Dans le monde du SEO et de la création web en général, c’est un terme dont on entend presque tout le temps parler. Ah, les fameux Core Web Vitals… Le genre de truc toujours à la mode depuis leur sortie…
RGPD : voilà 4 lettres qui, associées, peuvent donner des boutons aux développeurs de sites web et aux marketeurs, depuis sa mise en application, le 25 mai 2018 !
Eh oui : depuis tout ce temps, le RGPD, acronyme pour Règlement Général pour la Protection des Données, s’est bien installé dans l’esprit des utilisateurs du web ! Vous l’avez peut-être aussi rencontré dans son acception anglaise, GDPR.
Mais si vous possédez un site web et que vous n’avez pas encore entendu parler du RGPD, alors il est temps de vous renseigner sérieusement !
Ça tombe bien : WPMarmite avait rencontré dès 2018 des avocats pour y voir un peu plus clair.
Du coup, nous avons pris le parti de vous détailler, pas à pas, les différents points-clés à examiner pour mettre votre site WordPress ou votre boutique WooCommerce en conformité avec cette législation.
Pas de jargon juridique, pas de références à d’obscures parties du Code Civil : que du concret pour les créateurs de sites WordPress et WooCommerce !
Pour rédiger la version initiale de cet article, nous avons fait appel aux conseils du cabinet d’avocats Langlais : merci à eux ! Cependant, il ne s’agit là que d’une source d’informations générales, qui ne peuvent être interprétées comme un véritable conseil juridique. Si vous maniez au quotidien un nombre important de données, nous ne pouvons que vous recommander de faire appel à des professionnels, comme ceux du cabinet Langlais, qui pourront vous accompagner à vous mettre en conformité.
Sur ce, je vous propose de découvrir le sommaire :
Sommaire
C’est quoi ça, le RGPD ?
Le Règlement Général pour la Protection des Données est une réglementation européenne entrée en application le 25 mai 2018. Votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.
Le but de cette réglementation, qui est venue secouer les pratiques des professionnels et particuliers sur le web : assurer à tout individu le contrôle et la protection des données à caractère personnel qu’il dissémine lors de ses navigations sur la toile.
Qu’est-ce qu’une donnée à caractère personnel ?
Petit point définition : Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu :
- On peut identifier directement un internaute grâce à son nom, son prénom, mais également son adresse email ou son numéro de téléphone, et tout type de donnée démographique (fonction professionnelle, sexe, âge…) ou géographique (localisation, lieu de travail…).
- Comptent aussi dans ces données à caractère personnel les informations purement numériques d’un internaute (adresse IP), ou ses data comportementales (actions menées sur un site web, comme les visites ou les clics). Même les données partagées de sa propre initiative, comme la mise en ligne d’une photo ou un like, comptent également dans cette définition.
Ça promet, hein ?
Concrètement, qu’est-ce que la législation inclut ?
Pour être très concret, le RGPD comporte trois volets importants, qu’il s’agit de prendre en compte :
- L’amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel, le visiteur doit être informé qu’il partage ses données, et savoir explicitement à quelles fins.
- La traçabilité et la haute sécurité des données des utilisateurs. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
- Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.
Autant d’éléments qui influencent la manière de créer et de gérer un site web.
Note : Le cabinet que nous avons consulté a d’ailleurs mis en place un site pour vous aider à y voir plus clair.
Qui est concerné ?
Le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle.
Petit rappel de géographie, l’UE en 2024 correspond à tous les pays en bleu :
Merci à Pascal Orcier pour cette superbe carte.
Si vous collectez, utilisez ou stockez ce type de données, surprise : vous êtes pile dans la cible de cette législation (et potentiellement dans le viseur de la CNIL) ! Et ce, quels que soient le secteur d’activité ou la taille de votre structure.
À noter que le RGPD s’applique également aux données internes aux entreprises : celles que vous récoltez sur vos employés, dans des fichiers du personnel, par exemple.
Autre point très important : même si votre entreprise ou vous-même êtes basés, ou que vous stockez vos données, en-dehors de l’Union Européenne, le RGPD s’applique à votre activité.
La législation se place en effet du point de vue de l’internaute : si vous traitez des données d’un individu résidant dans l’un des 28 membres de l’UE, vous êtes concerné.
Et les développeurs et agences WordPress, alors ?
Bon nombre de lecteurs de WPMarmite, et notamment les développeurs ou agences WordPress, se diront : “ok, mais moi, je ne fais que traiter les données de seconde main que mes clients récoltent”.
Minute papillon ! Vous êtes également concernés, en tant que sous-traitants. Grosso modo, si le traitement que vous faites des données de vos clients ne rentre pas en conformité avec le GDPR, vous risquez également de vous faire taper sur les doigts.
Et surtout, si vous n’êtes pas conformes au RGPD, vous risquez de voir certains clients refuser de faire affaire avec vous désormais !
Il s’agit donc pour vous de prévoir la manière dont vous abordez cette utilisation des données dans vos contrats clients, actuels et futurs. En recherchant des informations à ce sujet, je suis tombée sur une infographie bien ficelée, dont la seconde partie traite des questions à aborder avec vos clients en tant que prestataire.
Voici quelques éléments à mentionner dans vos contrats, dans une partie spécifique à l’utilisation que vous faites de vos données, pour être dans les clous :
- Le nom et les coordonnées de votre Délégué à la Protection des Données (DPO) (pas besoin d’en nommer un si vous ne brassez pas une masse de data quotidiennement) ;
- La méthode que vous utilisez pour récolter, stocker et utiliser vos données ;
- Vos méthodes de sécurisation des données ;
- Vos éventuelles relations à d’autres sous-traitants, qui utiliseraient ces mêmes données ;
- Votre méthode de notification de faille de sécurité, et éventuellement votre processus de rectification ou suppression des données à la demande des utilisateurs (direction la partie 4 de ce tutoriel : tout le monde est concerné !).
Quelles sanctions risque-t-on ?
Avant même le RGPD, le droit français prévoyait déjà des sanctions pénales en cas d’infractions portant sur des données personnelles. Certes, dans les faits, celles-ci étaient rarement appliquées, ou par des amendes relativement faibles.
On se rappelle notamment de OUICAR qui n’a écopé que d’un avertissement alors que les données personnelles des utilisateurs de son site sont restées librement accessibles pendant près de trois ans…
Mais le RGPD est venu renforcer le système de sanctions déjà mis en place. Et les amendes administratives détaillées dans la législation sont beaucoup plus dissuasives ! Il est prévu qu’elles puissent atteindre 2 % à 4 % du chiffre d’affaires de la personne ou entreprise concernée, et jusqu’à 20 millions d’euros pour les infractions les plus graves.
C’est pourquoi nous allons maintenant vous guider pas à pas dans la mise en conformité de votre site face à ces nouvelles obligations.
Que devez-vous prévoir sur votre site WordPress ?
Allez, c’est parti : penchons-nous sur les bonnes pratiques que vous devez appliquer sur votre site WordPress.
1. Disposer d’une politique de confidentialité
Premier point essentiel du RGPD : la nécessité d’apposer, à même son site web, des mentions d’information claires et transparentes pour les utilisateurs.
Il vous faut donc plancher sérieusement sur la politique de confidentialité de votre site et revoir vos conditions générales de vente (si vous avez une boutique).
Votre page de politique de confidentialité, généralement située dans votre pied de page, doit expliquer concrètement ce que vous faites avec ces données.
Faites-y donc apparaître :
- Vos coordonnées, ainsi que l’éditeur du site, et son hébergeur.
- Quel type de données vous récoltez lors de l’inscription ou de la commande sur votre site web : nom, prénom, email, téléphone, adresse postale, adresse IP…
- Pourquoi vous collectez ces données : communication par newsletters, facturation, suivi du comportement de l’utilisateur sur le site…
- Combien de temps vous stockez ces données : vous pouvez garder les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
- Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données. C’est ce qui nous intéressera dans l’étape 5 de cet article.
Ces éléments doivent apparaître dans une page intégrée à votre pied de page.
Et bonne nouvelle : depuis la version 4.9.6 de WordPress, vous pouvez créer votre page de Politique de Confidentialité directement depuis l’onglet Réglages > Confidentialité de votre interface WordPress.
Même si cette fonctionnalité est pratique, nous vous conseillons tout de même de passer par un professionnel pour la concevoir.
Vous pouvez vous baser sur une page comportant des paragraphes pré-rédigés, ou bien créer votre propre page personnalisée de manière simple.
Attention : votre page de Politique de Confidentialité doit aussi apparaître à chaque moment où vos utilisateurs partageront leurs données (typiquement, dans les formulaires de contact ou de téléchargement), afin de les informer sur l’usage de leurs données.
Mettre en place ces éléments sur votre site WordPress, c’est avant tout vous éviter des soucis avec eux (signalements à la CNIL et autres menaces…), et installer une aura de confiance.
2. Revoir tous les formulaires de son site WordPress
Les éléments qui sont les plus impactés par le RGPD sur le web sont les formulaires. Il s’agit en effet d’un point de contact-clé entre vous et vos visiteurs, où ils partagent avec vous leurs données à caractère personnel.
Et sur un site, il y en a, des formulaires ! Voyons donc voir comment les optimiser pour être conforme à la législation.
Nombreux sont les sites qui mettent en place des formulaires, notamment pour proposer l’inscription à une newsletter ou le téléchargement de documents. Or, à ce point de contact, vos utilisateurs vous partagent des données personnelles : leur email a minima, et pourquoi pas leur prénom et leur nom.
Les créateurs de sites WordPress gèrent généralement ces formulaires, dits “d’opt-in”, via des plugins comme OptinMonster couplé à un MailChimp ou encore MailPoet (il en existe beaucoup d’autres).
Nous voici ici dans le cas de figure où la mise en conformité de votre site web dépend donc d’un tiers, dont nous parlons dans la partie “Faire le point sur ses plugins WordPress”.
Que vous déléguiez cette tâche à un plugin, ou que vous ayez construit vos formulaires vous-même, il vous faut en tous cas vérifier que vous pouvez :
- Ajouter une mention de transparence indiquant qui est le responsable de traitement ;
- Spécifier la raison de la récolte des données (par exemple : “Entrez votre adresse email pour recevoir notre newsletter”) ;
- Préciser les droits associés c’est-à-dire comment accéder à leurs données, mais aussi les rectifier et les effacer à tout moment (donc se désabonner) ;
- Renvoyer vers la politique de confidentialité pour fournir davantage de précisions sur les diverses modalités.
Concernant les fameuses cases à cocher, il n’est pas indispensable d’en ajouter pour obtenir le consentement des utilisateurs dans le cas où il n’y a qu’une seule raison de collecte (en l’occurrence, recevoir une newsletter).
Par contre, si vous prévoyez de partager ces données à des partenaires et de faire de la prospection, l’utilisateur doit donner son consentement pour chacun de ces usages. Dans ce cas de figure, un formulaire devrait être accompagné de la mention de transparence ainsi que de deux cases à cocher (une par consentement supplémentaire).
Notez également que vous ne pouvez pas demander à un client de vous laisser des données qui n’ont aucun rapport avec ce pour quoi ils s’inscrivent.
Si vous leur demandez par exemple de s’inscrire à une newsletter, inutile de leur demander leur sexe ou encore leur âge.
Fini le Big Data, passage imminent au Smart Data !
Je vous invite donc à faire le point sur l’usage des données que vous comptez récolter et à créer des formulaires avec les bonnes mentions (et les éventuelles cases à cocher si nécessaire)
Les formulaires, c’est plié : récolte du consentement assurée. Allez hop, on enchaîne.
3. Faire un point sur ses extensions WordPress
Pour savoir si vos extensions restent dans les clous du RGPD, il va vous falloir mener votre petite enquête personnelle.
Commencez par lister toutes vos extensions qui pourraient avoir un rapport avec :
- La récolte du consentement et des données de vos utilisateurs : plugins de formulaires, de commentaires, de retargeting, etc.
- L’utilisation de vos données utilisateurs : plugins de personnalisation de contenus, de suivi du comportement des visiteurs, de newsletters, de marketing automatisé, etc.
Ensuite, cherchez sur les sites officiels de ces plugins ou dans leur documentation ce qu’ont fait leurs développeurs pour s’aligner avec le RGPD.
Pour la plupart, étant donné que leur site sera en anglais, recherchez
GDPR
directement sur leur site ou faites une recherche Google de ce type :site:woocommerce.com GDPR
Bon nombre d’entre elles, parmi les plus utilisées, se sont bien mises en conformité depuis 2018.
Dans le cas où une extension n’est pas apte à respecter le RGPD, il est conseillé de trouver une alternative pour la remplacer. Pas aisé, on vous le concède… mais absolument nécessaire.
Toutes les API que vous avez autorisées (Facebook, Twitter, ou Mailchimp, pour ne prendre que ces exemples célèbres) sont également concernées. Mais évitez de trop vous casser la tête : tant que vous savez quelles API votre site utilise, quelles données elles traitent, et que vous consignez tout ça dans votre registre (voir la partie dédiée à ce point) : pas besoin de les éliminer de votre site WordPress.
4. Mettre en place un processus de sécurité des données ultra béton
Il est plus que jamais de la responsabilité de celui qui détient des données de les bichonner, notamment en les protégeant contre toute faille de sécurité, mais aussi en permettant aux individus d’avoir un droit de regard dessus.
4.1 Créer un process d’effacement ou de modification des données
Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez pas le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser, juste “au cas où”.
Par exemple, Google Analytics avait rapidement intégré cela à sa solution après la mise en application de la législation, sans pour autant faire perdre l’historique des visites à ses utilisateurs.
Le RGPD vous oblige ainsi à…
- Conserver 36 mois maximum des contacts inactifs (qui n’ouvrent pas vos e-mails donc) dans votre base de données ;
- Réafficher au bout de 13 mois le bandeau d’acceptation des cookies pour l’utilisateur.
Mais le RGPD prévoit aussi que vous devez informer tout utilisateur, avant qu’il ne vous partage ses données, qu’il est en droit de retirer à tout moment son consentement. Et par-dessus le marché, la législation spécifie que cela doit se faire aisément pour l’utilisateur !
Il va donc vous falloir mettre en place une procédure simple qui permettra à vos utilisateurs de :
- Retirer leur consentement
- Accéder à leurs données
- Les modifier
- Demander à les effacer
- Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)
Vous pourriez créer une page spécifique dédiée à cette procédure sur votre site, contenant un formulaire de demande précis. Mais votre formulaire de contact est tout à fait convenable (vous n’allez pas recevoir ce genre de demande tous les jours après tout).
