J’ai des sites web écrits sous WordPress et pour lesquels je me devais de respecter la nouvelle réglementation européenne RGPD (nouvelle en mai 2018). Quelques heures de travail pour trouver comment faire… J’ai donc décidé de partager mon expérience et la procédure que j’ai suivie ; pas très compliquée, mais assez longue au demeurant.
A noter : je ne suis pas un avocat ou un juriste, mais tout cela résulte de mes lectures et de ma compréhension du sujet.
Déploiement
Cookies
Première étape (normalement cela devrait être fait depuis longtemps puisque c’est antérieur) : ajouter le message d’information aux nouveaux visiteurs pour les prévenir de la présence de cookies.
J’ai utilisé un plug-in tout simple (il y en a d’autres, bien sûr) : Cookie Notice par dFactory.
Avantages: il génère un message en français (et en anglais), il a été testé sur plus de 500.000 sites avant le mien, il s’installe en moins d’une minute.
Formulaire de contact
Pour un bon nombre de raisons, vous avez besoin d’avoir un formulaire de contact qui permette de transmettre des demandes diverses (dont les demandes liées à la RGPD). Je recommande d’utiliser un éditeur de formulaires très simple (et gratuit) comme Ninja Forms.
En deux minutes, il est possible d’avoir un formulaire de contact. Ne pas oublier d’ajouter la case à cocher « En utilisant ce formulaire, vous acceptez que nous stockions vos données sur ce site web » (cela reviendra sur chaque formulaire).
Ensuite, il suffit de créer une page « Contact » dans WordPress. Il faudra y intégrer le code spécifique pour afficher le formulaire de contact créé par Ninja Forms avec le shortcode suivant :
Seule contrainte : plusieurs messages sont prévus en anglais, il faudra les traduire au mieux. Mais ce n’est pas trop compliqué.
Petite aide pour RGPD : les formulaires Ninja permettent aussi de préciser que l’on ne souhaite pas stocker les informations, ce qui permet de ne pas trop se préoccuper de cet aspect pour la plupart des formulaires les plus simples.
Mais à l’opposé, il faut faire attention à bien valider l’envoi du message de confirmation à l’auteur du commentaire (d’autant que l’envoi de ce message est signalé dans la réponse par défaut à la suite du formulaire).
En complément, si vous avez un système de commentaires sur votre site WordPress, je recommande d’installer le plugin WP GDPR Compliance par Van Ons. Bonus : il fait des recommandations (en anglais) sur divers aspects liés à la RGPD.
Délégué à la protection des données
Désigner une personne (et son adresse email) qui sera l’interface interne pour tous les sujets de protection des données. Ce n’est pas toujours obligatoire (surtout pour les petits sites), mais il est recommandé d’avoir un nom et un contact qui permettent aux visiteurs de savoir à qui s’adresser, surtout si le site n’est pas simplement personnel (dans ce cas, le délégué est évident, c’est vous).
Prévoir que cette personne soit joignable par le formulaire de contact global ou par un formulaire spécifique.
Charte de respect de la vie privée
Avant tout, vous devez vous préoccuper de comment présenter clairement vos intentions en matière de respect de la vie privée de vos visiteurs et de respect de la loi. Pour cela, il vous faut une page qui dit tout.
Tâchez de la rédiger à peu près bien du premier coup, parce que vous devrez informer vos utilisateurs à chaque mise à jour…
C’est une page WordPress, plutôt qu’un article (elle doit rester très accessible même après plusieurs années).
Je vous recommande de suivre à peu près les thèmes de la Loi RGPD :
- L’existence (ou non) d’un Délégué à la Protection des données, chargé de piloter le dispositif de protection des données
- La définition des processus de collecte, de traitement, de stockage, de transfert et de suppression des données
- La création d’un processus de notification des violations de données
- Le consentement explicite du client lors de la collecte de données
- Le droit d’accès et de suppression des données personnelles
Accès aux données personnelles
La loi vous impose de donner accès aux données personnelles d’un utilisateur telles qu’elles sont stockées sur le site. C’est faisable relativement simplement à l’aide d’un plugin (GDPR compliance par Scribit) et d’une page dans laquelle vous allez inscrire le seul shortcode :
[gdpruserdata]
Evidemment, il est facile d’ajouter des détails en se référant à la documentation du plugin pour être plus complet ou plus précis.
Il suffira de diriger les demandeurs sur cette page pour que s’affiche l’ensemble de leurs données personnelles. Comme ce n’est guère agréable à lire, je recommande de garder cela sur une page « masquée » (inutile d’apporter plus de confusion aux utilisateurs mais il faut pouvoir les diriger là-dessus sur simple demande).
Message d’annonce
Peut-être pas le plus compliqué, mais j’ai finalement ajouté un petit message sur le site lui-même pour annoncer le déploiement et la mise à disposition (c’est toujours mieux d’expliquer à ses visiteurs – surtout les habitués).
Laisser un commentaire