Accueil » Blog WordPress » RGPD et WordPress : Le guide ultime (et concret) pour se mettre en conformité

RGPD et WordPress : Le guide ultime (et concret) pour se mettre en conformité

Décidément, en ce début d’année 2018, l’univers du web s’agite de toutes parts !

Il y a quelques semaines, on vous parlait de l’arrivée de WordPress 5.0 dans les mois à venir, et de la véritable révolution qui se préparait.

Aujourd’hui, il nous semble essentiel de vous parler d’un autre sujet, qui bruisse tout autant sur toutes les lèvres : le RGPD.

Si vous êtes marketeur ou chef d’entreprise, et que vous traînez régulièrement sur LinkedIn, vous avez du entendre parler de cette nouvelle législation, qui entrera en application le 25 mai.

Le RGPD, acronyme pour Règlement Général pour la Protection des Données, ne cesse d’y faire parler de lui ! Vous l’avez peut-être aussi rencontré dans son acception anglaise, GDPR.

Mais si vous possédez un site web et que vous n’avez pas encore entendu parler du RGPD, alors il est temps de vous renseigner un peu pour vous préparer car ça va secouer !

Ça tombe bien : la Marmite a récemment rencontré des avocats pour y voir un peu plus clair.

RGPD mise en conformité

Du coup, nous avons pris le parti de vous détailler, pas à pas, les différents points-clés à examiner pour mettre votre site WordPress ou votre boutique WooCommerce en conformité avec la nouvelle législation.

Pas de jargon juridique, pas de références à d’obscures parties du Code Civil : que du concret pour les créateurs de sites WordPress et WooCommerce !

On vous le concède, cela n’a pas été facile. Si vous avez suivi les stories d’Alex sur Instagram, vous avez vu qu’il a fallu remanier l’article plus d’une fois !

Ceci étant dit, nous estimons vous proposer une ressource qui se veut la plus concrète possible (contrairement à ce que l’on peut voir ailleurs) afin de vous aider à mettre votre site dans les clous.

Note du rédacteur : Pour rédiger cet article, nous avons fait appel aux conseils du cabinet d’avocats Langlais : merci à eux !

Cependant, il ne s’agit là que d’une source d’informations générales, qui ne peuvent être interprétées comme un véritable conseil juridique. Si vous maniez au quotidien un nombre important de données, nous ne pouvons que vous recommander de faire appel à des professionnels, comme ceux du cabinet Langlais, qui pourront vous accompagner à vous mettre en conformité.

Sur ce, je vous propose de découvrir le sommaire :

Et si vous en voulez davantage, sachez qu’Alex et ses compères de WPChef ont mis en ligne une webconférence sur le RGPD. Elle est normalement réservée aux stagiaires de leur formation WordPress mais ils ont préféré la partager pour vous aider à vous mettre en conformité. Merci à eux 🙂

C’est quoi ça, le RGPD ?

Définition RGPD

Le Règlement Général pour la Protection des Données est une réglementation européenne qui prend application très prochainement, le 25 mai pour être exact. Votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.

Le but de cette réglementation, qui va venir secouer les pratiques des professionnels et particuliers sur le web : assurer à tout individu le contrôle et la protection des données à caractère personnel qu’il dissémine lors de ses navigations sur la toile.

Qu’est-ce qu’une donnée à caractère personnel ?

Petit point définition : Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu :

  • On peut identifier directement un internaute grâce à son nom, son prénom, mais également son adresse email ou son numéro de téléphone, et tout type de donnée démographique (fonction professionnelle, sexe, âge…) ou géographique (localisation, lieu de travail…).
  • Comptent aussi dans ces données à caractère personnel les informations purement numériques d’un internaute (adresse IP), ou ses data comportementales (actions menées sur un site web, comme les visites ou les clics). Même les données partagées de sa propre initiative, comme la mise en ligne d’une photo ou un like, comptent également dans cette définition.

Ça promet, hein ?

Concrètement, qu’est-ce que la législation prévoit ?

Pour être très concret, le RGPD comporte trois volets importants, qu’il s’agit de prendre en compte :

  • L’amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel. Que ce soit via des formulaires, ou bien vis-à-vis des cookies, le visiteur doit être informé qu’il partage ses données, et savoir explicitement à quelles fins.
  • La traçabilité et la haute sécurité des données des utilisateurs. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
  • Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.

Autant d’éléments qui vont influencer la manière de créer et de gérer un site web.

Note : Le cabinet que nous avons consulté a d’ailleurs mis en place un site pour vous aider à y voir plus clair.

Qui est concerné ?

Le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle.

Petit rappel de géographie, l’UE en 2018 correspond à tous les pays en bleu :

Union Européenne en 2018Merci à Pascal Orcier pour cette superbe carte.

