symbole WordPress

Comment respecter RGPD/GDPR avec WordPress

J’ai des sites web écrits sous WordPress et pour lesquels je me devais de respecter la nouvelle réglementation européenne RGPD (nouvelle en mai 2018). Quelques heures de travail pour trouver comment faire… J’ai donc décidé de partager mon expérience et la procédure que j’ai suivie ; pas très compliquée, mais assez longue au demeurant.

A noter : je ne suis pas un avocat ou un juriste, mais tout cela résulte de mes lectures et de ma compréhension du sujet.

Déploiement

Cookies

Première étape (normalement cela devrait être fait depuis longtemps puisque c’est antérieur) : ajouter le message d’information aux nouveaux visiteurs pour les prévenir de la présence de cookies.

J’ai utilisé un plug-in tout simple (il y en a d’autres, bien sûr) : Cookie Notice par dFactory.

Avantages: il génère un message en français (et en anglais), il a été testé sur plus de 500.000 sites avant le mien, il s’installe en moins d’une minute.

Formulaire de contact

Pour un bon nombre de raisons, vous avez besoin d’avoir un formulaire de contact qui permette de transmettre des demandes diverses (dont les demandes liées à la RGPD). Je recommande d’utiliser un éditeur de formulaires très simple (et gratuit) comme Ninja Forms.

En deux minutes, il est possible d’avoir un formulaire de contact. Ne pas oublier d’ajouter la case à cocher  « En utilisant ce formulaire, vous acceptez que nous stockions vos données sur ce site web » (cela reviendra sur chaque formulaire).

Ensuite, il suffit de créer une page « Contact » dans WordPress. Il faudra y intégrer le code spécifique pour afficher le formulaire de contact créé par Ninja Forms avec le shortcode suivant :

[ninja_form id=1]

Seule contrainte : plusieurs messages sont prévus en anglais, il faudra les traduire au mieux. Mais ce n’est pas trop compliqué.

Petite aide pour RGPD : les formulaires Ninja permettent aussi de préciser que l’on ne souhaite pas stocker les informations, ce qui permet de ne pas trop se préoccuper de cet aspect pour la plupart des formulaires les plus simples.

En complément, si vous avez un système de commentaires sur votre site WordPress, je recommande d’installer le plugin WP GDPR Compliance par Van Ons. Bonus : il fait des recommandations (en anglais) sur divers aspects liés à la RGPD.

Délégué à la protection des données

Désigner une personne (et son adresse email) qui sera l’interface interne pour tous les sujets de protection des données. Ce n’est pas toujours obligatoire (surtout pour les petits sites), mais il est recommandé d’avoir un nom et un contact qui permettent aux visiteurs de savoir à qui s’adresser, surtout si le site n’est pas simplement personnel (dans ce cas, le délégué est évident, c’est vous).

Prévoir que cette personne soit joignable par le formulaire de contact global ou par un formulaire spécifique.

Charte de respect de la vie privée

Avant tout, vous devez vous préoccuper de comment présenter clairement vos intentions en matière de respect de la vie privée de vos visiteurs et de respect de la loi. Pour cela, il vous faut une page qui dit tout.

Tâchez de la rédiger à peu près bien du premier coup, parce que vous devrez informer vos utilisateurs à chaque mise à jour…

C’est une page WordPress, plutôt qu’un article (elle doit rester très accessible même après plusieurs années).

Je vous recommande de suivre à peu près les thèmes de la Loi RGPD :

  • L’existence (ou non) d’un Délégué à la Protection des données, chargé de piloter le dispositif de protection des données
  • La définition des processus de collecte, de traitement, de stockage, de transfert et de suppression des données
  • La création d’un processus de notification des violations de données
  • Le consentement explicite du client lors de la collecte de données
  • Le droit d’accès et de suppression des données personnelles

Accès aux données personnelles

La loi vous impose de donner accès aux données personnelles d’un utilisateur telles qu’elles sont stockées sur le site. C’est faisable relativement simplement à l’aide d’un plugin (GDPR compliance par Scribit) et d’une page dans laquelle vous allez inscrire le seul shortcode :

[gdpruserdata]

Evidemment, il est facile d’ajouter des détails en se référant à la documentation du plugin pour être plus complet ou plus précis.

Il suffira de diriger les demandeurs sur cette page pour que s’affiche l’ensemble de leurs données personnelles. Comme ce n’est guère agréable à lire, je recommande de garder cela sur une page « masquée » (inutile d’apporter plus de confusion aux utilisateurs mais il faut pouvoir les diriger là-dessus sur simple demande).

