes doivent être effacées ou rectifiées sans délai.
  • Limitation de stockage : Ne stockez pas les données personnelles plus longtemps que nécessaire.
  • Intégrité et confidentialité (sécurité) : stocker et traiter les données collectées en toute sécurité.
  • Responsabilité : Vous devez assumer la responsabilité de vous conformer au RGPD et justifier la conformité de votre organisation si nécessaire.

Les droits RGPD des personnes

Cela donne aux gens un certain contrôle sur leurs données :

  • Ils donnent aux personnes le droit d'être informé : le droit de demander des détails sur les activités de traitement des données
  • Le droit d'accès : le droit d'accéder et de recevoir une copie des données personnelles stockées
  • Droit de rectification : le droit de rectifier les données personnelles en cas d'inexactitude ou de mettre à jour
  • Le droit à l'effacement (Droit à l'oubli) : le droit de supprimer ses données
  • Droit de restreindre le traitement : le droit de restreindre les activités de traitement des données
  • Le droit au transfert de données : le droit de transférer des données à une autre organisation
  • Et le droit d'opposition : le droit de s'opposer aux activités de traitement des données
  • Prise de décision et profilage automatisés : le droit de s'opposer à la prise de décision automatisée basée sur le profil de l'utilisateur

Vous pouvez lire le texte intégral du règlement ici.

11 façons de rendre votre site WordPress conforme au RGPD ?

Je vous propose 11 façons de démarrer votre site Web WordPress avec la conformité GDPR, avec quelques recommandations de plugins et d'applications.

Avant de continuer, je vous suggère de ne pas oublier de mettre à jour la version WordPress vers 4.9.6 ou une version supérieure pour obtenir des fonctionnalités étonnantes pour aider votre site Web à se conformer au RGPD.

Gardez une trace de vos activités de traitement de données

Passez en revue votre base de données et la façon dont votre site Web collecte et gère les données personnelles des utilisateurs, y compris les plugins et autres services externes.

Il vous en dira beaucoup sur les domaines sur lesquels vous devez travailler et les zones à risque qui pourraient causer des problèmes.

Afficher l'avis de consentement aux cookies

Tout site Web nécessite une notification de consentement aux cookies pour informer les utilisateurs des cookies qu'il stockera sur leur appareil. Et, conformément aux normes GDPR, vous ne pouvez pas stocker de cookies (marketing, analytique) tant que vous n'avez pas le consentement explicite des utilisateurs.

Par conséquent, votre gestion des cookies doit s'assurer qu'elle fournit des informations adéquates sur les cookies et bloquer ces cookies avant d'obtenir le consentement de l'utilisateur.

Tout d'abord, vous devez vérifier le site Web pour les cookies. Vous pouvez facilement le faire en utilisant des scanners de cookies en ligne gratuits. Ensuite, vous devez ajouter une bannière de cookies qui alertera les utilisateurs du site Web sur ces cookies.

Divers plugins, tels que GDPR Cookie Consent ou des applications de consentement aux cookies, vous aideront à installer une bannière de consentement aux cookies sur votre site WordPress. Il bloquera également automatiquement les cookies tiers avant que l'utilisateur n'y consente. Vous pouvez également modifier le contenu de la bannière en fonction des besoins de votre site Web. Il ajoute également un tableau d'audit des cookies sur votre site Web pour partager les informations avec les utilisateurs.

Ajouter des cases à cocher de consentement pour les formulaires de site Web

Vos formulaires de site Web WordPress doivent avoir des cases à cocher de consentement pour collecter des données personnelles à travers eux. Vous ne pouvez pas stocker les données saisies dans le formulaire sans que l'utilisateur coche la case de consentement.

Il est crucial de noter que les cases de consentement pré-cochées ne sont pas valides et sont considérées comme une violation du RGPD.

WPForms est un excellent plugin pour ajouter des formulaires de site Web conformes au RGPD. Ils disposent de "fonctionnalités d'amélioration du GDPR pour arrêter la collecte ou le stockage des données utilisateur saisies dans le formulaire, telles que l'adresse IP et les informations sur l'appareil, et désactiver les cookies de suivi.

Le champ "Accord RGPD" ajoutera une case à cocher de consentement au formulaire pour demander le consentement de l'utilisateur pour le stockage de ses données.

Implémenter le double opt-in pour les e-mails

Il est conseillé d'intégrer une méthode de double opt-in pour enregistrer le consentement de l'utilisateur pour l'envoi de newsletters ou d'e-mails marketing.

Le double opt-in vérifie les abonnements des utilisateurs en envoyant un lien de vérification par e-mail après leur inscription au marketing par e-mail.

Chaque e-mail doit inclure un lien de désabonnement permettant aux utilisateurs de retirer leur consentement ou d'annuler l'abonnement à tout moment.

Activer les paramètres pour les droits d'utilisateur

Votre site Web WordPress doit disposer de paramètres système pour permettre aux utilisateurs d'exercer les droits GDPR.

Dans WordPress 4.9.6 et supérieur, il existe des paramètres permettant aux utilisateurs d'effacer ou d'exporter leurs données personnelles.

Pour activer ces paramètres :

  • Cliquez sur Outils sur le tableau de bord WordPress
  • Sélectionnez Exporter les données personnelles ou Effacer les données personnelles

Vous devez soumettre l'adresse e-mail pour envoyer les e-mails aux utilisateurs afin de vérifier leur demande.