Si vous collectez, utilisez ou stockez ce type de données, surprise : vous êtes pile dans la cible de cette législation (et potentiellement dans le viseur de la CNIL) ! Et ce, quels que soient le secteur d’activité ou la taille de votre structure.

À noter que le RGPD s’applique également aux données internes aux entreprises : celles que vous récoltez sur vos employés, dans des fichiers du personnel, par exemple.

Autre point très important : même si votre entreprise ou vous-même êtes basés, ou que vous stockez vos données, en-dehors de l’Union Européenne, le RGPD s’applique à votre activité.

La législation se place en effet du point de vue de l’internaute : si vous traitez des données d’un individu résidant dans l’un des 28 membres de l’UE, vous êtes concerné.

Et les développeurs et agences WordPress, alors ?

Bon nombre de lecteurs de la Marmite, et notamment les développeurs ou agences WordPress, se diront : “ok, mais moi, je ne fais que traiter les données de seconde main que mes clients récoltent”.

Minute papillon ! Vous êtes également concernés, en tant que sous-traitants. Grosso modo, si le traitement que vous faites des données de vos clients ne rentre pas en conformité avec le GDPR, vous risquez également de vous faire taper sur les doigts.

Et surtout, si vous n’êtes pas conformes au RGPD, vous risquez de voir certains clients refuser de faire affaire avec vous désormais !

Il s’agit donc dès maintenant pour vous de revoir la manière dont vous abordez cette utilisation des données dans vos contrats clients, actuels et futurs. En recherchant des informations à ce sujet, je suis tombée sur une infographie bien ficelée, dont la seconde partie traite des questions à aborder avec vos clients en tant que prestataire.

Voici quelques éléments à ajouter à vos contrats, dans une partie spécifique à l’utilisation que vous faites de vos données, pour être dans les clous :

  • Le nom et les coordonnées de votre Délégué à la Protection des Données (DPO) (pas besoin d’en nommer un si vous ne brassez pas une masse de data quotidiennement) ;
  • La méthode que vous utilisez pour récolter, stocker et utiliser vos données ;
  • Vos méthodes de sécurisation des données ;
  • Vos éventuelles relations à d’autres sous-traitants, qui utiliseraient ces mêmes données ;
  • Votre méthode de notification de faille de sécurité, et éventuellement votre processus de rectification ou suppression des données à la demande des utilisateurs (direction la partie 5 de ce tutoriel : toute le monde est concerné !).

Quelles sanctions risque-t-on ?

Avant même le RGPD, le droit français prévoyait déjà des sanctions pénales en cas d’infractions portant sur des données personnelles. Certes, dans les faits, celles-ci étaient rarement appliquées, ou par des amendes relativement faibles.

On se rappelle notamment de OUICAR qui n’a écopé que d’un avertissement alors que les données personnelles des utilisateurs de son site sont restées librement accessibles pendant près de trois ans…

Mais le RGPD vient renforcer le système de sanctions déjà mis en place. Et les amendes administratives détaillées dans la législation sont beaucoup plus dissuasives ! Il est prévu qu’elles pourront atteindre 2 % à 4 % du chiffre d’affaires de la personne ou entreprise concernée, et jusqu’à 20 millions d’euros pour les infractions les plus graves.

RGPD guide WordPress

Il y a 99% de chances pour que vous ayez cette tête en lisant cet article.

En tous cas, chez la Marmite, on vous avoue qu’on est un peu dubitatifs quant à l’application concrète du RGPD. N’empêche qu’on ne se risquerait pas trop à aller chercher la CNIL pour lui faire des pieds de nez…

C’est pourquoi nous allons maintenant vous guider pas à pas dans la mise en conformité de votre site face à ces nouvelles obligations.

Que devez-vous changer sur votre site WordPress ?

Comment appliquer le RGPD à WordPress

Allez, c’est parti : penchons-nous sur ce que vous allez devoir revoir sur votre site WordPress.

1. Mettre à jour ses conditions d’utilisation et sa politique de confidentialité

Premier point essentiel du RGPD : la nécessité d’apposer, à même son site web, des mentions d’information claires et transparentes pour les utilisateurs.

Même si cela devait déjà être le cas avant l’arrivée du RGPD, il va quand même vous falloir plancher sérieusement sur deux éléments-clés : la politique de confidentialité de votre site, ainsi que ses conditions générales d’utilisation et de vente (si vous avez une boutique).

1.1 Une politique de confidentialité claire comme de l’eau de source

Voilà un élément à modifier en vue du RGPD, qui va vous demander de bien analyser comment vous traitez vos données utilisateurs.

