« RGPD » signifie Règlement Général pour la Protection des Données. Cette réglementation est en vigueur depuis 2018. Son objectif est de permettre à chaque internaute de contrôler et de protéger ses données à caractère personnel. L'arrivée du RGPD a entraîné un certain nombre de contraintes pour les créateurs de sites web.
En effet, plusieurs obligations sont à respecter. Quelles sont-elles ? Sur WordPress, quel plugin installer pour implémenter facilement sa politique RGPD ?
RGPD : que dit la loi ?
La réglementation RGPD affiche trois objectifs principaux :
- Améliorer la manière dont est recueilli le consentement des internautes.
- Tracer et sécuriser leurs données personnelles.
- Leur donner le droit de modifier, de supprimer ou de récupérer leurs données à caractère personnel.
Voici plus en détail les obligations RGPD qui concernent les administrateurs de sites web.
Le consentement à la collecte des cookies
En vertu du RGPD, tout site web doit permettre aux utilisateurs européens de contrôler l'activation des cookies et de tous les traceurs collectant leurs données personnelles. En effet, le Règlement Général sur la Protection des Données place la notion de consentement au cœur de ses obligations.
Sur Internet, les cookies sont de petits fichiers stockés sur un serveur. Ils sont associés à un domaine web, c'est-à-dire généralement à toutes les pages d'un même site web. Les cookies permettent de sauvegarder les données d'un utilisateur dans la mémoire du site internet afin de les prendre en compte lors d'une prochaine visite. C'est un outil utile pour l'amélioration de l'expérience utilisateur, mais il est soumis à des contraintes strictes dans la manière dont les données personnelles de l'utilisateur sont collectées. Celui-ci peut en effet s'opposer à cette collecte.
La demande de consentement au recueil des cookies doit intervenir rapidement dans le processus de navigation. Pour cela, il est possible de mettre en forme un bandeau de cookies RGPD ou bien une mini fenêtre s'affichant à l'ouverture du site. Il est également essentiel que cette demande soit formulée clairement. Il peut s'agir d'une phrase du type « J'accepte que mes données à caractère personnel soient collectées dans un objectif de... », par exemple.
La mise en place d'une politique de confidentialité
Le RGPD prévoit que les modalités de collecte des données doivent être présentées « de façon concise, compréhensible et aisément accessible, en des termes clairs et simples. ». Si la politique de confidentialité n'est pas obligatoire, elle est fortement conseillée, car elle constitue une trame efficace pour répondre à cette obligation de transparence. Par abus de langage, elle désigne plus largement la page web dédiée au détail de toutes les conditions de collecte des données personnelles.
Une politique de confidentialité doit comprendre les informations suivantes :
- La nature des données personnelles collectées.
- La manière dont elles sont recueillies.
- Le nom du responsable du traitement des données.
- Le fondement juridique du traitement des données à caractère personnel.
- Le détail des personnes ou des organisations qui peuvent consulter ces données et éventuellement la transmission à des tiers.
- Les cookies utilisés par le site web.
- Les droits de l'utilisateur vis-à-vis de ses données.
- Le contact du DPO (Délégué à la protection des données) de l'entreprise.
L'inscription à une newsletter
L'inscription à une newsletter est l'un des cas de figure dans lequel l'internaute doit fournir des informations personnelles, généralement via un formulaire. Pour respecter le RGPD, ce formulaire doit être sécurisé et l'utilisateur informé de la collecte de ses données par le site web.
Les conditions relatives au renseignement de ses données personnelles par un internaute dans un formulaire web se réfèrent à la politique de confidentialité publiée par le propriétaire du site web. Les voici :
- Une totale transparence concernant le responsable du traitement des données.
- Une mention claire de la raison de la collecte des données personnelles.
- Une présentation claire des droits de l'utilisateur à consulter ou à récupérer ses données personnelles.
- Une invitation à consulter la politique de confidentialité en cas de besoin.
11 plugins RGPD pour WordPress
- Force HTTPS LittleBizzy.
- Advanced Access Manager.
- All In One WP Security & Firewall.
- Tarteaucitron.js.
- WP Control.
- Flamingo.
- Cookiebot.
- Piwik-Matomo.
- WP GDPR.
- Contact Form 7.
Force HTTPS LittleBizzy
Force HTTPS LittleBizzy est un module gratuit permettant d'empêcher les requêtes non sécurisées, c'est-à-dire les requêtes en HTTP. En effet, depuis l'instauration du RGPD, le protocole HTTP est interdit pour la collecte de données personnelles. Son successeur, le protocole HTTPS, crypte les données sensibles (nom, prénom, adresse...) afin de les sécuriser et de les protéger d'éventuelles attaques.
Il s'agit d'un module pratique, mais qui nécessite au préalable de passer son site de HTTP à HTTPS. Il offre une sécurité supplémentaire puisqu'il empêche la survenue du protocole HTTP lors d'une collecte de données personnelles. Le gestionnaire du site est alors assuré de ne pas contrevenir à la loi.