Pensez donc à faire de même sur vos newsletters (normalement, un lien de désinscription est présent).
Mon conseil : refaites vous-même le parcours utilisateur de votre visiteur, pour détecter tous les moments où il pourrait avoir envie d’exercer son droit de retrait ou d’effacement. Un véritable travail d’orfèvre, qui vous permettra de mettre en place un processus vraiment clair.
En cas de réception d’une demande d’effacement, rendez-vous dans l’onglet Outils > Effacer les données de votre administration.
Vous pourrez ensuite effacer manuellement les données de l’utilisateur qui vous l’aura demandé, en rentrant son adresse e-mail.
On vous a demandé d’avoir accès à toutes les données personnelles laissées sur votre site ? Facile : rendez-vous dans Outils > Exporter les données, et procédez de la même manière. Vous pouvez ensuite envoyer un fichier .zip contenant toutes les données de l’utilisateur en question.
Bye bye data !
Envie de laisser vos utilisateurs gérer de manière autonome l’effacement ou la modification de leurs données ? Mettez en place le plugin GDPR Data Request Form. Simple et efficace !
4.2 Se préparer à une éventuelle faille de sécurité
Il vous faut également vous assurer que vous garantissez efficacement la sécurité des données à caractère personnel de vos internautes.
Voici quelques éléments qu’il vous faut donc prendre en compte :
- Il est nécessaire de mettre en place des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la données, pseudonymisation… Vos process internes doivent être clairs à ce sujet.
- Il vous faut informer la CNIL dans les 72 heures en cas de faille de sécurité. Dans certains cas, il vous faut même informer l’utilisateur concerné, notamment si la faille est susceptible d’engendrer un risque élevé pour ses droits et libertés.
Bonne nouvelle ! Si vous suivez déjà les points Sécu d’Alex et Julio, vous devriez déjà être prêts à affronter ces problématiques de sécurité 🙂
5. Instaurer un registre interne de traitement des données
Avant le RGPD, toute entreprise traitant des données utilisateurs à caractère personnel devait le signaler par le biais d’un système de déclaration ou d’autorisation.
Depuis le 25 mai 2018, cette procédure n’est plus nécessaire, et est remplacée par une autre obligation : celle de tenir un registre de traitement des données.
L’idée ? Mettre en place, en interne, une documentation complète qui atteste que vous êtes en conformité avec le RGPD. Une cartographie des données pour montrer patte blanche, en somme.
Pour créer ce document, vous pouvez, si vous agissez en qualité de responsable de traitement, vous inspirer du modèle de registre que la CNIL a diffusé sur son site web. Votre registre doit répondre à trois questions-phares au sujet de votre traitement des données :
- QUI ? Listez les personnes en interne amenées à traiter des données et le cas échéant, vos sous-traitants en vous assurant qu’ils sont également dans une démarche de mise en conformité au RGPD et en prévoyant de réviser vos contrats ;
- QUOI ? Cartographiez les traitements de données personnelles réalisées par votre structure (type de données collectées, finalités des traitements, preuve des consentements recueillis, informations portées à la connaissance des personnes concernées, etc.) ;
- COMMENT ? Vérifiez comment ces données sont traitées (transfert à l’étranger ou non, hébergement ou non, archivage ou suppression de données, etc.) et quelles mesures de sécurité sont mises en place en interne.
Ce registre doit être perpétuellement tenu à jour.
Eh oui, ce n’est pas une mince affaire, pour ceux qui manient quotidiennement de la donnée ! Mais c’est le rôle de votre Délégué à la Protection des données, de son doux petit nom anglais DPO.
Véritable chef d’orchestre des données personnelles, le DPO a vocation à remplacer l’ancien Correspondant Informatique et Libertés (CIL), et a pour mission, notamment de contrôler le respect du RGPD par l’entité et de coopérer avec la CNIL.
Il peut s’agir d’une personne en interne (poste technique, juridique…) ou en externe (avocats, consultants…). Les petites structures peuvent se partager un DPO entre elles.
Les avocats que nous avons interrogés nous ont toutefois mis en garde à propos des conflits d’intérêt en interne. Si vous nommez par exemple le responsable marketing de votre agence, il y a fort à parier que son avis sera biaisé sur l’utilisation des données pour ses newsletters…
Nommez donc un fanatique de data, qui se penchera précisément sur le droit et vos pratiques en matière de données personnelles, et qui tiendra à jour votre registre.
Pfiou, y’a du boulot, hein ? Si vous avez un site e-commerce, restez dans le coin : on vous rajoute quelques éléments à ne pas négliger. Sinon, vous pouvez directement passer à la partie sur les leviers marketing à éradiquer de vos pratiques.
Comment rendre une boutique WooCommerce conforme au RGPD ?
Parce qu’un site-vitrine ou un blog et un site e-commerce ne brassent pas le même type de données, il est essentiel de faire un point spécial sur ce qu’il advient des sites qui utilisent WooCommerce.
Vous découvrirez ici quelques spécificités à ne pas négliger dans votre mise en conformité. Bien sûr, cela ne vous dispense pas de mettre en place tout ce dont nous venons de parler (une boutique en ligne sous WooCommerce reste un site WordPress).
1. Des Conditions Générales de Vente adaptées
Les Conditions Générales de Vente s’apparentent à des Conditions Générales d’Utilisation, à cela près qu’elles supposent un rapport marchand entre l’utilisateur et le site web. Il est absolument obligatoire de les apposer sur une page dédiée, dans le pied de page de votre site WordPress.
Si vous n’avez pas encore cette page, il est grand temps de la créer ! (Sérieusement, vous vendez sans CGV ?!)
Rendez-vous ensuite dans L’onglet “Réglages” de votre plugin WooCommerce, puis dans “Commande”. Dans la partie “Page commande”, vous trouverez un champ “Conditions générales de vente”.
Comme l’indique bien WooCommerce, une fois cette page sélectionnée, une case supplémentaire apparaîtra lorsqu’un utilisateur atterrira sur votre page de commande. Il devra alors cocher cette case pour attester qu’il a bien lu ces Conditions Générales de Vente, et accepte de les suivre.
2. Une page de commande où apparaît votre Politique de Confidentialité
Dans le cas d’un site e-commerce, votre Politique de Confidentialité doit apparaître clairement dans les formulaires de commande.
Depuis la version 3.4 de WooCommerce, vous pouvez ajouter automatiquement la mention de transparence nécessaire pour être dans les clous du RGPD, avec la possibilité de personnaliser le texte à y apposer.
Tout se passe dans l’onglet Réglages > Comptes et Confidentialité du plugin.
3. Des formulaires WooCommerce d’inscription nickel
Vous le savez sans doute : dans les réglages de WooCommerce, il existe plusieurs moyens pour l’utilisateur de vous partager (ou non) ses données. Il peut…
- Créer un compte au cours de la validation de la commande
- Créer un compte depuis la page “Mon compte”
- Ne pas créer de compte pour commander sur votre site
Mais qu’en est-il côté RGPD ?
C’est simple : que votre visiteur créé un compte ou non, il devra entrer des informations liées à sa commande (adresse de livraison, nom et prénom…) ainsi que son adresse email pour lui permettre de suivre sa commande.
Or, si vous avez bien suivi jusque-là, vous savez qu’il s’agit bien de données personnelles !
Là encore, quels que soient les réglages que vous choisissez, il faudra donc assortir vos formulaires WooCommerce d’une mention de transparence menant vers votre politique de confidentialité.
4. Des avis clients en conformité avec la législation
Sur les sites WooCommerce, rien de tel pour accroître la crédibilité de son produit que les avis clients. Le RGPD vient également changer la donne sur ces éléments, qui demandent eux aussi une récolte préalable du consentement de l’utilisateur pour les publier.
Pour vous assurer que vous êtes en règle de ce point de vue, c’est simple : il vous suffit de n’autoriser leur publication que lorsque le visiteur a acheté le produit (et a donc préalablement accepté votre politique de confidentialité, et donné son consentement).
Rendez-vous dans l’onglet “Produits” de votre plugin WooCommerce, et cochez la case “Permettre les avis uniquement aux acheteurs certifiés”.
Si les acheteurs sont certifiés, c’est qu’ils ont passé commande et ont accepté votre politique de confidentialité. CQFD.
5. Le souci avec votre plugin d’abandon de panier
Si vous avez un site WooCommerce, il y a fort à parier que vous utilisez un plugin WooCommerce d’abandon de panier, pour rattraper les petits étourdis qui n’auraient pas finalisé leur commande.
Le problème, vous le voyez sans doute venir de loin, maintenant que vous êtes des experts du RGPD : eh oui, encore la récolte du consentement !
Car, lorsqu’un utilisateur abandonne son panier, des plugins comme YITH Recover Abandoned Cart, Jilt ou AutomateWoo collectent quand même des données, et ce sans qu’il ait eu le temps de cocher la case sur les Conditions Générales de Vente. Aïe. Totalement anti-RGPD.
La solution, qui contourne un peu le problème mais le résout temporairement : rajouter un petit texte invitant l’utilisateur à consulter votre Politique de Confidentialité, juste en-dessous du champ où il doit laisser son adresse email.
Pour ce faire, vous reprendrez bien un petit snippet de code, adapté à partir de la documentation (en Anglais) de WooCommerce.
L’extension d’abandon de panier Jilt fait partie des bons élèves dans sa catégorie en ajoutant un message de transparence et un lien pour s’opposer à cette pratique.
6. Et pour l’effacement et la modification des données sur WooCommerce ?
Si vos clients vous demandent de supprimer ou d’avoir accès aux données personnelles qu’ils vous ont transmises par le passé, comment procéder ?
Là encore, WooCommerce pense à tout pour vous, dans l’onglet Réglages > Comptes & Confidentialité. Vous y trouverez deux cases à cocher :
Celles-ci ajouteront aux réglages des comptes de vos utilisateurs les options liées à la suppression et la mobilité de leurs données, pour une boutique totalement en accord avec la législation.
Dès qu’une demande est faite, le plugin se charge de procéder aux manipulations demandées automatiquement. Les doigts dans le nez !
Je vous entends d’ici soupirer : “C’est pas bientôt fini, ces histoires de consentement et de données” !?
Si, si, rassurez-vous : reste à vérifier que vous ne fassiez pas de faux-pas marketing vis-à-vis du RGPD.
Quelles pratiques marketing sont interdites par le RGPD ?
Dans votre quotidien pour trouver ou convertir des clients, vous maniez de la data, en veux-tu, en voilà.
Vous prospectez pour trouver de nouveaux clients, vous envoyez des emails pour fidéliser ceux qui vous suivent, vous faites du retargeting (reciblage) pour récupérer les visiteurs que vous n’avez pas convertis…
Bref, vous jonglez avec des données à caractère personnel.
Mais bon nombre de ces pratiques sont désormais passées du côté obscur de la force… tout du moins si vous n’en informez pas au préalable vos utilisateurs, dans votre Politique de Confidentialité.
Voici donc une rapide checklist des leviers marketing pour lesquels vous devez récolter le consentement de vos utilisateurs :
- L’envoi d’emails (newsletters marketing ou emails de prospection : même combat)
- Le profilage (soit le suivi des comportements de vos utilisateurs sur votre site web, comme leur historique d’achat ou le temps qu’ils passent sur une page)
- Le reciblage (soit le fait de re-présenter une publicité à un prospect)
Bon, question profilage et retargeting, la marketeuse que je suis se gratte la tête devant cette obligation de récolte de consentement…
Pour l’heure, l’objectif premier est de montrer sa bonne volonté à la CNIL face au RGPD, malgré le flou artistique qui règne toujours autour de ces pratiques. La législation e-Privacy (qui devait venir augmenter les directives RGPD à l’horizon 2021, mais dont la date de mise en application a été décalée), nous en dira sans doute plus, notamment sur l’utilisation des cookies…
Mais non, séchez vos larmes, chers lecteurs. De mon point de vue de webmarketeuse, le RGPD est une belle occasion de repenser sa stratégie marketing, pour laisser plus de liberté aux clients dans les choix qu’ils peuvent faire.
Finis les push mails débilitants, les bannières publicitaires qui ne convertissent pas, et les propositions de produits annexes peu pertinentes. Place à la toute-puissance du SEO et du bon contenu bien ficelé !
Que doit-on penser du RGPD ?
Si le RGPD semble être une législation contraignante, j’avais envie de finir cet article sur une tonalité un peu critique, et surtout positive. Restez branchés, vous allez voir qu’il y a du bon dans toute cette pagaille législative !
Les points de vigilance
- Notons le côté assez peu limpide de la législation. Dans le texte du RGPD, il y a de nombreux renvois aux lois nationales de chacun des pays… En France, la loi informatique et libertés a été revue courant 2019 pour intégrer les dispositions sur le RGPD : il vous faut donc lire le texte européen sur le RGPD en association avec le texte de loi national français. Pas évident, n’est-ce pas ? N’oubliez donc pas, si vous traitez les données d’utilisateurs résidant dans d’autres pays de l’UE, de vous renseigner sur l’application de la législation là-bas. Vous pouvez notamment trouver des informations à ce sujet sur le site de CNIL.
Les points positifs
- Les entreprises, ainsi que les agences et développeurs WordPress, qui adaptent leurs pratiques au RGPD bénéficient désormais d’une véritable image d’expert, et d’une crédibilité accrue. En mettant en place des Conditions Générales d’Utilisation claires, et en montrant vos efforts à même votre site web, vous créez une véritable relation de confiance avec vos utilisateurs.
- Le RGPD a également été l’occasion de vous pencher un peu plus sur l’expérience que vous proposez à vos utilisateurs sur votre site web, ainsi que sur la sécurité de votre site et des données qu’il récolte.
- Au-delà de toute considération d’ordre professionnel, on peut être heureux qu’une législation nous permette de reprendre enfin la main sur les données personnelles que nous égrainons sur Internet (nous sommes tous des internautes après tout).
L’astuce finale : La CNIL a développé un MOOC (formation en ligne) qui permet de vous initier au RGPD et débuter ainsi la mise en conformité de votre site. C’est par ici que ça se passe, si ça vous intéresse !
Dites-nous donc en commentaire ce que vous inspire cette législation, et si vous avez trouvé de bonnes pratiques pour rester dans les clous du RGPD !
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
Bonjour, j’ai vraiment apprécié cet article. Il est très complet je vais pouvoir mettre des actions en place de façon très concrête.