Votre page de politique de confidentialité, généralement située dans votre pied de page, doit désormais expliquer concrètement ce que vous faites avec ces données.

Faites-y donc apparaître :

  • Vos coordonnées, ainsi que l’éditeur du site, et son hébergeur.
  • Quel type de données vous récoltez lors de l’inscription ou de la commande sur votre site web : noms, prénoms, email, téléphone, adresse postale, adresse IP…
  • Pourquoi vous collectez ces données : communication par newsletters, facturation, suivi du comportement de l’utilisateur sur le site…
  • Combien de temps vous stockez ces données : vous pouvez garder les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
  • Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données. C’est ce qui nous intéressera dans l’étape 5 de cet article.

Ces éléments doivent apparaître dans une page intégrée à votre pied de page.

Note du rédacteur (5 mai 2018) : Dans la version 4.9.6 de WordPress, dont la sortie est prévue le 15 mai, vous pourrez créer votre page de Politique de Confidentialité directement depuis l’onglet « Réglages » de votre interface WordPress. Y seront proposés des paragraphes pré-rédigés, optimisés pour le RGPD : à vous de sélectionner ceux qui concernent votre site.

Votre page de Politique de Confidentialité doit aussi apparaître à chaque moment où vos utilisateurs partageront leurs données (typiquement, dans les formulaires de contact ou de téléchargement). Pour ce faire, rien de plus simple : il vous suffit de rajouter une case à cocher supplémentaire à votre formulaire.

Cette case, très commune sur la plupart des sites, demande à l’utilisateur de confirmer “J’ai lu et accepte la politique de confidentialité de ce site” (en incluant un lien URL vers votre page dédiée).

Note du rédacteur : À chaque fois que vous ajouterez une case à cocher quelque part, celle-ci ne devra pas être pré-cochée !

L’objectif est que l’utilisateur donne à voir un consentement clair, et l’acte de cocher la case compte comme tel.

1.2 Des Conditions Générales d’Utilisation RGPD-friendly

La page de Conditions Générales d’Utilisation de votre site WordPress va devoir également muter face au RGPD. Comme vous le savez déjà sans doute, il s’agit de la page qui indique à vos visiteurs les conditions légales qui vous lient à eux.

Il est recommandé d’y ajouter dès maintenant votre politique de confidentialité toute neuve, avec toutes les directives RGPD que vous y avez incluses.

Si tout cela vous semble un peu capillotracté, souvenez-vous d’une chose : avec le bruit que fait le RGPD dans les médias, de plus en plus de visiteurs connaissent aujourd’hui leurs droits.

Mettre en place ces éléments sur votre site WordPress, c’est avant tout vous éviter des soucis avec eux (signalements à la CNIL et autres menaces…), et installer une aura de confiance.

RGPD WordPress

2. Revoir tous les formulaires de son site WordPress

Les éléments qui vont sans doute être le plus impactés par le RGPD sur le web sont les formulaires. Il s’agit en effet d’un point de contact-clé entre vous et vos visiteurs, où ils partagent avec vous leurs données à caractère personnel.

Et sur un site, il y en a, des formulaires ! Voyons donc voir comment les optimiser pour être conforme à la législation.

Nombreux sont les sites qui mettent en place des formulaires, notamment pour proposer l’inscription à une newsletter ou le téléchargement de documents. Or, à ce point de contact, vos utilisateurs vous partagent des données personnelles : email, prénom, nom a minima.

Les créateurs de sites WordPress gèrent généralement ces formulaires, dits “d’opt-in”, via des plugins comme OptinMonster couplé à un MailChimp ou encore MailPoet (il en existe beaucoup d’autres).

Nous voici ici dans le cas de figure où la mise en conformité de votre site web dépend donc d’une tierce personne, dont nous parlons dans la partie “Faire le point sur ses plugins WordPress”.

Que vous déléguiez cette tâche à un plugin, ou que vous ayez construit vos formulaires vous-même, il vous faut en tous cas vérifier que vous pouvez :

  • Rajouter une case à cocher indiquant que l’utilisateur consent à partager ses données (“J’autorise l’entreprise X à enregistrer mes données”)
  • Spécifier la raison de la récolte des données (“Entrez votre adresse email pour recevoir notre newsletter”)
  • Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment

Voici un bien / pas bien de la future apparence de vos formulaires (si vous avez une newsletter qui peut proposer des offres commerciales) :

Merci à Codeur.com pour ces illustrations

Notez également que vous ne pouvez plus demander à un client de vous laisser des données qui n’ont aucun rapport avec ce pour quoi ils s’inscrivent.

Si vous leur demandez par exemple de s’inscrire à une newsletter, inutile de leur demander leur sexe ou encore leur âge.

Fini le Big Data, passage imminent au Smart Data !

