WordPress a réalisé d’importants changements en lien avec le RGPD. Ces changements s’inscrivent dans la lignée des efforts de WordPress visant à simplifier la mise en conformité avec le RGPD pour ses utilisateurs. Toutefois, la seule utilisation de ces outils n’est pas une garantie de conformité.
Ci-dessous, nous passerons en revue les fonctionnalités importantes liées au RGPD et ce qu’elles peuvent vous apporter, ainsi que leurs limites et nos solutions pour les surmonter. C’est parti.
Pour les propriétaires d’un site WordPress, il est désormais plus facile de créer une page consacrée à la Politique de confidentialité en sélectionnant Réglages > Confidentialité dans votre tableau de bord WordPress. Dans cette section, vous pouvez sélectionner une page existante ou en créer une nouvelle et la désigner comme la page de votre politique de confidentialité.
Bien que cette fonctionnalité facilite la désignation d’une page, elle ne fournit pas de texte complet et applicable. Cela se comprend parfaitement puisque, pour vous mettre en conformité, vous devez mettre en place une politique de confidentialité qui s’applique à votre situation spécifique et qui inclut des informations pertinentes sur les données que vous traitez. Toutefois, si vous cliquez sur le bouton « Créer une nouvelle page », vous obtiendrez une ébauche de texte et un modèle rudimentaire.
Comme nous l’avons mentionné, cet outil ne génère pas de politique de confidentialité utilisable et conforme. S’il constitue un point de départ utile pour vous faire réfléchir aux types d’informations que vous devriez inclure dans votre politique de confidentialité, le texte du modèle est loin d’être conforme au RGPD.
Dans le guide qui accompagne la Politique de confidentialité, WordPress en informe les utilisateurs comme suit :
Veuillez modifier le contenu de votre politique de confidentialité. Assurez-vous de supprimer les exemples de textes et d’ajouter les différentes informations à propos de vos thèmes et extensions. Il est de votre responsabilité de rédiger une politique de confidentialité compréhensible, de vous assurer qu’elle reflète les exigences nationales et internationales sur la vie privée et de maintenir cette politique à jour et exacte.
Nous aurions beaucoup à écrire au sujet de l’ébauche de texte. Toutefois, au premier abord, on voit tout de suite que certaines sections (comme la section consacrée aux droits des utilisateurs sur leurs données) sont incorrectes ou incomplètes si vous souhaitez vous mettre en conformité avec le RGPD.
Comme la plupart des lois relatives à la vie privée, le RGPD exige que votre politique de confidentialité soit accessible depuis chaque page de votre site Web. Avec ce nouvel outil consacré à la vie privée, ce n’est pas automatique.
Ensuite, sélectionnez les services qui vous concernent :
Personnalisez les services si nécessaire, et sauvegardez. C’est tout ! Pour en savoir plus, consultez le guide Comment générer une politique en cliquant ici.
Toutefois, la méthode la plus simple consiste à placer le lien vers la page de votre politique de confidentialité dans le pied de page, soit directement, soit par le biais d’un menu ou d’un widget textuel ajouté à votre pied de page.
Une nouvelle fonctionnalité permet désormais aux commentateurs non connectés de définir des préférences relatives au stockage de leurs informations personnelles (nom, adresse e-mail et site Web) dans un cookie déposé dans leur navigateur.
L’option à activer se trouve dans l’onglet Réglages > Discussion.
La nouvelle fonctionnalité ne porte que sur un type de cookie. En vertu du RGPD et, surtout, de la Loi cookies toujours en vigueur (qui s’applique en plus du RGPD), vous devez informer vos utilisateurs, par un moyen visible et suffisamment gênant comme un bandeau, de toutes les finalités pour lesquelles votre site utilise des cookies (à l’exception des cookies exemptés), et leur permettre de donner leur consentement par un acte positif (comme une case à cocher ou un bouton à activer), de refuser ces cookies ou de retirer leur consentement.
Pour vous mettre en conformité, que vous décidiez ou non d’utiliser cette nouvelle fonctionnalité, vous devez tout de même mettre en place une solution de gestion des cookies qui satisfait les exigences légales.
L’outil Privacy Controls and Cookie Solution de iubenda satisfait toutes les dispositions légales et s’accompagne :
💡 Le paramétrage de Privacy Controls and Cookie Solution est encore plus facile avec notre plugin RGPD WordPress. Pour plus d’informations sur la façon d’intégrer Privacy Controls and Cookie Solution à votre site WordPress, consultez le guide d’installation du module.
Les nouvelles fonctionnalités de gestion des données vous permettent d’exporter facilement un fichier ZIP contenant les données personnelles d’un utilisateur précis ou d’effacer toutes les données d’un utilisateur précis, y compris les données recueillies par les modules compatibles.
La fonctionnalité d’exportation envoie un dossier ZIP contenant un « mini site Web » composé d’une page HTML sur laquelle sont listées les données personnelles de l’utilisateur, réparties dans différents groupes. Ces deux fonctionnalités proposent également aux propriétaires de site une nouvelle méthode de confirmation par e-mail des demandes relatives aux données personnelles pour les utilisateurs enregistrés et les commentateurs.