Avez-vous un lien vers une page “officielle” qui indique que je n’ai pas besoin de tenir un registre si j’ai moins de contacts par mois SVP ? J’ai regardé un peu sur le site de la CNIL mais je n’ai rien vu qui m’a sauté aux yeux.
Merci les Cuistots !!
Nathalie
Super article, très complet sur un sujet un peu (beaucoup ?) rébarbatif !
Les actions à mettre en place sont claires…On va s’y pencher dès maintenant
Si avec cet article, vous ne rankez pas, je ne sais pas ce qu’il faut faire 😉
Hey, je fais un truc interdit, j’écris un commentaire avant de lire l’article. Juste pour vous dire merci ! Car j’avais bien dans mon radar qu’il faudrait que je m’y pense. J’ai bien lu le mail de Google qui me mettait en garde. Mais cela me semblait bien trop compliqué pour m’y mettre vraiment, alors je faisais l’autruche. Et grace à vous, bin je vais me mettre en conformité et ça c’est top !
Grace à vous, cette semaine, j’ai aussi passé tout mon site en HTTPS !! Et j’ai enfin le joli cadenas vert qui y est associé.
En fait, dés que j’ai des questions techniques, c’est simple, je suis sur WP Marmite !
Belle journée depuis la Martinique.
Moi je préfère les gîtes à Breil-sur-Roya que le bateau en Martinique.
PS : tu as le bonjour de Zelda !
merci beaucoup de nous avoir fait cet article, on a du boulot sur la planche !!!
Ça y est, j’ai mal à la tête !
Merci beaucoup pour cette synthèse qui sera bien utile. Le RGPD représente une véritable avancée dans la maîtrise de ses données par l’utilisateur, mais (comme souvent) les solutions imposées sont tout droit sorties d’un cerveau bien technocratique et bien déconnecté du terrain. On s’adaptera du mieux qu’on pourra 😉
Par ailleurs, je reste assez serein. Je suis certain que les acteurs principaux qui développent l’écosystème WordPress nous proposeront bientôt des solutions simples de mise en conformité. On verra fleurir les cases à cocher et les liens comme des options systématiques dans les formulaires, les thèmes et peut-être même dans WordPress lui-même, car même aux USA, le débat est lancé.
Sympa, le formulaire MailChimp. Voilà qui a égayé ma journée 😀
Hey, petite précision concernant WooCommerce qui incluera dans sa prochaine version, c’est à dire avant la date d’entrée officielle d’entrée en vigueur, un toolset permettant de traiter les données personnelles comme vous pouvez le voir sur les screenshots suivants:
– http://cld.wthms.co/sgXp1F
– http://cld.wthms.co/txk4MH
– http://cld.wthms.co/AyLDIn
L’export contiendra la totalité des données des commandes et d’autres informations stockées durant le processus d’achat.
Toutes les infos sont la: https://github.com/woocommerce/woocommerce/blob/5c8adcd0d8f771dc655dd57b69bd6b445e67f129/includes/class-wc-privacy.php#L19
Merci pour ces précisions Rémy 🙂
Je vais mettre un lien vers ce commentaire dans l’article.
A bientôt !
Cette loi n’affecte donc pas le Canada et les États-Unis?
Ça dépends si tu as des visiteurs européens ou pas
Génial ! Merci pour cet artice ultra complet et précis. Je m’arrachais les cheveux depuis un moment pour joindre tous les bouts de cette procédure.
Une question : dans le cas où je ne suis plus en contrat avec des clients pour lesquels je leur ai fait un site mais qui se débrouillent eux-mêmes depuis plusieurs années… qui est responsable si le site n’est pas mis à jour ?
Merci d’avance!
Bonsoir, si tu n’est plus responsable de la maintenance du site tu n’as pas à être responsable de leur conformité future.
Bonsoir Julien, Julien de l’équipe WP Marmite a bien répondu à la question. Mais attention, il existe une obligation d’information. Exemple, si le contrat de maintenance a été rompu au 30/11/2016, pendant 3 ans donc jusqu’au 30/11/2019, nous avons obligation d’informer le client sur ce qu’il doit faire par rapport à cette nouvelle Loi. C’est toujours bon à savoir au cas où ! Par contre, je ne sais plus où j’ai eu l’info ayant lu d’innombrables articles.
Bonjour Régina. D’ou vient cette notion de 3 ans? Pourquoi devrais-tu garder un client informé pendant une periode aussi longue sans contrat?
Bonjour Julien (de WP Marmite), Lorsqu’en tant que Webmaster, nous livrons un site “aux normes”, c’est-à-dire relevant de la Loi existante au moment où nous le mettons en ligne. Exemple : Site mis en ligne en 2014. Le client rompt le contrat de maintenance en 2016. La Loi change en 2018 ce qui signifie que le site que nous avons livré n’est plus conforme. Le client (s’il n’est pas cool) peut invoquer la responsabilité du fait d’un produit non conforme ou défectueux (articles 1245 à 1245-17 du code civil) et le délai de prescription est de 3 ans. Ayant eu des clientes fort désagréables, je fais donc très attention. J’envoie un simple mail d’information à mes anciens clients en leur conseillant de se mettre aux normes RGPD. (Copie du mail dans mon dossier à l’attention de mon Avocat, au cas où) Comme cela, ils ne peuvent pas dire qu’ils n’étaient pas informés et j’ai l’esprit tranquille !
Bonjour Eléonor (et Alex). Merci pour ce remarquable travail – pour en profiter d’autant plus : je sais que les internautes d’aujourd’hui n’ont plus peur de “scroller”, mais là, pour un usage pratique, des allers et retours pour bien comprendre (même si c’est très clair), pouvoir prendre des notes (d’accord il y a Evernote, mais…) – une version imprimable, c’est possible ? Si l’option existe, je l’ai ratée et je m’en excuse par avance.
Et je n’ai toujours pas trouver comment glisser le capybara dans une conversation 😉
Cordialement,
Christine
Bonsoir, on va probablement le mettre en PDF en téléchargement pour ceux qui veulent prendre le temps de le lire. Tu pourras l’imprimer comme ça.
Bonjour.
En attendant une version PDF, tu peut utiliser une extension navigateur très pratique qui s’appelle PDF Print Friendly qui peut transformer une page web dans un document PDF.
Je te laisse découvrir ses fonctionnalités très pratiques.
Merci VJ. Très appréciable cette extension dont j’ignorais tout, et qui prévoit des fonctionnalités bien pratiques et très simple à utiliser. Voilà un document rondement imprimé… et un bouton de plus sur la barre de mon navigateur 😉
Belle journée, Christine
Super taf une fois de plus, on y voit plus clair 🙂 yapluka !!!
Bonjour
J’ai lu cette page avec beaucoup d’intérêt. Je m’étonne d’ailleurs que la CNIL n’ait pas envoyé d’office un message concernant cette mise en conformité à tous les sites inscrits. Ils ne savent peut-être pas bien traiter les données, faudrait-il s’en inquiéter ?
Plus sérieusement, une clause à cocher pour mineurs serait-elle nécessaire dans certains cas ? Dans le style “Si vous n’étiez pas majeur, vous certifiez que vous avez l’accord parental pour nous fournir les informations vous concernant.”
Plus anecdotique, votre exemple CONFORME n’est PAS CONFORME à la grammaire. Il faudrait remplacer Vous affirmé… par Vous affirmez… D’autre part, n’oubliez pas de mettre ce formulaire de commentaire en conformité. Il, vous reste 37 jours calendaires ! C’est le site de l’UE qui me le dit : http://ec.europa.eu/justice/smedataprotect/index_fr.htm
Robert.
Bonjour et merci pour tout ce travail,
Je m’occupe bénévolement d’une plateforme pour les commerçants d’une très petite commune en Belgique (j’espère un jour avoir un business modèle pour au moins rentrer dans mes frais 😉 )
Ma question est, puis-je copier votre texte qui est très intéressant en y mettant la source? ou alors juste une partie et mettre “lire la suite” en renvoyant sur votre site?
Quel est la meilleure façon pour ne pas vous “voler” vos informations?
Merci
Bonjour, hum tu ne peux pas copier le texte car d’une part ce serait “illégal” et d’autre pas tu exposerais ton propre site à du contenu dupliqué qui serait pénalisé par Google. En revanche tu peux faire un article sur le RGPD qui renverrait vers celui-ci pour avoir des infos complémentaires 😉
Merci Julien,
EN fait, j’en avait déjà fait un suite à une formation sur le RGPD. je pense que je vais faire ça, le mettre à jour et faire un lien vers cet article pour de plus amples informations.
Encore merci 😉
Très bonne synthèse de ce qui doit être fait pour être conforme. 😁
Merci pour cet article tant attendu car j’ai la tête comme une citrouille depuis un ou deux mois à lire et relire des textes incompréhensibles de la cnil et autres organismes européens.
J’attends avec impatience de lire votre nouvelle charte de confidentialité pour que je la copie et l’adapte à mon site 🙂
Encore un article au top et qui va servir beaucoup de monde..
Merci pour cet article bien ficelé et très clair 🙂
Il y a du boulot
Bonjour Alex
Merci bcp pour ce super article que je vais surement devoir relire plusieurs fois pour bien tout comprendre et surtout ne rien oublié du rgpd (c’est dingue même les initiales RGPD du nom de cette loi sont moche)
Mais j’ai une question par rapport au différents code que tu nous donne pour rajouter certaines fonctions a woocommerce. Pense tu que woocommerce vas faire une mise a jour avant ou pile le 25 mai, pour intégrer en natif ces options et nous permettre de nous mettre plus rapidement et facilement en conformité avec le rgpd, grâce au réglage direct de woocommerce? Merci d’avance pour la réponse et encore merci pour tout ces super articles
Bonjour, on espère bien sur qu’ils vont intégrer ces fonctions en natif pour se mettre en conformité facilement. La question c’est quand vont-ils le faire? Comme on ne sait pas on vous fournit ces bouts de code au cas ou 😉
Merci pour cet article qui apporte beaucoup de réponses à mes questions sur ce sujet.
J’y reviendrais car il mérite plusieurs lectures pour bien intégrer les informations…et se mettre en conformité.
Merci pour l’article qui sera bien utile pour l’annoncer à tout mes clients !
Note amusée : Ce qui veut dire que le formulaire d’inscription à la newsletter de la CNIL en bas de page du site n’est donc pas conforme, puisqu’il ne comprend pas la case à cocher de demande d’autorisation à recevoir la newsletter ?
Sceptique comme je fosse je suis 😀 Quel bordel !
Moi qui fait du webdesign, toutes ces mesures me font grincer des dents. Je peste déjà en tant qu’utilisatrice avec ce bandeau de cookie de crotte depuis mobile. Mobile first on dit, bien oui, avec sa petite croix souvent inaccessible, on rigole bien hein 😀
Franchement, j’attend le jour où on nous demandera d’installer le gros écran rouge d’entrée de site pour dire « Attention vous êtes sur internet ». huhu !
Bonjour, effectivement la CNIL a jusqu’au 25 mai pour se conformer 😉
J’allais dire la même chose Priscilla, ils attendent le 25 pour se mettre en conformité avec eux-même ou est-ce une mise à jour de leur cache à réaliser ?
Trêve de plaisanterie un excellent article, comme toujours et ça valait le coup d’attendre la Marmite avant de sauter dans la RGPD.
Bon ben y a plus qu’à analyser tous les plugins à la loupe !
Pas de croix sur le bandeau cookie, ni de “ok” laconique, mais un bouton “j’accepte” (l’utilisation des cookies) ainsi qu’un bouton “je refuse”, et dans ce dernier cas, c’est pas les webdesigner qui vont en chi** mais bien les webmasters…
Merci pour cet article. J’ai une petite remarque concernant le passage suivant:
“À noter que le RGPD s’applique également aux données internes aux entreprises : celles que vous récoltez sur vos employés, dans des fichiers du personnel, par exemple.”
Ceci n’est pas le cas pour les entreprises se trouvant en dehors de l’EU. Voir article 3.2 du RGPD. Pour ces entreprises, le RGPD s’applique dans le cas d’offre de biens ou de service ou lorsque c’est lié à du suivi de comportement.
Bonsoir,
Enfin, un article qui nous explique concrètement de quoi il s’agit à propos du RGPD.
On sait un peu mieux ce que l’on doit faire pour être en conformité avec le RGPD (même si certains points ont encore besoin d’être éclaircis pour moi).
Une question quand même :
Nous avons un site vitrine pour notre entreprise artisanale. Nous avons un seul formulaire de contact qui envoie seulement (mais ne stocke pas) le message dans la boîte mail de l’entreprise.
Question : les boîtes mails et la gestion des mails sont-elles concernées par le RGPD ? Si oui, un complément d’info à propos des mails serait bienvenu dans cet article.
En tout cas, très bon article concret sur le RGPD. J’attendais cet article. Bravo à l’équipe de la marmite.
Un grand merci pour cet article.
Bonjour, vu que tu gardes le nom du client, son numéro, son adresse mail,… il faut quand même lui spécifier que tu vas probablement utiliser ses données perso pour le rappeler par exemple.
Julien, merci pour de m’avoir répondu.
Bonjour,
Je vais me répéter : il est très bien cet article.
Toujours pour notre site vitrine, je suis en train de rédiger la page de politique de confidentialité du site. On collecte seulement le nom de la personne, son adresse mail et éventuellement son numéro de téléphone via un formulaire de contact. Ces informations sont envoyées sur une boîte mail mais en aucun cas, aucune donnée personnelle n’est stockée.
Dois-je quand même préciser qu’il y a des données personnelles collectées sur le site ou bien c’est uniquement quand ces mêmes données sont stockées sur le site ?
Il y a beaucoup de détails à ne pas négliger dans cette réglementation ! Cela va en dérouter plus d’un.
Un grand merci pour toutes ces précisions.
Cordialement,
Bonjour, que fais-tu des données alors?
Bonjour,
La personne ayant pris contact par le formulaire du site nous pose en général une question pour obtenir un renseignement d’ordre technique, commercial ou pour demander un rende-vous avec le responsable commercial.
Donc, les données concernant la personne ayant utilisé le formulaire de contact sont envoyées dans la boîte mail de l’entreprise mais en aucun cas ne sont stockées par le site. Le mail est en général gardé dans la boîte mail, éventuellement si la personne revient fréquemment à nous écrire par mail, son adresse mail pourra être éventuellement enregistrée dans le carnet d’adresses.