Pour les formulaires de contact, la problématique semble assez similaire. Que vous ayez choisi d’utiliser Contact Form 7, Gravity Forms, tout autre plugin de formulaires de contact, ou bien que vous ayez créé vos formulaires à la main, vous devez y rajouter une case de consentement à cocher.

Placez-la en-dessous ou à côté du bouton “Envoyer”, pour éviter toute méprise, avec une ligne de texte type “En cochant cette case, j’accepte la Politique de confidentialité de ce site”.

Note du rédacteur : La plupart des plugins de formulaires très populaires planchent depuis un moment sur leur conformité au RGPD. N’hésitez pas à consulter leur documentation pour en apprendre plus sur leurs efforts, et choisir celui qui conviendra le mieux à la législation.

Les formulaires, c’est plié : récolte du consentement assurée. Allez hop, on enchaîne.

3. Mettre en conformité les commentaires de WordPress

Les commentaires sont un autre point de contact entre vous et vos visiteurs, où ils vous laissent potentiellement des données. Sur ce point, deux possibilités s’offrent à vous pour être sûr de récolter le consentement de ceux qui souhaitent s’y exprimer.

3.1 N’autoriser la publication de commentaires que lorsque l’utilisateur est connecté à son compte

Dans ce cas, direction les Réglages de WordPress, onglet “Discussions”, où vous cochez alors la case “Un utilisateur doit être enregistré et connecté pour publier des commentaires”.

RGPD gestion des commentaires WordPress

Si la personne est enregistrée, elle a forcément accepté votre politique de confidentialité lors de la création de son compte. Donc inutile de lui redemander.

Note du rédacteur (5 mai 2018) : Dans la version 4.9.6 de WordPress, vous verrez apparaître une case supplémentaire à cocher dans l’espace de commentaires. Le visiteur souhaitant laisser son message pourra la cocher s’il donne son consentement à conserver ses données (nom, prénom, adresse email, site web) pour pré-remplir le formulaire de commentaire lors de ses prochaines connexions au site.

3.2 Ajouter un message-type de consentement “J’ai lu et accepte la politique de confidentialité de ce site” dans l’espace des commentaires.

Pour ce deuxième point, youpi ! On vous a trouvé un plugin tout prêt : WP Comment Policy Checkbox, qui rajoutera une case à cocher près du bouton “Envoyer”, et diffusera un message d’erreur si ce n’est pas fait.

Le plugin n’est pas traduit en Français, mais est assez simple à prendre en main (si vous utilisez Loco Translate, vous pourrez le traduire en un rien de temps).

3.3 Et les plugins de gestion des commentaires alors ?

Vous voilà de nouveau devant la même problématique qu’avant : votre plugin est-il conforme au RGPD ?

Certains des plus performants, comme Jetpack ou Disqus, dont nous vous parlions dans un article il y a déjà longtemps, planchent activement sur le sujet, et s’assurent que tout soit en règle pour le 25 mai. La version 6.0 de Jetpack est d’ailleurs dès à présent disponible, prête à affronter la législation !

Mais justement, comment savoir si un plugin WordPress est conforme aux nouvelles obligations du RGPD ?

4. Faire un point sur ses extensions WordPress

Pour savoir si vos extensions restent dans les clous du RGPD, il va vous falloir mener votre petite enquête personnelle.

Plugins WordPress conformes au RGPD

Oui, ça va prendre un peu de temps…

Commencez par lister toutes vos extensions qui pourraient avoir un rapport avec :

  • La récolte du consentement et des données de vos utilisateurs : plugins de formulaires, de commentaires, de retargeting…
  • L’utilisation de vos données utilisateurs : plugins de personnalisation de contenus, de suivi du comportement des visiteurs, de newsletters, de marketing automatisé, …

Ensuite, cherchez sur les sites officiels de ces plugins ou dans leur documentation ce que font leurs développeurs pour s’aligner avec le RGPD.

Pour la plupart, étant donné que leur site sera en anglais, recherchez GDPR directement sur leur site ou faites une recherche Google de ce type : site:woocommerce.com GDPR

Bon nombre d’entre elles, parmi les plus utilisées, ont déjà lancé des mises à jour pour être réglo. Il vous faudra donc mettre celles-ci à jour dès que possible.

Dans le cas où une extension n’est pas encore apte à respecter le RGPD, il est conseillé de trouver rapidement une alternative pour la remplacer. Pas aisé, on vous le concède… mais absolument nécessaire.

D’ailleurs, faites-nous part des résultats de vos recherches dans la section commentaires afin d’en faire profiter les autres lecteurs (cela leur évitera de faire les mêmes recherches que vous).