Supprimer les données personnelles étape 1
Supprimer les données personnelles étape 2

En outre, vous pouvez mettre en œuvre d'autres mesures pour vérifier et exécuter d'autres demandes liées aux droits des utilisateurs, telles que le droit d'accès, le droit de restreindre le traitement ou le droit de modifier les données.

Des plugins comme Delete Me permettent aux utilisateurs de supprimer leurs données du site Web.

Obtenez la certification SSL de votre site Web

Les certificats SSL sont de petits fichiers de données qui chiffrent toutes les données échangées entre le navigateur de l'utilisateur et le serveur lorsqu'ils sont hébergés sur un serveur Web.

Par conséquent, si l'utilisateur partage des données personnelles telles que des informations de paiement, il les crypte et maintient la connexion sécurisée.

Renforcer la sécurité de connexion

Les sites Web WordPress peuvent obliger les utilisateurs à créer des comptes pour publier des commentaires, des liens. Si le point de connexion du site Web n'est pas assez puissant, il peut être facile pour les pirates de pénétrer dans le site.

La meilleure pratique pour renforcer la sécurité de la connexion consiste à mettre en œuvre une authentification à deux facteurs (2FA). 2FA est la méthode de journalisation qui utilise deux éléments de preuve ou plus en plus de la simple combinaison nom d'utilisateur-mot de passe.

Il serait également avantageux de n'autoriser que les mots de passe forts contenant des caractères alphanumériques.

Conserver des sauvegardes de données à distance

En cas de violation de données entraînant une perte de données, le maintien des sauvegardes de données s'avérera crucial. Vous pouvez restaurer les données que vous avez perdues.

Cependant, conserver la sauvegarde des données est un peu délicat. Vous devez vous assurer que les sauvegardes de données sont conformes au RGPD. Vous devez les garder très en sécurité. Et la restauration des données est également un type de traitement, qui sera soumis au contrôle du RGPD.

Cela peut également affecter certains droits des utilisateurs, tels que le droit de suppression, car les utilisateurs peuvent ne pas être conscients de la présence d'une sauvegarde.

Par conséquent, les sauvegardes à distance ne doivent être effectuées qu'avec les conseils appropriés d'experts.

BackWPup est un excellent plugin pour les sauvegardes à distance. Il crypte les données en toute sécurité et crée un journal pour une documentation facile. Vous recevrez immédiatement une notification d'alerte si la sauvegarde rencontre un problème.

Mettre à jour votre politique de confidentialité

Pour vous conformer à l'exigence de transparence du RGPD, vous devez informer vos utilisateurs sur :

  • les types de données personnelles que le site web collecte
  • la finalité de la collecte des données personnelles
  • comment le site Web utilise, stocke et partage les données
  • méthode pour retirer le consentement de l'utilisateur
  • comment les utilisateurs peuvent demander à accéder, effacer ou modifier leurs données
  • moyens pour les utilisateurs de demander l'arrêt du traitement de leurs données ou de les transférer ailleurs
  • ce que vous faites pour protéger les données personnelles

La page de politique de confidentialité de votre site Web doit refléter toutes ces informations. WordPress version 4.9.6 et supérieure vous permet d'ajouter une page de politique de confidentialité à votre site.

  • Cliquez sur Paramètres dans le tableau de bord WordPress
  • Sélectionnez Confidentialité

Vous verrez une option pour créer une page de politique de confidentialité.

Générateur de politique de confidentialité

Il ouvre une page d'éditeur déjà générée où il vous suffit d'ajouter des informations pertinentes à votre site Web. Ou, pour vous faciliter la tâche, vous pouvez utiliser un générateur de politique de confidentialité en ligne gratuit qui créera un contenu prêt à l'emploi pour la page de politique avec toutes les informations pertinentes. Vous n'aurez plus qu'à copier et coller le texte dans l'éditeur.

Vérifier l'accord GDPR des plugins et des applications

Les plugins aident un site Web WordPress à fonctionner plus facilement et à étendre sa liste de fonctionnalités. Cela ressort des nombreux exemples de plugins mentionnés précédemment.

Cependant, vous ne devez jamais manquer de consulter l'accord RGPD de tous les plugins et applications externes que vous installez. S'ils ne respectent pas les normes GDPR, cela mettra votre site Web en danger. Vous devez vous assurer qu'ils disposent de mesures adéquates pour protéger les données qu'ils collectent ou que votre site Web partage avec eux.

Les services tiers populaires se sont alignés sur le GDPR, mais vous devez toujours rester prudent.

Choisissez un fournisseur d'hébergement Web conforme au RGPD

Si votre site Web est hébergé sur un serveur Web, vous devez vous assurer que ses mesures de sécurité sont conformes aux normes GDPR.

Toutes les données que vous stockez sur le système serveur doivent être conservées en toute sécurité, en adoptant des mesures techniques et organisationnelles appropriées.

Par conséquent, choisissez un fournisseur d'hébergement conforme au RGPD.

Emballer

Il convient de mentionner que suivre ces étapes jusqu'au T ne garantira pas la conformité à 100 % au RGPD pour votre site Web WordPress. Vous voudrez peut-être demander conseil à un professionnel pour éviter tout risque de violation.

Cependant, ceux-ci sont utiles pour mettre votre site Web sur la bonne voie pour se conformer au RGPD.

Si j'ai raté un point important, n'hésitez pas à me le faire savoir dans les commentaires. J'apprécierais vos réflexions sur ce sujet.