Nous avons donc modifié le site (c’est un travail dans les soutes qui ne se voit pas beaucoup, il est vrai) pour retirer Google Analytics et commencer à utiliser une solution complètement intégrée au site lui-même (avec stockage des données éventuellement privées en France). Nous utilisons donc maintenant l’outil Matomo.

Dans les semaines à venir les pages qui mentionnent l’usage de Google Analytics seront également modifiées pour refléter ce changement.

Il ne devrait pas y avoir d’impact sur la navigation au quotidien. Mais signalez-nous tout incident éventuel.

1. le site à reconstruire en urgence.
2. les mots de passe à changer.
3. plusieurs heures perdues pour pas grand chose.

Il n’y avait pas grand chose à piller (les utilisateurs ne sont pas nombreux). Mais il est impossible de savoir avec certitude si les hackers n’ont pas emporté la liste des adresses email et potentiellement le nom d’utilisateur associé. Si vous voulez savoir quelles sont les informations de votre compte qui pourraient avoir été révélées, je vous invite à consulter vos données personnelles en ligne.

En pratique le hacker semblait surtout intéressé à détourner le trafic vers un site malfaisant dans un pays lointain (sans doute un autre site hacké, d’ailleurs) sous le nom d’un petit poney bleu. Si vous avez été détourné vers ce site, je vous invite à vérifier votre ordinateur avec un bon anti-virus.

N’hésitez pas à nous contacter si vous avez des questions.

• Worried about WordPress and GDPR? Start Here
• GDPR: What Does the New Data Regulation Mean for Your Website, Business and Data?
• How to make a WordPress website compliant to GDPR
• Automattic and the General Data Protection Regulation (GDPR)
• GDPR Compliance and WordPress Forms: Everything You Need to Know

Bonne lecture !

A noter : je ne suis pas un avocat ou un juriste, mais tout cela résulte de mes lectures et de ma compréhension du sujet.

Déploiement

Cookies

Première étape (normalement cela devrait être fait depuis longtemps puisque c’est antérieur) : ajouter le message d’information aux nouveaux visiteurs pour les prévenir de la présence de cookies.

J’ai utilisé un plug-in tout simple (il y en a d’autres, bien sûr) : Cookie Notice par dFactory.

Avantages: il génère un message en français (et en anglais), il a été testé sur plus de 500.000 sites avant le mien, il s’installe en moins d’une minute.

Formulaire de contact

Pour un bon nombre de raisons, vous avez besoin d’avoir un formulaire de contact qui permette de transmettre des demandes diverses (dont les demandes liées à la RGPD). Je recommande d’utiliser un éditeur de formulaires très simple (et gratuit) comme Ninja Forms.

En deux minutes, il est possible d’avoir un formulaire de contact. Ne pas oublier d’ajouter la case à cocher  « En utilisant ce formulaire, vous acceptez que nous stockions vos données sur ce site web » (cela reviendra sur chaque formulaire).

Ensuite, il suffit de créer une page « Contact » dans WordPress. Il faudra y intégrer le code spécifique pour afficher le formulaire de contact créé par Ninja Forms avec le shortcode suivant :

Seule contrainte : plusieurs messages sont prévus en anglais, il faudra les traduire au mieux. Mais ce n’est pas trop compliqué.

Petite aide pour RGPD : les formulaires Ninja permettent aussi de préciser que l’on ne souhaite pas stocker les informations, ce qui permet de ne pas trop se préoccuper de cet aspect pour la plupart des formulaires les plus simples.

Mais à l’opposé, il faut faire attention à bien valider l’envoi du message de confirmation à l’auteur du commentaire (d’autant que l’envoi de ce message est signalé dans la réponse par défaut à la suite du formulaire).

En complément, si vous avez un système de commentaires sur votre site WordPress, je recommande d’installer le plugin WP GDPR Compliance par Van Ons. Bonus : il fait des recommandations (en anglais) sur divers aspects liés à la RGPD.

Délégué à la protection des données

Désigner une personne (et son adresse email) qui sera l’interface interne pour tous les sujets de protection des données. Ce n’est pas toujours obligatoire (surtout pour les petits sites), mais il est recommandé d’avoir un nom et un contact qui permettent aux visiteurs de savoir à qui s’adresser, surtout si le site n’est pas simplement personnel (dans ce cas, le délégué est évident, c’est vous).

Prévoir que cette personne soit joignable par le formulaire de contact global ou par un formulaire spécifique.

Charte de respect de la vie privée

Avant tout, vous devez vous préoccuper de comment présenter clairement vos intentions en matière de respect de la vie privée de vos visiteurs et de respect de la loi. Pour cela, il vous faut une page qui dit tout.

Tâchez de la rédiger à peu près bien du premier coup, parce que vous devrez informer vos utilisateurs à chaque mise à jour…

C’est une page WordPress, plutôt qu’un article (elle doit rester très accessible même après plusieurs années).

Je vous recommande de suivre à peu près les thèmes de la Loi RGPD :

• L’existence (ou non) d’un Délégué à la Protection des données, chargé de piloter le dispositif de protection des données
• La définition des processus de collecte, de traitement, de stockage, de transfert et de suppression des données
• La création d’un processus de notification des violations de données
• Le consentement explicite du client lors de la collecte de données
• Le droit d’accès et de suppression des données personnelles

Accès aux données personnelles

La loi vous impose de donner accès aux données personnelles d’un utilisateur telles qu’elles sont stockées sur le site. C’est faisable relativement simplement à l’aide d’un plugin (GDPR compliance par Scribit) et d’une page dans laquelle vous allez inscrire le seul shortcode :

[gdpruserdata]

Evidemment, il est facile d’ajouter des détails en se référant à la documentation du plugin pour être plus complet ou plus précis.

Il suffira de diriger les demandeurs sur cette page pour que s’affiche l’ensemble de leurs données personnelles. Comme ce n’est guère agréable à lire, je recommande de garder cela sur une page « masquée » (inutile d’apporter plus de confusion aux utilisateurs mais il faut pouvoir les diriger là-dessus sur simple demande).

Message d’annonce

Peut-être pas le plus compliqué, mais j’ai finalement ajouté un petit message sur le site lui-même pour annoncer le déploiement et la mise à disposition (c’est toujours mieux d’expliquer à ses visiteurs – surtout les habitués).

1. Une charte de la vie privée.
2. Quand vous déposez un commentaire sur le site, il vous est explicitement rappelé que cela enregistre des informations personnelles afin que vous puissiez ne le faire qu’en toute connaissance de cause (consentement « explicite » et « positif »).
3. Création d’un délégué à la protection des données (c’est moi !) qui a la charge (entre autres) de répondre aux demandes d’effacement de vos données personnelles si vous changez d’avis ultérieurement.

Il s’agit de rendre plus explicites et totalement conformes à la Loi, les choix de respect de nos visiteurs et de leur vie privée que nous avions fait depuis la création du site.