Note du rédacteur : Toutes les API que vous avez autorisées (Facebook, Twitter, ou Mailchimp, pour ne prendre que ces exemples célèbres) sont également concernées. Mais évitez de trop vous casser la tête : tant que vous savez quelles API votre site utilise, quelles données elles traitent, et que vous consignez tout ça dans votre registre (voir la partie dédiée à ce point) : pas besoin de les éliminer de votre site WordPress.

5. Mettre en place un processus de sécurité des données ultra béton

Il est plus que jamais de la responsabilité de celui qui détient des données de les bichonner, notamment en les protégeant contre toute faille de sécurité, mais aussi en permettant aux individus d’avoir un droit de regard dessus.

5.1 Créer un process d’effacement ou de modification des données

Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez plus le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser, juste “au cas où”

Google Analytics vient d’ailleurs d’intégrer cela à sa solution, mais rassurez-vous l’historique des visites sera conservé.

Les données marketing, par exemple, peuvent être conservées 3 ans maximum après le dernier contact avec l’individu.

Mais le RGPD prévoit aussi que vous devez informer tout utilisateur, avant qu’il ne vous partage ses données, qu’il est en droit de retirer à tout moment son consentement. Et par-dessus le marché, la législation spécifie que cela doit se faire aisément pour l’utilisateur !

Il va donc vous falloir mettre en place une procédure simple qui permette à vos utilisateurs de :

  • Retirer leur consentement
  • Accéder à leurs données
  • Les modifier
  • Demander à les effacer
  • Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)

Il est ainsi conseillé de créer une page spécifique dédiée à cette procédure sur votre site, contenant un formulaire de demande précis.

Incluez cette page non seulement à votre pied de page, mais à tous les points de contact où vos utilisateurs sont susceptibles de vouloir retirer leur consentement.

Pensez donc à faire de même sur vos newsletters, mais aussi dans vos bandeaux de signalement de cookies, ou encore à vos bannières publicitaires si vous en avez…

Mon conseil : refaites vous-même le parcours utilisateur de votre visiteur, pour détecter tous les moments où il pourrait avoir envie d’exercer son droit de retrait ou d’effacement. Un véritable travail d’orfèvre, qui vous permettra de mettre en place un processus vraiment clair.

RGPD protection des données

Pensez aussi à créer une boîte email spécifique, type protectiondedonnees@votresite.com, qui vous permettra de recevoir toutes les demandes d’exercice du droit des personnes.

Puis, à réception de chaque demande :

  • De retrait de consentement, il vous faudra supprimer ou modifier les données personnelles de l’internaute au plus vite et sur l’ensemble de vos lieux de stockage (y compris dans les fichiers de sauvegarde de votre site WordPress).
  • De portabilité des données, vous devrez exporter toutes les données que vous possédez dans un format lisible par une machine, afin que la personne puisse transmettre ses données à une autre entité sans avoir à les ressaisir. Le format n’étant pas défini, ni la structure, tout est à ce jour possible… (cela dit il y a de grandes chances pour le format CSV soit celui qui soit privilégié).

Bye bye data !

Note du rédacteur (5 mai 2018) : La version 4.9.6 de WordPress vous permettra de récupérer les fichiers contenant les données d’un utilisateur en particulier. Y apparaîtra un nouvel onglet dans le menu « Outils », nommé « Suppression des données personnelles ». Vous pourrez y rechercher un utilisateur via son adresse email, puis télécharger un fichier .zip contenant toutes ses données, ou bien tout simplement supprimer toutes ses données.

Sur WooCommerce 3.4.0 (déjà disponible en version beta.1 à l’heure où nous écrivons), vous pourrez en faire de même. Le plugin vous permettra également d’effacer ou d’anonymiser toutes les anciennes commandes, contenant des données dont vous n’avez plus besoin.

5.2 Se préparer à une éventuelle faille de sécurité

Il vous faudra également vous assurer que vous garantissez efficacement la sécurité des données à caractère personnel de vos internautes.

Voici quelques éléments qu’il vous faudra donc prendre en compte :

  • Il est nécessaire de mettre en place des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la data, pseudonymisation, cryptage… Vos process internes doivent être clairs à ce sujet.
  • Il vous faudra informer la CNIL dans les 72 heures en cas de faille de sécurité. Dans certains cas, il vous faudra même informer l’utilisateur concerné, notamment si la faille est susceptible d’engendrer un risque élevé pour ses droits et libertés.

Bonne nouvelle ! Si vous suivez déjà les points Sécu d’Alex et Julio, vous devriez déjà être prêts à affronter ces problématiques de sécurité 🙂

6. Instaurer un registre interne de traitement des données

Avant le RGPD, toute entreprise traitant des données utilisateurs à caractère personnel devait le signaler par le biais d’un système de déclaration ou d’autorisation.