Message d’annonce

Peut-être pas le plus compliqué, mais j’ai finalement ajouté un petit message sur le site lui-même pour annoncer le déploiement et la mise à disposition (c’est toujours mieux d’expliquer à ses visiteurs – surtout les habitués).

7 comments

  1. Bonjour,
    Vous utilisez le plugin Ninja forms et j’ai tenté d’aligner le texte sur la case à cocher mais sans succés. Avez-vous fait quelquechose de particulier pour y parvenir ?

  2. Non, je n’ai rien fait de particulier. L’alignement est imparfait mais convenable. Je pense que c’est surtout dépendant du CSS utilisé par votre site web.

  3. Bonjour, les blogueurs « privés » (aucune pub, juste un blog livresque) sur WP.COM (pas .org) sont-ils concernés? J’ai arrêté mon blog vendredi, par peur d’un excès de zèle d’internautes mal intentionnés, retiré mon formulaire de contact WP, les commentaires (désactivés depuis) et mème effcé mes abonnés « e-mail » qui apparaissaient sur ma liste d’abonnés…
    J’aimerais vraiment pouvoir poursuivre mon blog! Mais je crains que le widget de WP.COM soit insuffisant pour nous courvir. les Plugins de WP.org sont nettement plus complets…
    Je cherche désespérément des « textes » pour des mentions légales (dois-je vraiment en rédiger?) et les formulaires commentaires / contact..

  4. Pour autant que je puisse le comprendre, tous les sites web sont concernés. Par exemple, un simple blog WP sans pub contient des commentaires, enregistre des utilisateurs, a peut-être des statistiques Google Analytics, etc. Tout ça est de la donnée privée. Dans ma compréhension et celle de la plupart des lecteurs informés, cela oblige aux mêmes choses. Mais (et c’est important) :

    • Pas d’argent = la sanction financière à 4% du chiffre d’affaires devient très théorique.
    • La liste des contraintes devient beaucoup plus légère (il n’y a pas besoin de désigner un « Responsable des Données Privées » si on fait tout soi-même.
    • WP et ses plug-ins les plus standard prennent la RGPD en compte de plus en plus clairement ; il faut au moins suivre le mouvement avec des actions relativement simples comme celles que j’essaye de décrire dans l’article.

    En fait, nous nous devons d’être attentifs à nos responsabilités de blogueur (rémunéré ou pas) vis-à-vis de la vie privée et des données de nos visiteurs. Un site web, ce n’est pas anodin. Ce n’est pas un cauchemar, mais il faut s’en préoccuper.

    Ensuite, je doute que les juges se précipitent sur « le petit blogueur de lycée » avant de s’occuper des « grosses sociétés ». Donc, en priorité : être conforme à l’esprit de la loi parce que mes visiteurs sont des amis que je me dois de protéger même de mon propre site. Tout en se souvenant qu’un mauvais coucheur peut avoir un considérable pouvoir de nuisance (j’anime un site de copropriété immobilière ; je ne tiens pas à un « accident bête » avec un « mauvais coucheur » toujours possible).

    C’est l’occasion de réfléchir à ce que fait notre site, à comment communiquer à son sujet, à repenser notre politique sur les publicités, à l’archivage pas forcément nécessaire de certaines données, à comment fonctionne une liste de messagerie, etc.

  5. Isa,
    J’ai oublié de répondre à la dernière question sur les textes et formulaires.

    D’une part, il n’est pas interdit de s’inspirer des textes présents sur d’autres sites web (les miens ?) tout en sachant que la question du copyright va rapidement s’effacer devant la nécessité que chacun a d’adapter ce texte à son propre usage et à son propre site web. La rédaction n’est pas instantanée, mais j’ai construit ma propre charte de respect de la vie privée en piochant des petits bouts ici ou là, et en ajoutant/adaptant petit à petit.

    Ce n’est pas du boulot d’avocat ou de spécialiste ? Non. Mais la RGPD demande d’être simple, lisible, clair (tout le contraire des contrats et des règlements écrits par un avocat). Et c’est un travail intéressant que de se poser ces questions les unes après les autres.

  6. Bonjour,
    Je pensais que RGPD demandait au niveau des cookies , sur le bandeau, d’avoir le choix entre J’accepte, Je refuse et En savoir Plus
    La loi dit, il me semble « Les sites doivent fournir une option d’opt-out »

    Merci

  7. La loi est bien plus large que cela. Elle demande surtout de s’assurer **a priori** que le visiteur peut refuser la collecte de données personnelles. Donc la collecte de données pour les cookies, mais aussi tout le reste…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.