Au bout de quelques années, les mails d’un certain âge sont archivés dans un dossier portant le nom de l’année (par exemple 2014 pour tous les mails datant de 2014).
Comme renseignements obligatoires dans le formulaire de contact, il y a le nom de la personne, l’adresse mail, l’objet du message et le titre du message. Il n’y a pas de rubrique pour le numéro de téléphone.
Trier et supprimer les mails qui proviennent du formulaire de contact demanderait un travail de titan, à savoir reconnaître parmi les centaines et milliers de mails ceux qui proviennent du formulaire de contact.
Merci d’avance.
Cordialement,
ENcore merci pour cet article, j’ai une question, comment se fait-il que suite à une petite formation suivie sur le RGPD, j’ai contacté notamment mon hébergeur Français (je suis en Belgique) pour lui demander de bien me confirmer qu’il était bien en ordre au niveau du RGPD pour me mettre également à l’abri lors de ma rédaction du protocole.
Ce dernier était étonné que je lui demande s’il avait bien une politique de protection de traitement de données.
Il ne comprenait pas ce que je voulais dire, alors que vous (les Français) avez la CNIL ce que nous n’avons pas encore en Belgique, donc, plus avancé au niveau des protections des données.
Bravo pour cet article. Content de ne pas avoir encore fini la mise en ligne de notre site.
Bravo pour le travail c’est super digest.
Bonjour,
Merci pour votre article qui démystifie le sujet et pour toutes les actions concrètes proposées.
Il y a un aspect que je ne retrouve pas expliqué : l’utilisation des adresses IP (considérées elles aussi comme des données privées) par des services externes comme Google Font, l’utilisation d’un CDN ou tout service avec lequel le site transmet l’adresse IP.
Belle journée !
Eric
Trés bon article.
Une petite précision cependant: Pas réellement besoin d’une case à cocher pour récolter adresse mails pour les newsletters.
Le seul fait pour l’utilisateur/consommateur d’écrire l’adresse permet de prouver son consentement.
Il faut néanmoins bien préciser pour quel but le site web récolte l’adresse mail et ne pas oublier de lier la politique de confidentialité.
Si l’adresse mail est utilisé pour plusieurs buts, une case à cocher est alors nécessaire pour chacun de ces buts.
Bravo pour ce post très complet … c’est rare d’avoir autant de détails sur ce sujet ! De notre côté, nous avons développé une solution de consentement qui se positionne en tiers de confiance (comme les avis certifiés) pour faire du RGPD un véritable argument marketing.
http://www.axeptio.eu/fr/
Ah ! Au fait, c’est compatible WordPress et WooCommerce … 🙂
Un excellent travail de documentation et de rédaction pour délivrer un contenu clair et accessible pour tous à propos d’un sujet bien complexe, l’objectif est atteind. Bravo Alex et son équipe.
Super article! Clair, net et précis! Merci la Marmite!!
Hello, étant en pleine mise aux normes chez moi, je tiens à partager des petites infos supplémentaire :
– j’ai trouvé un autre petit module qui rajoute la case à cocher aux formulaires qui est WP GDPR Compliance. (Compatible Contact Form 7, Gravity Forms, WooCommerce, WordPress Comments pour l’instant, c’est déjà ça.)
– J’ai trouvé également une exemple de présentation de la page de politique de confidentialité « Cristal clear » sur le site de Death of the stock, qui est bien je trouve : https://www.iubenda.com/privacy-policy/583786 qui est généré par iubenda, il y a un compte gratuit, je vais testé ça.
Je tiens aussi à mentionner des infos de plus sur le RGPD que j’ai eu la semaine dernière au salon de e-marketing (avec un petit livret sous les yeux de Cybercité notamment) :
– Le RGPD précise sur le point de la durée de vie de la collecte des données qui oblige à créer des segments automatiques sur liste d’opposition pour les contacts inactifs de 36 mois. (Concerne donc les newsletters à ce que je comprend, enfin pas plus mal ça allége les emails inutiles).
– La durée du cookie (avec son bandeau de message) doit se réafficher au bout de 13 mois pour chaque utilisateur (mais je crois que cela devait déjà être le cas avant).
– Le cas particulier également du BtoB, une adresse mail professionnelle en contact@masociete.ext n’est pas considéré comme étant une donnée personnelle à la différence de pré-nom@societe.ext.
L’utilisation de Mailchimp (où l’on transmet donc nos données email en dehors de l’UE) est reconnu comme adéquat au RGPD car ils ont leur certificat de Privacy Shield. On peut donc continuer à utiliser leur service à la condition d’informer vos visiteur en l’indiquant dans les mentions légales du site avec sa politique de confidentialité.
Voilou pour ma petite contribution 😉
Merci encore à vous !
Merci beaucoup pour cet excellent article très complet. Beau boulot de la brigade de la marmite !
J’ai deux questions : à combien de temps passé estimez-vous la mise en conformité selon la nouvelle réglementation pour :
– un site wordpress type intégrant juste un formulaire de contact et les cookies liés à Google analytics et google maps
– un site wordpress avec une boutique en ligne.
Et aussi celle-ci : les agences et webmaster indépendants endossent-ils le rôle de DPO pour leurs clients ?
Merci pour le partage de votre expérience sur ce point.
Bonjour, ça dépend des sites mais je dirais quelques heures. Pour ce qui est de la responsabilité, tu dois au moins les avertir.
Superbe article, très intéressant. Je me demande ce qu’il va devenir du plugin Gravatar, qui est un particulier dont le service est hébergé aux USA, certes c’est les utilisateurs qui vont s’inscrire dessus pour mettre un avatar global, mais devra t’on demander l’utilisation du Gravatar vu qu’on ne stocke pas et possède pas les données relatives ?
Bonjour, vu que tu ne stockes rien tu n’as pas de problème.
Ouf, j’a tout lu !!!
merci d’avoir fait cet article. Ça me donne de sueurs froides… moi qui ne sais même pas créer un thème enfant, ni toucher au fichier functions.php, (savais même pas qu’il existait, enfin presque…).
Ya d’la rumba dans l’air, pépère…
Donc, merci encore de vous être échiné autant pour faire un article aussi clair.
Tom
Merci beaucoup pour cet article. Je crois qu’il manque un lien vers le boulot fait dans WP Core (déjà prévu dans la version 4.9.6 dans 2 semaines): https://make.wordpress.org/core/tag/gdpr-compliance/
Tout le monde est invité à contribuer en commentant, corrigeant ou testant sur https://core.trac.wordpress.org/query?status=!closed&keywords=~gdpr
Merci pour cet article, j’ai peux être raté quelques chose, mais le lien cliquable nommé “politique de confidentialité du site” doit être une page redirigée vers une page “mention légale” ou vers une page “condition générale d’utilisation” ?
Bonjour, en fait il faudra créer une page spéciale pour la confidentialité du site
Merci beaucoup pour cet article très complet. Beau boulot la Team Marmitte 🙂 il est très utile et effectivement on va y revenir à plusieurs reprises.
Un article enfin avec du concret ça change en effet de tout ce qu’on peut trouver sur le web en ce moment.
La partie qui m’interpelle concerne les sauvegardes. Genre un DropBox backup fait tous les jours. Comment virer des “datas” de Mme Michu ? On n’est pas censé être tous des DBA.
Et bis de ce point. chez OVH, lorsqu’on active les snapshots de son VPS, on n’a pas vraiment la main sur la granularité de la sauvegarde. Donc s’il faut virer encore Madame Michu, on fait comment ? Bah on ne peut pas sauf à virer tout le snapshot…
Quid des gestions commerciales et compta associées ? Car les délais de rétention légaux sont supérieurs à ceux du GDPR (en cas de contrôle fiscal)
(et sinon, je confirme que je donne mon accord pour poster ce commentaire avec mon nom, mon site et mon slip)
Bonjour, si tu supprimes une donnée de ton site elle sera supprimé du prochain backup. Après si tu restaures effectivement il faudra la supprimer à nouveau.
@Julien : du coup, cela veut dire que techniquement, on conserve des données relatives à une personne dans des backups.
Et corolaire de ça, cela veut dire aussi qu’il faut conserver dans un coin, une donnée personnelle indiquant qu’en cas de restauration, on doit supprimer des données personnelles…
2 aspirines SVP ^^
Super, merci pour ce guide qui permet de contextualiser le RGPD avec nos besoins WP 🙂
Une frustration cependant, j’aurais souhiaté avoir des focus sur les points suivants (à moins que ce ne soit pas pertinent?):
– le cookie consent – jusque là, personne ne suivait à la lettre les recommendations CNIL selon lesquelles il faudrait permettre à l’utilisateur d’accepter ou refuser chaque cookie. maintenant, il faudrait regarder plus en détail avec qui, via les cvookies, oon partage des données, non?
– les boutons de partage médias sociaux en particulier posent des cookies qui peuvent être problématiques..?
– Google Analytics: y a-t-il des restruictions dans son usage pour être compliant?
Et dites, je note que sur la Marmite, il n’y a pas de bannière pour accepter les cookies. Ce n’est pas nécessaire selon vous ?
Bonjour, ne nous dénonce pas mais on va la rajouter 😉
Tout d’abord, merci pour cet article !
Pour permettre de valider la politique de confidentialité avant de saisir l’email dans le checkout de WooCommerce et ainsi rendre possible l’envoi de relance panier, on peut potentiellement utiliser ce petit snippet (inspiré de businessbloomer) :
add_filter( ‘woocommerce_checkout_fields’ , ‘mw_display_checkbox_and_new_checkout_field’ );
function mw_display_checkbox_and_new_checkout_field( $fields ) {
//On ajoute une checkbox et un lien vers la politique de confidentialité en haut du formulaire
$fields[‘billing’][‘checkbox_rgpd’] = array(
‘type’ => ‘checkbox’,
‘priority’ => 9,
‘label’ => __(‘J\’ai lu est j\’accepte la politique de confidentialité*.’, ‘woocommerce’),
‘class’ => array(‘form-row-wide’),
‘clear’ => true,
‘default’ => 0
);
return $fields;
}
add_action( ‘woocommerce_after_checkout_form’, ‘mw_conditionally_hide_show_new_field’, 6);
function mw_conditionally_hide_show_new_field() {
?>
// On masque le champs e-mail après chargement
jQuery(function($){
var events = ‘update_checkout’,
billingFields = ‘#billing_email_field’;
$(‘body’).on( events, function(){
$(billingFields).hide( 0,function(){
$(‘form.checkout.woocommerce-checkout’).css(‘visibility’,’visible’).fadeIn();
});
});
});
//On fait apparaitre le champs e-mail après validation de la politique de confidentialité
jQuery(‘input#checkbox_rgpd’).change(function(){
if (!this.checked) {
jQuery(‘#billing_email_field’).fadeOut();
//Si le champs est décoché et que l’utilisateur n’est pas inscrit (donc n’a jamais validé la politique de confidentialité) on efface le champs e-mail.
jQuery(‘#billing_email_field input’).val(”);
} else {
jQuery(‘#billing_email_field’).fadeIn();
}
});
<?php
}
Il est sûrement améliorable, mais il fait un bout du job.
Voilà, si cela peut aider…
Bonne fin de journée !
Oh la vache !! Ooops ! Bon et bien sur le fond je comprends , ce n’est pas si mal ,mais pour des riquiqui comme moi , hou là là …Quel énorme boulot en perspective you you … Non mais et avec le printemps qui vient d’arriver ,ça va oui… Alors un immense MERCI Alex et toute l’équipe pour toutes ces infos en partage et super claires comme toujours !! Hou là là j’espère vraiment qu’on aura des mois pour se mettre en conformité ! 😉 Merci encore ! (Pfiout , quelle nouvelle … °v° )
Merci pour cet article très complet que je vais, sans doute, devoir relire plusieurs fois pour voir ce qui s’applique à mon site (actuellement en construction) qui, en fait, ne sera qu’un site vitrine de mon activité (magicien).
Juste pour la bonne forme, si l’on regarde l’orthographe, alors au paragraphe deux, j’inverserais volontiers la notation conforme et non conforme… lol
Merci encore.
Bonjour,
Merci pour ce super article très clair.
Juste une petite question :
quand on rajoute une case à cocher (j’accepte les conditions générales etc…) dans un formulaire d’inscription de newsletter, comment conserve-t-on ce consentement ?
La ligne user de la base de données fait foi ? :-((
Quel niveau d’exigence pour le RGPD ?
Bonjour, si la case n’est pas coché le formulaire ne devrait pas pouvoir être soumis, donc s’il est validé c’est que l’utilisateur a accepté.
Bonjour,
Merci pour cet article très clair 😀
Pour info, l’agence Moove (UK) à développé une extension qui pourrait convenir pour les sites “vitrines” utilisant peu d’extension.
J’ai testé l’extension avec Google Analytics, elle fonctionne correctement dans les 2 situations acceptation/refus.
Le lien vers l’extension :
https://wordpress.org/plugins/gdpr-cookie-compliance/
Pour un aperçu sur un site test en version FR :
http://www.nonopi.com
L’extension n’est pas traduite à ce jour.
Votre avis Eléonor, Alex ?
Merci Raph pour cette extension qui va remplacer efficacement celle que j’avais en place sur tous mes sites jusqu’à maintenant (Cookie Law Info) !
Merci Raph, ce plugin à le mérite d’être simple à mettre en oeuvre et de traiter une partie du problème.
Bonjour,
Moi j’ai le plugin Cookie Notice for GDPR
https://wordpress.org/plugins/cookie-notice/
il me permet d’avoir les boutons J’accepte, je Refuse et En savoir Plus (lien vers la page Politique de Confidentialité)
Une directive européenne de 2002, mise à jour sur la question des cookies par une autre directive de 2009, ont créé un régime spécial. En effet, à mi-chemin entre l’opt-in (accord) et l’opt-out (pas d’opposition), la transposition en droit français dans la loi Informatique & Libertés (article 32.II) a donné un opt-in dégradé (ou “super opt-out”).
Ainsi, on demande l’ « accord » de la personne concernée (et non le « consentement »). C’est-à-dire que le consentement est présumé si, sur la page du site où atterrit l’utilisateur, :
un bandeau d’information apparaît. Ce bandeau doit renvoyer vers une mention spécifique sur les cookies expliquant très précisément comment le site met en place le marketing ciblé et comment l’utilisateur peut s’y opposer (par la configuration du navigateur ou par un bouton arrêtant l’opération).