Dès le 25 mai, cette procédure ne sera plus nécessaire, et sera remplacée par une autre obligation : celle de tenir un registre de traitement des données.

L’idée ? Mettre en place, en interne, une documentation complète qui atteste que vous êtes en conformité avec le RGPD. Une cartographie des données pour montrer patte blanche, en somme.

Pour créer ce document, vous pouvez, si vous agissez en qualité de responsable de traitement, vous inspirer du modèle de registre que la CNIL a diffusé sur son site web. Votre registre devra répondre à trois questions-phares au sujet de votre traitement des données :

  • QUI ? Listez les personnes en interne amenées à traiter des données et le cas échéant, vos sous-traitants en vous assurant qu’ils sont également dans une démarche de mise en conformité au RGPD et en prévoyant de réviser vos contrats ;
  • QUOI ? Cartographier les traitements de données personnelles réalisées par votre structure (type de données collectées, finalités des traitements, preuve des consentements recueillis, informations portées à la connaissance des personnes concernées, etc.) ;
  • COMMENT ? Vérifier comment ces données sont traitées (transfert à l’étranger ou non, hébergement ou non, archivage ou suppression de données, etc.) et quelles mesures de sécurité sont mises en place en interne ;

Ce registre doit être perpétuellement tenu à jour.

Eh oui, ce n’est pas une mince affaire, pour ceux qui manient quotidiennement de la data ! Mais ce sera le rôle de votre Délégué à la Protection des données, de son doux petit nom anglais DPO.

Véritable chef d’orchestre des données personnelles, le DPD aura vocation à remplacer l’actuel Correspondant Informatique et Libertés (CIL), et aura pour mission, notamment de contrôler le respect du RGPD par l’entité et de coopérer avec la CNIL.

Il peut s’agir d’une personne en interne (poste technique, juridique…) ou en externe (avocats, consultants…). Les petites structures peuvent se partager un DPO entre elles.

Les avocats que nous avons interrogé nous ont toutefois mis en garde à propos des conflits d’intérêt en interne. Si vous nommez par exemple le responsable marketing de votre agence, il y a fort à parier que son avis sera biaisé sur l’utilisation des données pour ses newsletters…

Nommez donc un fanatique de data, qui se penchera précisément sur le droit et vos pratiques en matière de données personnelles, et qui tiendra à jour votre registre.

Note du rédacteur : Chers lecteurs, si vous vous n’exploitez pas des données personnelles à grande échelle, félicitations : vous êtes dispensés de cette étape. Créateurs de petits sites e-commerce, de blogs à trafic moyen, ou de sites-vitrines récoltant 50 contacts par mois : pas besoin de vous en préoccuper.

Mise en conformité RGPD

Pfiou, y’a du boulot, hein ? Si vous avez un site e-commerce, restez dans le coin : on vous rajoute quelques éléments à ne pas négliger. Sinon, vous pouvez directement passer à la partie sur les leviers marketing à éradiquer de vos pratiques.

Comment rendre une boutique WooCommerce conforme au RGPD ?

Le RGPD pour WooCommerce

Parce qu’un site-vitrine ou un blog et un site e-commerce ne brassent pas le même types de données, il était essentiel pour nous de vous faire un point spécial sur ce qu’il advient des sites qui utilisent WooCommerce.

Vous découvrirez ici quelques spécificités à ne pas négliger dans votre mise en conformité. Bien sûr, cela ne vous dispense pas de mettre en place tout ce dont vous venons de parler (une boutique en ligne sous WooCommerce reste un site WordPress).

Note du rédacteur : Les équipes de WooCommerce préparent de nouvelles fonctionnalités pour permettre d’exporter les données utilisateurs en cas de demande. L’ami Rémy Corson (qui y travaille) nous a partagé quelques captures d’écran dans son commentaire.

1. Des Conditions Générales de Vente adaptées

Les Conditions Générales de Vente s’apparentent à des Conditions Générales d’Utilisation, à cela près qu’elles supposent un rapport marchand entre l’utilisateur et le site web. Il est absolument obligatoire de les apposer sur une page dédiée, dans le pied de page de votre site WordPress.

Si vous n’avez pas encore cette page, il est grand temps de la créer ! (Sérieusement, vous vendez sans CGV ?!)

Rendez-vous ensuite dans L’onglet “Réglages” de votre plugin WooCommerce, puis dans “Commande”. Dans la partie “Page commande”, vous trouverez un champ “Conditions générales de vente”.