Advanced Access Manager
Advanced Access Manager est un module de gestion des rôles. Installé sur le back-office WordPress, il est conçu pour limiter l'accès de groupes de collaborateurs à certaines informations. Il répond ainsi à l'une des contraintes légales du RGPD, à savoir le « Privacy By Design ». Cette mention du texte indique qu'un salarié ne peut avoir accès qu'aux bases de données utiles pour ses missions. Cette extension est gratuite et facile à installer. Elle nécessite néanmoins de bien définir les droits des utilisateurs WordPress.
All In One WP Security & Firewall
L'extension gratuite All In One Wp Security & Firewall répond largement au principe de « Privacy By Default » du RGPD. C'est un concentré de technologies défensives qui, associées entre elles, constituent un outil de protection avancée :
- Anti-injection SQL.
- Anti-attaque XSS.
- Anti-piratage par force brute.
- Restriction de l'accès au back-office à certains utilisateurs.
- Obligation de reconnexion à WordPress toutes les 30 minutes.
- Blocage des intrusions tentant de lire les fichiers sensibles.
Tarteaucitron.js
Tarteaucitron est un module JavaScript qui facilite l'affichage d'un bandeau sur le site web pour le recueil des cookies. Il permet de mettre en place les différents niveaux de personnalisation pour l'internaute, c'est-à-dire d'accepter ou de refuser seulement certaines clauses dans le processus de collecte des données personnelles. Il existe en version open source, mais la version payante facilite l'installation du logiciel.
WP Control
WP Control est une extension qui s'intéresse à la durée de conservation des données, l'un des fondements du RGPD. En effet, les données personnelles dont la durée de vie est arrivée à échéance doivent être supprimées par le gestionnaire du site web. Si cette tâche n'est pas automatisée, elle risque d'être oubliée, mettant la responsabilité de l'entreprise en jeu. Avec WP Control, il est possible de programmer la suppression régulière des données WordPress des clients inactifs.
Flamingo
Flamingo est un plugin pensé pour la conception de formulaires web, mais aussi, et surtout, pour le stockage des données issues de ces formulaires en conformité avec le RGPD. Les preuves du consentement de l'utilisateur sont alors stockées dans le logiciel.
Cookiebot
Cookiebot est une autre extension dédiée à la gestion des cookies. Alternative possible à Tarteaucitron, elle permet de se conformer au RGPD. Il s'agit d'une solution gratuite pour les petits sites WordPress, c'est-à-dire ceux qui comptent de moins de 100 pages. Pour commencer à utiliser Cookiebot, il faut inscrire un attribut de balise dans les scripts qui servent à traquer les données des utilisateurs.
Piwik-Matomo
Matomo est le nouveau nom de Piwik, une extension gratuite et open source liée à Google Analytics. Cet outil a été validé par la CNIL pour sa conformité au RGPD. Il permet de mesurer l'audience d'un site web à partir de plusieurs indicateurs, de la même manière que Google Analytics, qui devrait par ailleurs bientôt recevoir l'accord de la CNIL et des autres instances européennes pour reconnaître sa conformité avec le RGPD.
WP GDPR
WP GDPR est un plugin tout-en-un. Il met en œuvre le droit de partage des données des internautes, reconnu dans le RGPD en leur permettant de télécharger l'ensemble de leurs données personnelles sur un fichier Excel.
Contact Form 7
Plugin de création de formulaires web le plus répandu, Contact Form 7 n'est pas une extension RGPD à proprement parler, mais un outil pour sécuriser le recueil de données dans des formulaires. Il prévoit des cases spécifiques (Acceptance Checkbox) que les utilisateurs peuvent cocher ou non pour signifier qu'ils acceptent ou pas la collecte de leurs données personnelles.
HubSpot
Le plug-in HubSpot pour les formulaires de contact WordPress. Tout comme Contact Form 7, HubSpot n'est pas une extension RGPD en soi-même, mais propose une fonctionnalité RGPD qui permet d'activer dans HubSpot :
- Une bannière de consentement aux cookies,
- Une fonctionnalité de suppression au titre du RGPD
- Des formulaires conformes au RGPD
- Des Liens de désabonnement par défaut pour les e-mails commerciaux individuels et les e-mails séquentiels.
- Des liens de prise de rendez-vous, qui incluent par défaut des notifications et des messages de demande de consentement.
- La possibilité d'ajouter un consentement pour les communications et une base juridique pour le traitement des contacts importés
Pour aller plus loin, utilisez cet outil gratuit pour évaluer votre site web et apprendre à l'améliorer.
![Comment créer une newsletter sur WordPress ? [Plugins + conseils]](https://blog.hubspot.fr/hubfs/FR%20Blog%20Image%20%289%29-1.png)
![Comment créer un menu WordPress optimal ? [étapes + plugins]](https://blog.hubspot.fr/hubfs/ordinateur-sur-table-basse.jpg)