ET que cet utilisateur continue sa navigation. La règle est d’attendre une action, soit :
un clic sur un bouton marquant clairement l’acceptation,
la poursuite de la navigation (changement de page, le défilement [scroll] dans la page ne suffit pas)
un clic dans un élément interactif de la page en cours (activation de la recherche, lien ancre pour un “one page”, etc.).
A ce propos, l’intitulé du bouton d’acceptation ne doit pas être ambigu ; à ce titre, un “J’accepte” puissant est préférable à un “OK” laconique.
Bonjour Raph,
Cette extension a l’air très bien, je suis en train de la tester d’ailleurs !
Par contre, je ne sais pas quel script ajouter pour désactiver les cookies, sais-tu où je peux les trouver ?
Pour Google analytics et pour Ad sense, par exemple ?
Merci beaucoup !
Super article ! Merci beaucoup à la Marmite, j’y vois beaucoup plus clair et ai listé ce que je devais faire.
J’ai toutefois quelques interrogations.
J’ai lu dans un commentaire ci-dessus que je ne suis pas responsable des sites que j’ai créés si je n’ai pas de contrat de maintenance. Mais si mon nom apparaît dans les mentions légales en tant que webmaster, suis-je responsable ?
Aussi, je gère les campagnes newsletter de certains clients, s’ils refusent de mettre en place les actions du RGPD, suis-je responsable ou bien la responsabilité incombe uniquement à mon client ?
Bonjour, Peugeot est-il responsable d’une voiture qu’il a vendu 10 ans avant et dont il ne fait pas le suivi? Non. Tu n’es plus le webmaster si tu n’as pas de contrat de maintenance. Si ton client refuse de respecter le RGPD alors il refuse de respecter la loi. Il est responsable de ses actes. Si tu fais le nécessaire pour l’informer et qu’il refuse ce n’est plus de ton ressort.
Bonjour,
Que pensez-vous de ce de cet organisme pour etre confirme au RGPD voir le lien https://www.cookiebot.com/ ceci semble un peu cher pour des sites avec beaucoup de pages.
Bonjour, on ne connait pas désolé
il y a un plugin sur le depot WordPress mais il faut s’enregistrer et donner un ID pour activer le plugin ;-(
donc pas top
Cdt
J’ai installé cookiebot sur 3 sites. Non seulement c’est très cher mais en plus le bandeau d’acceptation ne s’affiche pas!
En plus, il y a une version gratuite pour les sites de moins de 100 pages. L’un des 3 sites que j’ai installé contient moins de 100 pages mais je viens de recevoir un email me disant que ma version d’essai a expiré et qu’il faut que j’achète la version Premium (9€/mois, c’est le prix de mon hébergement!!!)
Bonjour
Merci pour cet article détaillé. Pour ce qui concerne les abonnés actuels, on leur envoie un mail leur demandant à nouveau leur accord. Mais dans la mesure où une part assez faible ouvre le mail et une part encore plus faible qui agit sur le mail, comment fait on ensuite? On ne garde que ceux qui ont répondu? et on part du principe que les autres ne veulent pas et doivent donc être effacés de la liste?
Merci d’avance,
Laurence
Bonjour, disons que sans consentement, tu ne peux pas les garder donc c’est à peu près ça oui…
Bonjour, et tout d’abord merci pour votre article !
Vous parlez de RGPD mais c’est l’ePT qui entre aussi en application, qui est tout aussi contraignante, avec le consentement préalable pour des cookies autres que ceux strictement nécessaires. Sur un site wordpress, on en a plusieurs dizaines, entre les cookies des plug-ins, google analytics, les cookies marketing (adsense, affiliations,…).
Vous n’en parlez pas dans votre article (ou j’ai raté un passage), mais l’ePT me semble tout aussi important. Ou on ne risque pas les mêmes sanctions ? Pouvez-vous aussi nous éclairer sur le sujet ?
Pour l’instant, j’ai trouvé une extension payante pour bloquer ces cookies si l’internaute le demande, mais avec plusieurs sites wordpress, le coût risque de s’élever à plusieurs centaines d’euros par an pour se mettre en conformité.
Vous remerciant pour ce que vous préconisez aussi pour l’ePT… Merci !
Bonjour, ça n’est pas tout à fait la même chose et c’est pour ceci que ça n’apparait pas ici mais on va se renseigner pour vous orienter au mieux. Bonne journée
merci Julien !
je parlais bien sur de l’ePR et non ePT.
Des régies pub indiquent que l’ePR s’applique aussi dès mai 2018 mais j’ai lu d’autres sources qui parlent de 2020 !
C’est (un peu) le bazar 😉
Merci pour cet article bien complet !
Comme vous avez inséré le lien vers la page de la CNIL, j’y suis allé
et j’ai pu voir un bandeau en haut qui proposait de personnaliser
les cookies présents sur ce site.
En cliquant sur “Personnaliser” on peut choisir d’Autoriser ou d’Interdire les cookies.
Est-ce un début de solution pratique d’après vous ?
Car cela règle au moins le problème des cookies.
D’ailleurs dans le code source on peut voir qu’il s’agit d’un
service proposé par “tarteaucitron”, je met pas le lien (je sais pas si je peux) mais je fais actuellement un essai (7 jours gratuits) et je trouve cela bien pratique.
Mais bien sur cela ne règle qu’une partie du sujet.
Encore merci
Bonjour,
Merci à vous notamment pour “WP Comment Policy Checkbox”. Je vais tenter une traduction en français du plugin.
Bonjour,
Je vous avais envoyé un commentaire voilà quelques jours pour vous donner une information complémentaire à votre excellent article sur le RGPD. Je pensais que mon commentaire renvoyant vers un article d’Eleganttemes et pour lequel j’ai fait une traduction française pouvait intéresser certains lecteurs de la Marmite. Je ne sais pas si vous l’avez reçu ou si vous l’avez jugé inopportun car à ce jour je n’ai pas eu de feedback de votre part.
Merci de me dire si vous l’avez reçu et la suite que vous lui avez réservé.
Cordialement.
Bonjour, je n’ai pas le souvenir de l’avoir vu passé mais j’avais lu l’article d’Elegant Themes et je préfère le notre 😉
Bonjour Julien,
Oui je suis d’accord avec vous les deux articles ne sont pas comparables et le votre est plus précis quant aux solutions à apporter. Simplement celui d’Elegantthemes vient en complément pour bien préciser l’engagement respectif de l’auteur du site et du lecteur, il est sur ce point très précis.
Si j’ai bien mon envoi est tombé aux oubliettes.
Voici, si vous souhaitez l’accepter, l’article traduit que je vous proposais http://wordpress-pour-vous.com/traduction-dgpd-directive-generale-pour-la-protection-des-donnees/.
Merci d’accepter de le publier.
Hello l’équipe de WP Marmite
Merci infiniment pour cet article très complet sur la question. Je m’empresse de mettre à jour mon article sur les obligations légales des blogs pro avec un lien vers celui-ci. Ce sera très utile à mes lectrices (et lecteurs).
Je confirme Cécile 🙂
Bonsoir
si je lis bien ici : https://www.gdprwp.com/
le RGPD serait inclus dans le core dès la version 4.9.6 ?
Article très interessant .
Stef
Bonjour. À priori oui
Je vais me préparer un tonneau de café, et je reviens finir la lecture
Bonjour,
A priori vos solutions ne mentionnent pas de cryptage des noms et mail utilisateur. C’est justement un point d’interrogation car si on chiffre ces données ils devient difficile d’effectuer certaines recherches sql.
Donc pas de cryptage ?
Sinon bel article même si je n’utilise pas wordpress
Bonjour, c’est interessant mais je pense que crypté ou pas tu conserves des données sensibles des clients donc…
Merci Julien de WP Marmitte pour ta réponse, je suis rassurée mais j’ai quand mis modifié ma fonction dans les mentions légales des sites de mes clients.
Question THE GDPR Framework :
Je l’ai installé sur mon site, c’est pas mal ! J’ai contact form 7 mais les cases à cocher n’apparaissent pas et je ne vois pas où régler cela. Et les liens dans le footer n’apparaissent pas non plus automatiquement.
J’ai trouvé aussi un site pour connaître tous les cookies installés sur un site : cookiebot.com
Et un plugin pour installer le bandeau d’annonce des cookies : Cookie Consent
Merci beaucoup pour cet article et pour tout le travail de simplification derrière. C’est rassurant de savoir enfin les actions concrètes à mettre en place. Parce que jusqu’à maintenant, je ne tombais que sur des articles et livres blancs très évasifs sur le sujet.
C’est quand même une sacrée farce ce RGPD, on nous emmerde nous les pros pour quelques cookies et emails alors que les gens donnent les détails les plus intimes de leur vie sur les réseaux sociaux. Il y a vraiment un truc que j’ai du mal à comprendre…
Merci pour ces infos.
Pour moi cela ne va pas être de la tarte, en effet, sur de nombreux sites je vais avoir des complications comme sur un site canadien, mais hébergé en France, car l’audience francophone (de France) est largement supérieure à celle du Canada.
En fait, je crois que je n’ai que des sites à problèmes qui ne rentrent pas dans les cases.
Bonjour ! Merci pour cet article. Mais il y a une chose que je ne comprends pas: que doit-on faire par rapport au pixel Facebook ou Google analytics ? Car les cookies sont en grande partie destinés à ces deux services… Comment doit-on présenter la chose aux utilisateurs de notre site?
Merci beaucoup pour cet article très complet et clair comme toujours. Au boulot maintenant…
Bonjour, bon d’abord merci pour cet article…
Ensuite…d’accord tout cela est bel et bien bon mais….qu’en est-il du droit à l’image du capybara ?
Un grand merci de nouveau pour cet article
J’ai juste une question, le plugin WP Comment Policy Checkbox, ne fonctionne pas avec mon thème suprèmedirectory quel autre façon d’inclure une checkbox?
D’avance merci 😉
Bonjour. Qu’appelles tu “ne fonctionne pas”?
Bonjour Julien et merci,
En fait, quand je configure le module et que je vais dans discussion pour choisir la page où le lien doit aller “Politique_de_confidentialite” dans mon cas, et bien le lien reste sur la page d’inscription du site, j’ai beau vider le cache, changer la page et choisir une autre, le lien reste toujours le même, il reste sur la même page où le la case à coché est (module Policy Checkbox)
Impossible même en choisissant 10 pages différentes que le lien me redirige vers cette page pour que les gens puissent voir et lire avant d’accepter ou non la petite case à cocher.
Bonjour,
Merci pour cet article trés clair !
Reste un problème : le paramétrage d’un bandeau des cookies avec la possibilité de refuser certains cookies…
J’ai bien cookies notice mais je seche a cet endroit :
Blocage des scripts = Saisissez ici les codes Javascript utilisant des cookies non fonctionnels (pour par ex. Google Analitycs) qui seront utilisés après que les cookies ont été acceptés.
Et si on a deja un plugin comme tracking manager, ca se passe comment concrétement ?
S’il vous plait …. quand vous mettrez votre bandeau des cookies sur votre site …Profitez en pour faire un tuto pratique…
Merciiiiiiiiiiiiiiiii
Nathalie
Bonjour Nathalie, promis dès qu’on met tout ça en place on vous expliquera 😉
Merci pour cet excellent article ! Cependant, je remarque un grand manque dans WordPress : la gestion des utilisateurs “de base” ne permet hélas pas l’exportation des données utilisateur, ne serait-ce que sous un format simple comme csv. Vraiment dommage. Actuellement, après avoir réalisé diverses mises à jour pour devenir conforme, seule l’extension MailPoet le permet, et ça marche très bien.
Merci encore.
Un immense MERCI pour ce dossier extrêmement complet que je viens de survoler rapidement mais que je compte lire avec attention pour l’appliquer pas à pas et me mettre en conformité. Un regret toutefois? ce magnifique dossier aurait dû être fait par la CNIL car ce devrait être leur travail. En effet au lieu de se contenter de jouer les gendarmes ils devraient jouer un rôle d’accompagnateur et de pédagogues. En France on préfère sanctionner plutôt que d’enseigner les bonnes pratiques… Bref 1000 mercis à toute l’équipe pour nous aider nous pauvres blogueurs à faire face à cette nouvelle machine à réprimer Européenne… Maintenant en ce qui concerne les infos collectées pour une newsletter – à savoir un login et une adresse mail – créés pour la circonstance et qui peuvent être “bidons” puisque n’importe quel pseudo peut très bien fonctionner comme identifiant, il faudra que la CNIL m’explique en quoi ces 2 infos sont “sensibles” et peuvent mettre en péril la sécurité de celles et ceux qui librement s’inscrivent à cette newsletter et peuvent s’y désinscrire sans explication quand bon leur semble… A force de vouloir à tous prix renforcer les libertés cela va avoir l’effet contraire et il ne sera plus possible de rien faire dans ce pays sans remplir une tonne de paperasserie administrative en vue d’obtenir une éventuelle autorisation… Bien Cordailement
Enfin une méthode compréhensible et pratique du sujet.
Honnêtement, je commençais à désespérer de trouver un article applicable qui ne se contente pas d’affoler les foules avec la date butoir. OK, j’ai compris que c’était urgent mais concrètement je fais quoi ?
Je vous remercie pour le formidable travail effectué. Ce n’est pas une partie de plaisir mais au moins je suis armé pour me lancer.
A bientôt,
Jean
Bon.. ça y est… j’ai mal à la tête… surtout en pensant à certains clients qui ont fait leur site tout seul et qui ont des formulaires dans tous les sens et des tonnes d’adresses mails et pour lesquels je fais la maintenance… Comme envie de jouer l’autruche ou de partir en courant… je blague.. quoique…. 😉
Mais un énorme merci pour ce travail de fond concret!!!!! C’était vraiment nécessaire car toutes les autres infos étaient nébuleuses…
C’est vrai qu’un point sur les cookies ne seraient pas de refus..
Merci encore à toute la Marmite pour son excellent travail!!!! Vous êtes ma bible !
Merci beaucoup pour cet article très détaillé.
j’aurais juste une question concernant le délai de conservation des données. Une fois ce délai dépassé, la suppression des données (contenu de la table récoltant les données+ les éventuelles sauvegardes) devront être obligatoirement effacé ?
mais si la personne qui à laissé c’est coordonnée, souhaite continué à recevoir la newsletter (par exemple), il va être obligé de ce ré-inscrire.
Bien cordialement
Bonjour, il va falloir que tu envoies un email à toutes tes listes pour leur faire reconfirmer leur inscription à la newsletter manuellement par exemple oui.