Optimiser la page commande de WooCommerce pour le RGPD

Comme l’indique bien WooCommerce, une fois cette page sélectionnée, une case supplémentaire apparaîtra lorsqu’un utilisateur atterrira sur votre page de commande. Il devra alors cocher cette case pour attester qu’il a bien lu ces Conditions Générales de Vente, et accepte de les suivre.

2. Une page de commande où apparaît votre Politique de Confidentialité

Dans le cas d’un site e-commerce, votre Politique de Confidentialité devra apparaître clairement dans les formulaires de commande. WooCommerce ne permet pas, pour l’heure, d’automatiser cette fonction.

Voici donc comment procéder : il vous encore une fois rajouter la fameuse case à cocher “J’ai lu et j’accepte la politique de confidentialité de ce site”.

Note du rédacteur (28 mai 2018) : Dans la version originale de cet article, la Marmite vous proposait d’intégrer un snippet à votre site pour faire cela. mais bonne nouvelle ! La version 3.4 de WooCommerce ajoute automatiquement les cases à cocher nécessaires pour être dans les clous du RGPD, avec la possibilité de personnaliser le texte à y apposer.

Oui mais comment faire sur WooCommerce ? Le snippet de code suivant, inséré dans le fichier functions.php de votre thème enfant, fera l’affaire :

/* Page de commande RGPD */

add_action( 'woocommerce_review_order_before_submit', 'wpm_woocommerce_rgpd', 10 );
  
function wpm_woocommerce_rgpd() { ?>
 
<p class="form-row terms">
<input type="checkbox" class="input-checkbox" name="rgpd" id="rgpd">
<label for="rgpd" class="checkbox">J’ai lu et j'accepte la <a href="#">politique de confidentialité du site</a></label>
</p>
 
<?php
 
}
 
// Erreur affichée si l’utilisateur ne coche pas la case
  
add_action( 'woocommerce_checkout_process', 'wpm_woocommerce_rgpd_erreur' );
 
function wpm_woocommerce_rgpd_erreur() {
    if ( ! (int) isset( $_POST['rgpd'] ) ) {
        wc_add_notice( __( '<strong>Vous devez accepter la <a href="#">politique de confidentialité du site</a></strong>' ), 'error' );
    }
}

N’oubliez pas de remplacer # par le lien vers votre page de Politique de Confidentialité et tout sera bon.

3. Des formulaires WooCommerce d’inscription nickel

Si WooCommerce permet à un client de ne s’inscrire qu’à la page de commande d’un produit, il est également possible d’activer l’inscription depuis la page “Mon compte”.

Mettre en conformité ses formulaires WooCommerce pour le RGPD

Les manipulations suivantes s’appliquent donc si vous avez coché la case suivante dans l’onglet “Comptes” des réglages du plugin :

Il vous faudra, dès cette page d’inscription, ajouter un texte qui stipule que toute personne qui s’inscrit a pris connaissance et accepte votre politique de confidentialité.

Là encore, il vous faudra utiliser un snippet, qui vous permettra de rajouter quelques lignes à la page d’inscription “Mon compte”, juste en-dessous du bouton “Inscription ».

add_action( 'woocommerce_register_form_start','wpm_add_rgpd_text_up' );
function wpm_add_rgpd_text_up() {
   echo '<h3 class="wpm-titre">Nouveaux clients</h3><p class="wpm-description">En créant un compte, vous acceptez la <a href="#" target="_blank">Politique de confidentialité</a>.</p>';
}

Comme d’habitude, il faut le placer dans le fichier functions.php de votre thème enfant.

Les doigts dans le nez !

Note du rédacteur (5 mai 2018) : Avec la version 3.4.0-beta.1 de WooCommerce, il est désormais possible d’ajouter ce texte de manière simple, sur les pages de « Mon compte » et les pages de commande.

4. Des avis clients en conformité avec la législation

Sur les sites WooCommerce, rien de tel pour accroître la crédibilité de son produit que les avis clients. Le RGPD vient également changer la donne sur ces éléments, qui demandent eux aussi une récolte préalable du consentement de l’utilisateur pour les publier.

Pour vous assurer que vous êtes en règle de ce point de vue, c’est simple : il vous suffit de n’autoriser leur publication que lorsque le visiteur a acheté le produit (et a donc préalablement accepté votre politique de confidentialité, et donné son consentement).

Rendez-vous dans l’onglet “Produits” de votre plugin WooCommerce, et cochez la case “Permettre les avis uniquement aux acheteurs certifiés”.

Avis clients WooCommerce RGPD

Si les acheteurs sont certifiés, c’est qu’ils ont passé commande et ont accepté votre politique de confidentialité. CQFD.

RGPD guide complet WordPress

5. Le souci avec votre plugin d’abandon de panier

Si vous avez un site WooCommerce, il y a fort à parier que vous utilisez un plugin WooCommerce d’abandon de panier, pour rattraper les petits étourdis qui n’auraient pas finalisé leur commande.