Les fonctionnalités de gestion des données vous seront d’une aide précieuse et vous feront gagner beaucoup de temps. Toutefois, elles présentent quelques limites non négligeables dont vous devez avoir conscience. Pour commencer, elles permettent uniquement d’exporter les données recueillies par les modules compatibles. En d’autres termes, elles ne vous seront utiles que si les modules que vous utilisez sont connectés aux nouvelles fonctionnalités d’exportation et d’effacement. Cela signifie aussi qu’elles ne fonctionneront ni avec les modules qui n’ont pas été modifiés pour être compatibles ni avec les modules dont vous utilisez une ancienne version (c’est-à-dire que vous n’avez pas mis à jour) sur votre site. Dans le second cas, il vous suffira bien sûr de mettre à jour les modules concernés vers la version la plus récente.
Le vrai problème qui se pose ici réside dans l’absence (au moment de l’écriture de cet article) d’un référentiel central qui montrerait quels modules sont compatibles avec cette fonctionnalité. Par ailleurs, aucune mesure incitative n’a été prévue pour encourager les créateurs à assurer la compatibilité de leurs modules avec ces fonctionnalités. Il est donc peu probable que les créateurs de module s’embêtent à remanier leur code pour le rendre compatible.
Il convient toutefois de noter que, même si chaque module du site WordPress était compatible avec ces fonctionnalités, vous pourriez tout de même traiter des données utilisateur qui ne seraient pas gérées par des modules. Par exemple, si vous utilisez un service cloud ou un système externe de gestion des listes de diffusion, les données traitées par ces derniers ne seront pas automatiquement intégrées au nouveau système de gestion des données de WordPress. Il s’agit d’une limite importante à connaître, car le droit d’accès et le droit à l’effacement s’appliquent à TOUTES les données utilisateur, et non à certaines d’entre elles. Par conséquent, si vous vous appuyez sur un mécanisme incomplet ou ne fournissez qu’une partie des données, vous serez tout simplement en situation de non-conformité.
Cela dit, si vous êtes le seul à traiter les données personnelles des utilisateurs par le biais de la plateforme WordPress elle-même, ces nouvelles fonctionnalités suffiront probablement, car votre conformité ne dépendra pas de la compatibilité de divers modules tiers avec celles-ci.
Actuellement, la meilleure solution à ces problèmes comporte deux parties principales : des mesures préliminaires et des actions manuelles.
Mesures préliminaires
Actions manuelles
Avec le système actuel, si vous utilisez des services tiers pour traiter des données personnelles (en dehors des services compatibles avec les outils de Gestion des données de WordPress), vous devrez manuellement identifier les données d’un utilisateur précis, les exporter des bases de données concernées et les mettre à sa disposition, ou les effacer s’il vous le demande. De façon générale, vous aurez en moyenne un mois pour accéder à sa demande (à quelques exceptions près).
En cas de demande d’accès, n’oubliez pas que vous devez fournir les données à l’utilisateur dans un format courant et facile d’accès (p.ex. une feuille de calcul).
Par ailleurs, en cas de demande d’effacement, il est utile d’informer l’utilisateur de façon préventive des conséquences de l’effacement complet de ses données, et notamment du fait que vos systèmes ne le reconnaîtront plus en tant qu’utilisateur (sauf s’il transmet à nouveau ses données à vos systèmes) et que vous ne pourrez donc plus accéder à ses demandes à l’égard de ses données.
Pour plus d’informations sur ces fonctionnalités de WordPress, consultez la section consacrée à la Vie privée du Guide destiné aux créateurs de module WordPress en cliquant ici.
Ces nouveaux ajouts indiquent que WordPress reconnaît l’importance de la conformité avec le RGPD et souhaite aider ses utilisateurs à en respecter les exigences. Toutefois, au bout du compte, la conformité requiert une étude personnalisée et il vous revient, en tant que responsable du traitement, d’évaluer vos activités de traitement de données de façon adéquate et de vous assurer de la conformité de vos systèmes et processus.
Les procédures telles que la tenue d’un registre du traitement et la réalisation d’une analyse d’impact relative à la protection des données peuvent vous être très utiles pour y parvenir.
Le plugin RGPD iubenda tout-en-un pour WordPress vous permet de gérer le consentement, créer une bannière de cookies, ajouter votre politique de confidentialité et définir vos conditions générales, en une unique extension.
Et ce n’est pas tout !
Le plugin analyse et évalue désormais votre site, vous montrant en un coup d’œil ce qui manque à votre conformité et les solutions à apporter.
💡 Notre module WordPress tout-en-un vous permet d’enregistrer, de consulter et de tenir à jour des registres de consentement RGPD complets pour vos formulaires Web. Par ici pour le guide d’installation de la Consent Solution.
C’est pourquoi, en nous appuyant sur le travail que nous avons effectué ces derniers mois autour du RGPD, nous avons compilé une liste de ressources et d’articles au sujet du RGPD pour vous assister davantage dans votre mise en conformité.