Merci pour cet article !
Du coup, est-ce que vous savez si nous sommes nous aussi libre d’envoyer les leadmagnet/bonus/conference gratuites et compagnie QUE si la personne coche la case ?
Elle est libre de le faire ou pas…
Et nous, sommes nous libre de donner du contenus exclusifs à la communauté privé ?
Bonjour, si la personne a coché une case pour donner son accord, à priori pas de problèmes.
Tiens, la question du jour qui n’est pas abordée.
Pour ceux qui, comme moi, organisent des concours via FB & WP, nous avons forcément des gagnants.
Histoire de pouvoir envoyer les cadeaux, on a besoin d’une adresse que l’on reçoit via FB Messenger, ce qui représente une donnée perso.
De plus, si on garde un historique de quel partenaire a offert quoi au 1er, 2nd… et à qui, c’est pareil.
Donc il faut garder les noms en tête pour se dire que c’est pas dans un fichier Excel pour ensuite dire : c’est bon RGPD compliant ?
Bonjour la marmite !
Un très grand MERCI pour cet article (même s’il me donne une de ces migraine …)
Encore un truc de plus pour nous pourrir la vie et la compliquer davantage.
Enfin, j’ai commencé en suivant chaque étape de votre article.
Je vais tout de même faire une pause en espérant ne rien oublier et que tout fonctionne correctement après !
Encore merciiiiii !
Bonjour,
Pour mailchimp, il faut aller sur votre List, puis dans “settings” et chercher List name and campaign defaults.
Cliquer dessus et cocher “Enable GDPR fields”
Comme ça, vous avez les champs nécessaires pour GDPR.
Merci pour cetarticle très complet. Par contre, quand je copie colle les deux snippet (pour mettre Woocommerce en conformité) dan le fichier functions.php de mon thème enfant (j’ai bien mis l’url de ma page à la place du #) et la c’est le bug total de mon site…. Qu’est ce que je fais de travers??
Merci d’avance
Bonjour, copie colle moi ton fichier functions.php sur un site comme pastebin ou codepen et donne moi le lien stp que je regarde.
Bonjour Julien! Est ce que tu vois le texte avec ce lien? https://pastebin.com/tex0sMwd
J’ai rien fais de fou, juste copie/colle le snippet de WP marmite et changer les #.
merci bcp!!
Salut, supprime la balise “?>” à la ligne 12 et je pense que ce sera bon
Tout d’abord merci pour cet excellent article. Je le conserve comme base de travail car pffiou que c’est compliqué.
Je souhaitais revenir sur un point cité dans votre article qui stipule :
“Note du rédacteur : Chers lecteurs, si vous vous n’exploitez pas des données personnelles à grande échelle, félicitations : vous êtes dispensés de cette étape. Créateurs de petits sites e-commerce, de blogs à trafic moyen, ou de sites-vitrines récoltant 50 contacts par mois : pas besoin de vous en préoccuper.”
J’ai vu une information contradictoire sur le site de la CNIL (https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement). L’organisme précise que quelque soit la taille de l’entreprise, le registre est tout de même obligatoire.
je pense qu’il est nécessaire de corriger votre article sur ce point.
Encore merci pour votre article plus que complet
Quid du double optin ?
Si on l’utilise, on peut très bien ajouter sur la page post optin ou l’email de confirmation un texte indiquant que s’il clique sur le lien de confirmation d’inscription il accepte la politique de confidentialité ainsi que de recevoir une newsletter et des offres commerciales. Ainsi ça évite d’avoir un formulaire bourré de case à cocher.
Ps : vos formulaires ne sont pas encore conforme à ce que je vois :p
Bonjour, tu as raison 😉
Bonjour,
Merci pour cet article qui rend un peu plus compréhensibles ces changements légaux. J’ai lu une bonne partie du RGPD mais un point reste assez flou pour moi : D’où vient cette durée maximum de conservation des données “marketing” de 3 ans ? Je n’en trouve pas trace dans le texte de loi, et le support d’un très célèbre plugin de newsletter WP me confirme ne pas connaître cette limite non plus…
Auriez-vous la source précise ?
Merci d’avance !
Bonsoir,
Concernant l’utilisation des données :
1) elles ne sont pas stockées sur le site
2) elles sont envoyées via un mail émis par le formulaire de contact vers une boîte mail de l’entreprise. Dans la boîte mail, les mails sont ensuite stockés de façon classique sur le serveur du fai.
Les données recueillies sont le nom de la personne et son adresse mail. Il y a aussi le titre du message et son objet du message : en général, une question d’ordre technique, commercial ou une demande de rendez-vous.
Nous répondons ainsi à la personne qui a utilisé le formulaire de contact. Les mails sont en général gardés sur le serveur.
Donc, ma question était :
Comme je suis en train de rédiger la page sur la politique de confidentialité, je voudrais savoir si le site est concerné par les données personnelles dans la mesure où le site ne stocke pas de données personnelles.
Merci.
Cordialement,
Petite remarque sur GDPR Cookie Compliance :
Il y a un problème de prise en charge des informations remplies en français quand on utilise les thèmes d’AIT-THEMES. Dans le back-office tous les textes sont correctement pris en compte en français mais sur le front, cela reste en standard de l’éditeur de l’extension. Leur support est au courant :/
peut-on regrouper les conditions générales de vente et la politique de confidentialité..?
une page politique de confidentialité et une page cgv+politique de confidentialite
-la première me sert pour les formulaires de contact
-la deuxième sur woocommerce (pour ne pas avoir à rajouter une deuxième case à cocher)
Bonjour, le mieux reste quand même de les différencier.
Un petit lien technique fort intéressant aussi et qui mérite à être creusé :
https://www.donneespersonnelles.fr/comment-mettre-google-analytics-en-conformite-au-rgpd
Re !
Pour les cookies j’ai une question qui me taraude l’esprit :
Y aura t-il un problème côté GA ?
Car si le visiteur ne clique pas sur le bouton pour accepter que des cookies s’installent sur son ordinateur/mobile, GA ne va pas pouvoir le comptabiliser ? Et donc les stats vont complètement être faussées …
Ou alors GA va quand même comptabiliser la visite mais ne pas récupérer certaines infos ? 🤔
Merci d’avance pour votre réponse 🙂
Bonjour, effectivement si l’utilisateur refuse le cookie de Google Analytic il ne sera pas tracké donc à priori les stats seront un peu diminuée.
Article très complet et précis sur la complexité de la protection de nos données sur le web. Avec les utilisations abusives récentes à l’insu du plein gré des internautes de ces derniers mois, il était inévitable que la législation allait se durcir.
Ok, les CGV doivent être disponibles depuis le footer. Mais sur toutes les pages du site ? ou bien uniquement sur la page d’accueil ? Ou bien sur une page perdues au milieu de nul part ? Car en tant que SEO, balancer le jus sur une page noindex ça me fait beaucoup de mal à mon petit coeur.
Bonjour, elle doit être sur toutes les pages
Bonjour Alex,
Quelle solution vas-tu utiliser pour les commentaires de WPMARMITE ?
Merci pour ta réponse !
Bonjour, on va s’y mettre très bientôt 😉
Bonjour et avant tout merci pour ce super boulot.
Bon forcément je me suis mis à rédiger une politique de confidentialité…etc…etc…
Et d’un coup le doute me vient…
Il faut permettre que chacun puisse sur simple demande faire effacer ses données collectées…bon OK…et cette demande il la fait par un formulaire de contact, par exemple …,formulaire ou il devra rentrer son nom, son adresse mail…etc…etc…données qu’il nous demandera d’effacer en nous renvoyant un formulaire de contact pour ce faire…formulaire ou il donnera son nom…son adresse mail…
Question : qui deviendra fou le premier ?
Bonjour, installe ce plugin et ton problème sera réglé: https://fr.wordpress.org/plugins/gdpr-data-request-form/
Mille mercis pour cet article extrêmement utile, très bien rédigé et super complet. On a beau être habitué avec la marmite, il faut le souligner à chaque fois !
Au risque de paraitre tr-s débutant (ce que je suis), j’ai une petite question : tu dis ajouter une case à cocher dans le formulaire de contact (ça je sais faire – merci au guide de la marmite) et ajoutez un lien vers la page de confidentialité … et là on fait comment pour intégrer un lien dans le formulaire de contact (ce n’est pas dans le guide contact form 7 – j’ai verifié)
Encore merci pour toutes ces infos
Bonjour, il faut ajouter une balise HTML sur ton texte.
Bonjour,
Merci pour toutes ces explications et cet article complet. Je comprends le principe mais ayant que peu de connaissances, j’ai beau lire des tas d’articles, je ne vois pas comment faire ces modifications seule sur mon wordpress pour arriver au résultat voulu par la loi. Ils sont gonflés quand même. Il faut faire ceci et cela sinon gare à toi. Haha. Bien que cela soit légitime, c’est sûr, ma question est simple: quand on est (vraiment) pas douée, comment fait-on? Qui peut s’en charger à notre place? Connaissez-vous des entreprises proposant leur service pour nous aider à être en règle de façon concrète? Hormis les textes à rédiger, un web designer peut-il également remplir cette fonction pour les modifications à effectuer sur un site?… Dernière petite question, la confidentialité des utilisateurs est respectée mais en ce qui concerne la mienne, suis-je obligée de fournir mes coordonnées sur la page de confidentialité? Car je ne souhaite pas que n’importe quel visiteur connaisse mon nom, ni mon adresse personnelle où est enregistrée mon entreprise. Sommes-nous alors pénalisé pour cela? Merci beaucoup pour votre aide et encore bravo pour cet article.
Bonjour Camille. Si tu veux que quelqu’un le fasse à ta place tu peux t’adresser ici: http://www.maintenance-wp.fr
En ce qui concerne ton nom affiché sur le site, c’est déja obligatoire dans les mentions légales. Tu dois fournir le nom d’un responsable à la vue de tous tes visiteurs donc à priori ça ne change pas grand chose. Bonne journée
Trop de textes à lire et il y a aucun moyen de recopier. C’est chiant comme boulot en plus !
Bonjour
Très bon article y a un seul truc ou je bug dans la compréhension c’est ce registre ?
Doit on manuellement rentrer chaque inscription sur notre site ? ou alors un plugin s’en charge t il à notre place ?
Bonjour, la nouvelle version de WordPress permet d’exporter les données facilement
Bonjour,
Merci pour l’article.
La date fatidique approche et je vais consacrer cette semaine pour la mise en conformité de mes sites.
Est ce que vous connaissez un site qui est RGPD friendly ?
je veux pas faire un copycat mais simplement m’en inspirer…
Merci
Bonjour, merci pour ce grand texte un peu dur à mettre en place pour un wordpress simple (comme je dois le faire).
Je suis abonné elegant school.
Mon site fait juste une approche que l’on propose pour mon association de badminton.
Je me penche énormement dessus en ce moment car je ne veux pas crééer de problèmes à mon club.
Sur ce site, je suis en https, je n’ai qu’un utilisateur (administrateur); pas de commentaire, du texte, des tableaux, des documents téléchargeables; google analytics; des noms pour les créneaux (que je vais remplacer par une image avec les noms);
un formulaire de contact.
Si je comprends bien à ce stade, il me faut forcément améliorer les réglementations.
– Pour google analytics, je regarde par rapport à un commentaire plus haut pour mettre les informations sur le serveur (mutualisé que j’ai) ou en le supprimant. Un visiteur voit que les 3 cookies de google analytics.
– Mettre une case à cocher sur le formulaire de contact en champ obligatoire (sert juste à répondre), avec comme texte “J’accepte explicitement l’utilisation de mon téléphone et/ou de mon adresse mail à l’usage exclusif de me contacter à propos de mon association et de son site Internet.” ou “En soumettant ce formulaire, j’accepte que les informations saisies soient exploitées dans le cadre de ma demande.”
– Ajouter un avertisseur de cookie
– Ajouter des mentions légales
Si je mets des résultats de compétitions avec des noms/prénom/photos, que dois-je faire en plus?
Si j’installe un plugin GDPR Data Request Form pour exporter ou supprimer les données, cela ne va pas être utile pour mon utilisation?
Si j’ai oublié des choses, je suis preneur.
Cordialement Nicolas
Bonjour, effectivement tu as quelques pistes ici. Pour les résultats des compétitions, tu dois expliciter le fait que tous les participants acceptent d’être cité sur le site.
Super article ! et surtout merci pour Les snippets de code pour woocommerce, qui marchent parfaitement ! au top !
Merci pour ce super article, très complet.
Mais quelle pris e de tête quand même ce RGPD !
Merci pour cet article au top comme d’hab 🙂
Petite question : j’ai sur un site juste un formulaire de contact ( pas d’enregistrements, de commentaires etc… )
Je suppose que sont stockées les infos de base demandées sur le formulaire ( mail, nom , téléphone ) mais ou? Si j ‘essaie d’exporter ces données avec le nouveau outil embarqué dans WordPress je ne récupère qu’un fichier index.html sans aucune info …
merci !!!
Bonjour, ça dépend ce que tu utilises pour le formulaire
Merci pour la réponse, j’utilise le module de formulaire intégré à DIVI… pas trouvé de traces des infos “récoltées” dans la base de données de mon site …
Le formulaire de Divi n’enregistre pas les données en base
Salut !
Est-ce que quelqu’un aurait un générateur de politique de confidentialité conforme au RGPD, complet et gratuit à proposer ?
Merci
Bonjour, la dernière version de WordPress génère une page type que tu as simplement à éditer avec tes infos.
Bonjour,
Comment faites vous pour supprimer des backup les données d’une personne demandant le droit à l’oublie ??
merci pour l’article 😉
Bonjour, tu peux utiliser ce plugin: https://fr.wordpress.org/plugins/gdpr-data-request-form/
Bonjour,
Merci encore une fois pour votre article qui est vraiment bien fait !
Par contre j’ai une question sur les commentaires avec avis certifiés. Une case à cocher est-elle nécessaire ou pas ?
Merci d’avance pour votre réponse.
Pour les commentaires si tu as obligé les utilisateurs a être connecté avec un compte alors non car ils sont déja censés avoir accepté les conditions de confidentialité du site
Bonjour,
Je lis : “Ajouter automatiquement au footer de son site les pages de politique de confidentialité et de conditions générales d’utilisation.”
Je ne comprends pas cette phrase, il faut mettre tous les textes Mentions Légales et la Politique de Confidentialités dans Footer ?
Ou mettre les liens vers les pages Mentions Légales et Politiques de Confidentialités
Je vois des sites, avec des pavés en bas de page, du coup, je suis perdu, merci
Merci
Bonjour, il faut juste mettre les liens vers les pages 😉
Bonjour,
Merci de votre réponse, peut-être reformuler votre phrase alors ?
Ajouter automatiquement au footer de son site, les liens vers vers les pages de politique de confidentialité et de conditions générales d’utilisation.
Juste une idée, merci beaucoup
Bravo pour cet article où les actions principales sont bien expliquées. Le plus difficile sera de convaincre les TPE de l’importance du RGPD (déjà que peu d’entreprises sont en conformité avec la loi de finance…). Il sera d’ailleurs intéressant de voir dans quelques mois le % des sites étant conforme!
Bonjour,
Pour les formulaires de contact, une case à cochée et le mail font office de trace et d’acceptation des politiques ? non ?
je n’ai pas bien compris le principe de preuve des consentements 🙁
Bonjour, oui la case à cocher suffit.
Merci encore pour cet article complet et concret. Je viens de relire avec attention tous les commentaires et il y a deux personnes qui vous ont questionné sur une affirmation dans votre article : “Note du rédacteur : Chers lecteurs, si vous vous n’exploitez pas des données personnelles à grande échelle, félicitations : vous êtes dispensés de cette étape. Créateurs de petits sites e-commerce, de blogs à trafic moyen, ou de sites-vitrines récoltant 50 contacts par mois : pas besoin de vous en préoccuper.” N’ayant pas trouvé la réponse dans les commentaires, je la repose : où trouver cette mention/limitation/exemption ? les sites que je maintiens sont majoritairement dans ce dernier cas ! Merci de nous éclairer.
Bonjour,
Tout d’abord, merci pour ces informations détaillées, je pense que vous êtes les garants d’une mise en conformité d’un maximum de créateurs de sites web 🙂
J’ai une question tout de même, à propos de la suppression, modification, portabilité des données utilisateurs : j’utilise sur mon site un formulaire contact qui ne stocke pas les données en base. Le formulaire envoie seulement par email les données saisies dans les champs.
Par conséquent, je ne peux pas exporter les données utilisateur avec la nouvelle fonctionnalité de WP (de la version 4.9.6).
Mais est-ce que je dois quand-même créer une page spécifique dédiée aux demandes des utilisateurs d’accéder à leurs données, de les modifier, de les effacer, ou de les transférer vers un tiers (contenant le formulaire de demande) ?
Si c’est le cas, je dois leur préciser dans cette page que les données ne sont pas stockées dans une base de données et que par conséquent, ils peuvent seulement demander à accéder aux informations envoyées par mail au préalable ou à supprimer le mail dans ma boîte de réception (pas de possibilité de modification) ?
Et donc si c’est une demande de suppression, je supprime le mail dans ma boîte de réception ?
Enfin, suis-je obligée de supprimer les mails reçus au bout de 3 ans ?
Merci pour votre réponse, ces points n’étant pas très clair pour moi 🙂
Bonjour, effectivement tu n’as rien à exporter. Tu peux les prévenir sur le formulaire que les données ne sont pas stockées sur ton serveur mais servent simplement à répondre aux demandes de contact. Pour la durée limite je pense que tu peux leur spécifier aussi.
Bonjour Julien,
Merci pour ton retour. Mais est-ce que tu sais si je dois aussi créer une page spécifique pour que les internautes demandent la suppression de ces mails ?
Merci, bonne journée !
Bonjour, pas forcément mais tu dois leur fournir au moins une adresse à contacter pour la suppression
Bonjour
Comme toujours un super article : clair, précis et pratique.
Tout ce que l’on aime chez vous 🙂
J’ai une question, sans doute bête mais tant pis.
D’après ce que je comprend, il nous faut lister les cookies présent sur le site. Cookiebot ne semble pas faire une liste exhaustive des cookies du site, si ?
D’après lui, je n’ai que 5 cookies sur mon site.
Ils ont tous comme source : http://www.google-analytics.com/analytics.js
Ce qui n’est pas étonnant.
Par contre je n’en vois aucun autre et ça m’étonne.
Par contre, en admettant que ce scan de 5 cookies soit correct, il est valable à l’instant T.
Que se passe t’il si lors de la mise à jour d’un plugin, du thème ou de WP, d’autres cookies sont inclus dans la MAJ. Je risque de ne pas le voir.
A chaque mise à jour il va falloir tout décortiquer ?
C’est ingérable si on est webmaster et que l’on a plusieurs sites.
Quel est votre avis ?
Bonjour, si tu utilises cookibot (normalement), il les liste tous.
Bonjour,
Concernant les cookies, je me pose une question puisque il me semble que la loi est plus précise que ce qu’on avait avant.
Faut il LISTER les cookies présent sur notre site internet dans la page POLITIQUE DE CONFIDENTIALITE / RGPD que l’on doit désormais inclure dans notre site ?
Je crois comprendre en lisant votre article que OUI qu’il faut lister les cookies utilisés.
Dans ce cas, je m’interroge.
1/ Comment lister les cookies utilisés sur l’ensemble du site ?
Le site Cookiebot
Bonjour, oui il faudrait et tu peux utiliser CookieBot
Merci de ta réponse,
J’ai en effet utilisé le site Cookiebot, mais cela rame un peu pour avoir les résultats, et je ne me voyais pas attendre 6h pour avoir le résultat de chacune des différentes pages, surtout quand on maintient plusieurs sites.
Pour ceux que cela intéresse, j’ai cherché et j’ai trouvé une extension de navigateur qui semble bien marcher : Ghostery (https://www.ghostery.com/fr/) il m’affiche pour chaque page instantanément les mouchards.
voilà 🙂
Wouaw !!!! Vous nous rendez un grand service en ayant rédigé cet article sur les RGPD. J’ai du coup créé un dossier à m’imprimer pour bien relire tout ça et appliquer chaque étape autant que possible les uns après les autres. Merci beaucoup de votre aide auprès des webmasters que nous sommes. 🙂
Il va me falloir des heures à mettre ces choses en place.
Je vous conseille un super plugin : WP GDPR compliance qui devrait vous aider à mettre en place certains éléments pour être en conformité.
Merci 🙂
Bonjour,
Merci beaucoup pour cet article très très très éclairant.
Ma question : j’informe mes clients de la nécessité de mise en conformité de leur site à la nouvelle réglementation RGPD, ce qui pour eux veut dire : va falloir que je bosse sur votre site ce qui va engendrer une facture.
Si mon client refuse je fais quoi ? Je lui fais signer une décharge ?
Merci pour votre réponse.
Bonjour,
je m’interroge aussi à ce sujet, qui est responsable dans ces cas là ?
Merci pour votre commentaire.
Problème: je vous cite:” WP Comment Policy Checkbox, qui rajoutera une case à cocher près du bouton “Envoyer”, et diffusera un message d’erreur si ce n’est pas fait.”
Si l’on ne coche pas la case, pas de message d ‘erreur et le commentaire est bien envoyé ?
y a t il un réglage ?
Bonjour, c’est maintenant disponible nativement dans la derniere version de WordPress et WooCommerce
Bonjour,
Je suis en train de faire le tour de tous les sites que j’administre et je me pose la question suivante : sur la totalité j’ai 2 sites sur lesquels les mises à jour des thèmes ne sont pas possibles.
1/ Le premier est un thème premium issu du framework mysitemyway.
Ils sont arrêtés l’activité et plus rien ne se passe, le site internet mysitemyway n’est même plus en ligne.
2/ Le second thème à été réalisé par un sous traitant indépendant d’une agence de com. L’indépendant à arrêté sont activité.
Je suis moi même indépendant et j’ai récupéré le site web sur lequel j’assure les sauvegarde et la maintenance du WP et des plugins (sauf le thème, puisque pas de MAJ).
J’ai déjà sécurisé ces sites en prenant des précautions de base comme vous le conseillez dans vos articles sur le sujet.
Je conseille au client la mise en place d’un plugin de sécurité pour en rajouter une couche.
En cas de problème puis je être considéré comme responsable ?
Dans les 2 cas ?
Dois je avertir le client que son thème n’est plus à jour ?
C’est un peu délicat pour mes relations avec la boite de com qui lui a vendu le site !!
Merci de votre réponse, je suis sûr que cela va intéresser beaucoup de monde.
Bonjour, puisque tu gères la maintenance des sites, tu dois les prévenir que ceux-ci ne sont plus à jour et peuvent présenter des failles de sécurité. Tu es le responsable si jamais quoi que ce soit arrive. Tu peux eventuellement leur proposer une refonte de site pour que tout soit plus facile.
Bonjour,
j’ai une question concernant l’utilisation à des fins commerciale des emails reçu via les formulaire de contact.
Puis je les utiliser pour envoyer des mailings de temps en temps si je le notifie dans ma politique de confidentialité ou est ce que c’est considéré comme un moyen détourné ?
Merci encore !
Une formation RGPD de prevu sur votre site ?
Bonjour, tu dois ajouter une case à cocher par le visiteur pour leur dire qu’ils recevront des mails commerciaux.
On avait éventuellement eu l’idée d’une formation RGPD en effet mais on l’a abandonné car c’est finalement très compliqué de faire quelque chose de global alors que chaque situation est assez différente.
Merci de ta réponse Julien c’est super sympa !
cette article est ma référence lorsque j’ai un trou de RGPD ^^
Dans l’article vous mentionnez le faite que woocommerce à résolution le problème de la case à cocher de la politique de confidentialité mais en faite pas vraiment car ils n’ont pas mis de case à cocher, juste un texte.
La case à cocher est uniquement pour les CGV.
Alors conforme ou pas woocommerce ?
Merci à l’équipe !
Bonjour, si si WooCommerce a bien ajouté cette case à cocher 😉
Ah ben exactement la même question ! Je n’avais pas vu. Je cherche les fameuses cases, je n’ai trouvé que les zones de texte. Merci
Bonjour, merci beaucoup pour cet article !
J’ai une question : La MAJ de WC permet d’apposer un texte explicatif sur la PDC au niveau de la page Commande et Création de compte… Mais il n’est pas prévu de case à cocher, seulement un texte d’info.
RGPD OK ou pas ?
:/
Merci !
Bonjour, il y a déja une case à cocher pour le RGPD avec la nouvelle version de WooCommerce normalement.
Ah bon ? J’ai la dernière version… je n’ai rien vu de tel, uniquement les textes “Politique de confidentialité de l’enregistrement” et “Politique de confidentialité du paiement” dans Réglages / Comptes et confidentialité… Quelqu’un aurait la gentillesse de m’indiquer où se trouvent les fameuses cases à cocher ?
Merci
Bonjour, j’ai répondu ce matin mais je crois que ça n’a pas marché, je ne vois pas mon commentaire…
Je disais que je ne voyais pas la fameuse case, je suis dans WooCommerce > Réglages > Comptes et confidentialité, et seuls les zones de texte figurent… Si quelqu’un peut m’aiguiller ? Je cherche depuis des jours. Merci
Bonjour, la case est ajoutée automatiquement avec le texte que tu auras choisi.
Bonjour,
Non pas pour la politique de confidentialité juste pour les conditions générales de vente 😉
Bonjour, je suis DPO indépendant et merci pour ce bel article qui pose les bases du RGPD, cependant quelques précisions s’imposent :
– Le registre des traitements n’est obligatoire que pour les entreprises de plus de 250 salariés. Pour les autres, je le conseille souvent car il permet d’avoir une cartographie précise et une vision globale des traitements effectués dans l’entreprise. L’exemple de registre proposé par la CNIL est, à mon goût, bien trop léger.
– En ce qui concerne le consentement, la case à cocher n’est bien souvent pas suffisante. Cette action de la part du consommateur n’est pas assez explicite, le stockage de la preuve de cette action peut être difficile et la restitution de ce type de preuve, lors d’un litige, peut être soumis à controverse car l’action peut être considérée comme avoir été exécutée sans vraiment lire le texte devant cette case à cocher.
Voilà pour ma petite contribution, je suis à la disposition des entrepreneurs sur mon site dpoexpert.fr ou sur mon profil linkedin pour répondre à d’autres questions.
Merci pour ton retour Thomas-Jérôme 🙂
Pour la case à cocher, c’est comme les CGV lors d’un achat. On sait très bien que peu de personnes les lisent… Tu recommandes le double-optin en complément ?
Bonjour,
je n’utilise aucune collecte d’infos personnelles : pas de newsletter, commentaires, vente… et le contact est un mailto html. Suis-je concerné par cette nouvelle loi ?
merci pour ces informations claires et votre réponse
Bonjour, à partir du moment où tu récoltes un email et tu es susceptible de l’utiliser pour y répondre alors oui.
Bonjour Thomas-Jérôme BOUCHE
Merci beaucoup pour ton expertise, c’est super intéressant d’avoir des retours des personnes du milieu. Je garde ton site sous le coude 😉
Par contre l’histoire de la case à cocher me chatouille un peut car cela veut dire que nous devenons “responsable” de l’irresponsabilité de certains visiteur (ça n’est surement pas très français…).
je veux dire par là qu’à un moment il faut aussi que l’internaute se prenne en mains vis à vis de ses données. Donc s’il coche la case il est en mesure de savoir ce dans quoi il s’engage.
Quand je signe un contrat virtuel ou non je sais ce que je fais, pourquoi n’en serait il pas de même sur le net ?
Bonjour, juste pour info, je viens de mettre le WP GDPR Compliance sur mon site. Bon, c’est en anglais, mais pas difficile du tout (avec un traducteur on s’en sort). Il est pas pour les commentaires, les formules de contact.
Bonjour,
Comment gérez-vous les clients qui refuse de se mettre en conformité avec la loi RGPD ?
Comme la prestation de mise à jour demande un certain travail et donc est facturé, quel recours pour nous hébergeur de site internet envers un client qui ne veut pas se conformer à la loi?
Merci et bravo à la marmite pour ce super tuto 🙂
Bonjour, tu peux lui faire signer une décharge comme quoi tu n’es pas responsable de la non-conformité du site eventuellement
Waow waow… attention :
Il n’existe pas encore à ce jour de Certification RGPD.
Donc, toute personne exécutant ce RGPD engage sa responsabilité.
Nota : Il est bien dit, qu’il appartient à chaque DPA d’envisager sa conformité.
Pour les agence alors ? Peuvent-elles, doivent-elles devenir DPO ?
Tout d’abord, il faut (à mon sens) faire signer lors du devis, un accord par Opt-in, reprenant les mentions annotées dans les CGV, concernant le RGPD.
C’est à dire, qu’il faut que le souscripteur de projet indique avoir bien été informé de tous les Conseils Professionnels de Bonne-fin, y compris ceux concernant le RGPD.
Toujours à mon sens, si l’agence effectue le RGPD pour son client, il ne faut pas l’indiquer ni dans le devis ni sur la facture. Débrouillez-vous autrement.
Merci beaucoup Julien pour cette réponse, c’est effectivement ce que nous pensions faire.
Bonjour,
super article très intéressant et très complet, bravo. Il me vient néanmoins 2 questions :
A) Lors du processus d’inscription, faut-il afficher la case à cocher, j’accepte la politique de confidentialité ? Le snippet proposé n’affiche pas de case à cocher.
B) A propos de Woocommerce, si on interdit les commandes en tant qu’invité, est-il obligatoire d’afficher une nouvelle fois la politique de confidentialité ?
Bonjour, normalement WooCommerce affiche tout ça nativement depuis leur dernière mise à jour.
Bonjour, j’ai le même problème que Orishas:
En fait, quand je configure le module et que je vais dans discussion pour choisir la page où le lien doit aller « Politique_de_confidentialite » dans mon cas, et bien le lien reste sur la page d’inscription du site, j’ai beau vider le cache, changer la page et choisir une autre, le lien reste toujours le même, il reste sur la même page où le la case à coché est (module Policy Checkbox)
Impossible même en choisissant 10 pages différentes que le lien me redirige vers cette page pour que les gens puissent voir et lire avant d’accepter ou non la petite case à cocher.
J’ai changé de thème, désactivé tous les plugins mais c’est pareil.
Qui a une solution?
Bonjour, tu as essayé de vider tous les caches?
Bonjour,
Auto-entrepreneur, j’ai fais un site pour un client en 2015. Aucun contrat de maintenance, je lui ai juste fournis les sources du site web.
Aujourd’hui je reçois un mail de ce dit client, m’informant qu’il faut que je mette sont site à jour en rapport à la RGPD, et que je suis légalement responsable si cela n’est pas fait.
Suis-je dans l’obligation de mettre à niveau ce site (gratuitement), ou cela doit il faire lieu à un nouveau contrat ?
Bonjour, tu n’as certainement pas à le faire gratuitement. Si ton client veut être en règle il doit payer la prestation.
Bonjour,
voici un plugin pour la mise en conformité (gratuit 100% à ne pas confondre avec l’autre du même nom qui n’est pas 100%free)
https://wordpress.org/plugins/wp-tarteaucitron-js-self-hosted/
peut être à ajouter dans les plugin à avoir 2018
Est gdpr d ‘activer tous les cookies d’office ?
merci encore pour les articles.
PS : dans la nouvelle version de la marmite, vous pourrez mettre un module de recherche plus visible ^^ je galère toujours à le trouver ^^ (j’suis un peu c**c** je sais ^^)
allé je retourne à ma tambouille ++
Bon et bien tout cela m’embête…
Je suis Canadienne et je reçois des visiteurs de l’Europe sur mon blogue. Suis-je obligé de rédiger une politique de confidentialité en tant que blogueuse non professionnelle (mon site est personnel)?
Pas mal cet article, c’est encore plus marrant que sur votre site vous ayez aucun bandeau ni rien :))) va falloir vous mettre à jour les loulous ca fait pas très serieux
Bonjour, le site est en cours de refonte complète 😉
Très intéressant, merci !
Merci beaucoup pour cet article.
c’est bien d’avertir les internautes avant tout usage! merci pour cet article
Très peu habitué à laisser des commentaires à force de jongler entre les forums/articles, je doit avouer que ce ne fut pas le cas cette fois ci.
Un article complet, réellement, je n’ai pas vue sa autre part.
La formulation et la touche d’humour donne un coté très authentique et ne parlons pas des illustrations qui transforment un sujet aussi complexe au premier abord qu’est la législation en sujet très intéressant.
Merci Eléonor et l’équipe WPMarmite !
Bonjour,
Pensez vous faire un article sur les extensions qui gèrent les bandeaux de cookies et qui respectent bien le RGPD ?
Merci
Bonjour je transmets à l’équipe 😉 Bonne journée
Bonjour, je suis entrain de mettre aux normes RGPD tous les sites de mes clients. Je suis bien vos conseils et process, y-aurait-il un site test en ligne pour vérifier si les normes RGPD en France sont respectées ? J’ai essayé cookiebot.com mais je doute de leur résultat…
Bonjour tu as le nouveau logiciel de la CNIL qui s’inscrit dans une démarche d’accompagnement des responsables de traitement dans la mise en œuvre des obligations du RGPD : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Il n’existe pas à ce jour de logiciel permettant de tester ton site pour en vérifier la conformité.
Une vérification humaine avec un professionnel du secteur reste la seule solution.
Bonjour
concernant le plugin GDPR FRAMEWORK je suis un peu perdue .
Les fonctions principales:
Créer automatiquement une page dédiée à l’effacement des données des utilisateurs ;
Permettre aux utilisateurs d’exporter automatiquement leurs données, sur simple demande ;
Anonymiser ou supprimer automatiquement ces données, à la demande de l’utilisateur concerné ;
Comment on gére concrétement car le plugin ne dispose pas de réglages . L’utlisateur dispose d’un formulaire ? C’est vraiment flou pour moi j’ai beau éplucher les docs je ne trouve pas de réponses . Je veux savoir car je me demande s’il ne fait pas doublon avec GDPR COOKIE CONSENT
mon site est cours je ne peux pas vous laisser mon site
Bonjour, en effet certaines fonctionnalités font double emploi. Concernant l’effacement des données, il faut savoir que depuis la version 4.9.6 de WordPress, tu as une fonctionnalité intégrée depuis ton menu Outils >> Effacement des données. Tu peux ainsi envoyer les data aux personnes qui le souhaitent : https://wordpress.org/news/2018/05/wordpress-4-9-6-privacy-and-maintenance-release/
Merci beaucoup pour ces précieuses infos ! Par contre le Plugin pour la checkbox est impossible à trouver dans les extensions 🙁
Y en aurait-il un autre qu’il soit possible de paramétrer pour l’ajouter dans les blocks pour la création du formulaire sur MailPoet ?
Merci d’avance
Bonjour, si tu parles de la checkbox à intégrer dans le formulaire de contact, la plupart des plugins de formulaires ont 1 champ “checkbox” ou “acceptance” pour permettre cet ajout. Ils se sont tous mis à jour au fur et à mesure pour être en conformité RGPD.
Concernant MailPoet, voici leur doc technique :
https://kb.mailpoet.com/article/246-guide-to-conform-to-gdpr et
https://kb.mailpoet.com/article/140-create-a-subscription-form
Bonjour, j’ai bien lu votre article qui est très intéressant, merci à vous. Mais je suis toujours incertain sur un point.
Je suis actuellement en train de réaliser un site web pour une entreprise. Ce site web comportera différents formulaires (demande de devis, contact…), mais je sais que l’entreprise ne compte pas stocker/conserver les informations personnelles reçues, elles seront justes utilisé pour répondre à leurs demandes et à aucun moment ces informatisations ne seront stockées sur une base de données.
Ma question est la suivante : est-il quand même nécessaire de mettre la fameuse case à cocher sur les formulaires et d’expliquer que ces données seront utilisés seulement pour leur répondre (sur la page de politique de confidentialité) ?
Merci d’avance
Oui c’est obligatoire car tu auras tout de même les données dans tous les emails reçus et sur vos boites mails. Elles seront donc utilisées 😉
Merci pour ce travail très fourni comme d’habitude ! J’ai une petite question : si l’utilisateur clique sur le bouton ACCEPTER les cookies, ai-je encore besoin de mettre ce genre de paragraphe dans ma page Politique de confidentialité ?
“Pour limiter ou bloquer les cookies du site http://www.nomdusite.fr et de tout autre site, l’utilisateur peut paramétrer son navigateur. Pour connaître les options offertes par le navigateur et les modalités de suppression de fichiers cookies stockés dans le terminal de l’utilisateur, celui-ci peut consulter le menu « Aide » de son navigateur ainsi que le site de la CNIL.”
Cela ne fait-il pas double emploi ?
D’avance merci pour votre aide
Bonjour, oui car l’utilisateur a le droit de changer d’avis à tout moment 😉
Bonjour,
Merci beaucoup pour votre excellent article.
Concernant ceci :
2. Une page de commande où apparaît votre Politique de Confidentialité
Savez-vous comment adapter votre snippet de code dans le functions.php pour que ce message et le checkbox apparaissent en français dans les pages en français et en allemand dans les pages en allemand. ?
En l’occurence, mon site est en deux langues (Français et allemand).
Merci pour vos très bons articles et votre aide.
Meilleures salutations.
Bonjour, il faut pour ceci ajouter un peu plus de code personnalisé avec une condition supplémentaire sur la langue actuelle du site.
Merci pour ce partage de connaissances et pour ce travail grandiose sur un sujet aussi difficile que le RGPD
Merci pour cet article, cela permet de voire ou on met les pieds avant de se retrouver face à une situation qui peut devenir très vite ingérable.
Au plaisir de faire plus ample connaissance par email.
Cordialement
Hello la Marmitte !
Merci pour ce guide très bien construit !
Qu’en est-il pour un site multilingue qui pourra être consulté hors Europe ?
Bonjour, il faudra s’adapter à la loi du pays. C’est notamment le cas pour la Californie par exemple.
Un très, très grand merci pour tout ce que “WP Marmite” m’a apporté, pour toutes les explications fournies . Je suis loin d’être au point sur tout ce qui concerne WordPress et … ; j’ai eu une formation (trop courte hélas !) pour construire mon site . Donc face à un questionnement, -et cela m’arrive souvent-, je consulte votre blog où je trouve des réponses professionnelles, sérieuses et détaillées, et surtout rédigées en sorte qu’elles soient accessibles . Félicitations
Article riche en information et très intéressant.
Merci Eléonor pour cet excellent article ! Beaucoup sont encore en retard ou n’ont pas conscience des implications que cela peut représenter. Je pense notamment à tout ceux qui construisent “gratuitement” leur site internet.
Excellent article, très complet ! Merci pour la précision et la clarté des informations !
Merci pour cet article ! Une mise à jour (ou un article spécifique) au sujet des bannières de cookies serait bienvenu.
Le RGPD me donne mal à la tête. Et si la nouvelle voie n’était pas de limiter les dégâts à la base afin d’éviter les mises en conformité techniquement contraignantes : abandonner les cookies tiers en développant ses propres librairies, scripts, couper Analytics au profit d’analyseur d’audience non-traçants (Piwik & co…).
Bonjour
Le Mooc « l’atelier RGPD » est actuellement indisponible.
Des évolutions sont en cours pour accueillir de nouveaux contenus.
Bonjour l’équipe de WPMarmite, quel plugin utiliser pour les cookies afin de mettre son site en conformité ?
Bonjour, tu peux utiliser le plugin tarteaucitronJS : https://fr.wordpress.org/plugins/tarteaucitronjs/
Bravo Eleonor pour ton texte simple et concis, fruit d’une étude approfondie sur le sujet.
Et toujours avec la bonne humeur de la Marmite.
Bonjour !
Merci pour cet article 🙂
Personnellement pour moi qui suis blogueuse et ai créé un petit shop sur mon site en Mai, ca a été un peu compliqué ! Mais je suis parvenue à me mettre en conformité (je pense) et bizarrement, j’ai plus de visites venant de Google depuis ce moment-là donc tant mieux.
Le seul soucis, c’est que mes lecteurs ne peuvent plus commenter mes articles !!! J’ignore pourquoi car le formulaire de commentaire est bien conforme, et la barre de consentement bien présente lors de la première visite. Mais voilà je suis bloquée, je ne trouve pas la solution. Et franchement un blog sans commentaire, autant dire qu’il va mourir…Je suis dégoûtée.
Je me doute que vous n’aurez pas de solution, mais j’avais besoin d’extérioriser mon désespoir. J’ai voulu me mettre en conformité avec les règles de protection des données utilisateurs (et c’est bien normal) sauf que maintenant, mon outil d’interactivité avec ma communauté est mort :'(
Bonne journée
De quoi mettre en place tout ce qu’il faut pour être en règle avec le RGPD.
Merci pour cet article !
bonjour Eléonor et bravo pour cet article très détaillé.
Vous ne le dites pas dans l’article alors je pose la question ici : quel plugin d’acceptation RDPG-cookie utilisez-vous sur wpamarmite ? je suis intéressé par le même que vous sur cette page (celui qui s’affiche en bas en bandeau et demande par 3 boutons : vert : tout accepter, ou blanc: refuser ou personnaliser).
je cherchais un plugin minimaliste et le même que vous me conviendrez très bien !
J’ai regardé le code source de la page et n’ai pas trouvé non-plus la source de cette extension ou plugin que vous intégré 🙁
Hello, il s’agit de Tarteaucitron 😉
Exceptionnel !
Merci pour ce très bon article, très instructif, mais quel est le plugin facile d’utilisation et le plus adéquat pour faire de l’e-commerce ? Merci pour votre réponse.
Bonjour, Woocommerce 😉
Merci pour cet article qui apporte en effet beaucoup de réponses sur la question pas toujours si simple à comprendre.
Continuez comme ça, perso j’utilise beaucoup vos articles pour construire mon blog.
Merci encore pour ce que vous faites.
Bonne journée à tous
Merci beaucoup pour l’article.
merci beaucoup pour cette article très interessant comme toujours
Grace à vos articles et votre site, je progresse tous les jours
Merci encore et surtout, continuez
Bonne soirée
Harry
Super Merci pour ces infos, a l’heure ou google ads prevoit de sévir, il va falloir se mettre à jours !
merci pour ces tuyaux
Bonjour, merci pour votre article. Ma question est à propos des données personnelles sur Woocommerce.
Si le client demande la suppression de ses données personnelles : est-ce que cela revient à supprimer son compte ? Les informations email, mot de passe, nom, prénom ne font-elles parties de données personnelles ?
Bonne journée.
Bonjour, oui tout.
Merci beaucoup pour cet article bien expliquer, qui m’a beaucoup aidé d’avoir une connaissance à ce sujet.
Merci beaucoup pour l’article, ça m’a inspiré