Le problème, vous le voyez sans doute venir de loin, maintenant que vous êtes des experts du RGPD : eh oui, encore la récolte du consentement !

Car, lorsqu’un utilisateur abandonne son panier, des plugins comme YITH Recover Abandoned Cart, Jilt ou AutomateWoo collectent quand même des données, et ce sans qu’il ait eu le temps de cocher la case sur les Conditions Générales de Vente. Aïe. Totalement anti-RGPD.

La solution, qui contourne un peu le problème mais le résout temporairement : rajouter un petit texte invitant l’utilisateur à consulter votre Politique de Confidentialité, juste en-dessous du champ où il doit laisser son adresse email.

Pour ce faire, vous reprendrez bien un petit snippet de code, adapté à partir de la documentation (en Anglais) de WooCommerce ?

/* Notification RGPD Abandon de panier */
add_filter( 'woocommerce_checkout_fields' , 'wpm_override_checkout_fields' );

function wpm_override_checkout_fields( $fields ) {
     $fields['order']['billing_email']['label'] = 'Pour en savoir plus sur la manière dont nous traitons vos données à caractère personnel, consultez notre Politique de Confidentialité.';
     return $fields;
}

L’idéal serait tout de même de trouver un plugin d’abandon de panier qui soit totalement conforme au RGPD… Affaire à suivre.

Je vous entends d’ici soupirer : “C’est pas bientôt fini, ces histoires de consentement et de données” !?

Si, si, rassurez-vous : reste à vérifier que vous ne fassiez pas de faux-pas marketing vis-à-vis du RGPD.

Quelles pratiques marketing sont interdites par le RGPD ?

Le Marketing et le RGPD

Dans votre quotidien pour trouver ou convertir des clients, vous maniez de la data, en veux-tu, en voilà.

Vous prospectez pour trouver de nouveaux clients, vous envoyez des emails pour fidéliser ceux qui vous suivent, vous faites du retargeting pour récupérer les visiteurs que vous n’avez pas convertis en contacts…

Bref, vous jonglez avec des données à caractère personnel.

Mais bon nombre de ces pratiques vont désormais passer du côté obscur de la force… tout du moins si vous n’en informez pas au préalable vos utilisateurs, dans votre Politique de Confidentialité.

Voici donc une rapide checklist des leviers marketing pour lesquels vous devez récolter le consentement de vos utilisateurs :

  • L’envoi d’emails (newsletters marketing ou emails de prospection : même combat)
  • Le profilage (soit le suivi des comportements de vos utilisateurs sur votre site web, comme leur historique d’achat ou le temps qu’ils passent sur une page)
  • Le retargeting (soit le fait de re-présenter une publicité à un prospect qui a laissé des cookies sur votre site)

Bon, question profilage et retargeting, la marketeuse que je suis se gratte la tête devant cette obligation de récolte de consentement…

Pour l’heure, l’objectif premier est de montrer sa bonne volonté à la CNIL face au RGPD, malgré le flou artistique qui règne encore autour de ces pratiques. La législation e-Privacy, qui va venir augmenter les directives RGPD à l’horizon 2020, nous en dira sans doute plus, notamment sur l’utilisation des cookies…

Mais sinon, qu’en est-il de vos fidèles visiteurs, qui ont déjà accepté de recevoir vos newsletters ou de s’inscrire à votre forum ? C’est encore une autre paire de manches…

Il est recommandé de leur ré-expliquer leurs droits d’opposition ou de suppression, afin d’être totalement transparent dans votre communication. Contrairement à la façon dont a été interprétée la loi par de nombreuses entreprises, qui ont choisi d’envoyer un email « d’opt-in » dont nos boîtes mails ont été innondées avant le 25 mai, le RGPD ne demande pas de récolter de nouveau le consentement d’utilisateurs déjà présents dans votre base de données… si le fait de leur envoyer des emails de prospection repose sur un « intérêt légitime » de votre part. Pour un peu mieux comprendre le sujet, je vous invite à lire cette tribune, rédigée par Benoît de Nayer, qui pourra éclairer vos lanternes sur ce point emailing/RGPD.

Mon conseil : préparez à vos utilisateurs un bel email, très transparent et surtout bien réfléchi, que vous leur enverrez pour leur expliquer pourquoi vous communiquez avec eux,  ainsi que leurs droits. Finalement, c’est une bonne manière de reconnecter avec votre audience, et de faire preuve de toute la bonne foi qui vous anime face au RGPD.

Interdictions marketing RGPD sur WordPress

Mais non, séchez vos larmes, chers lecteurs. De mon point de vue de webmarketeuse, le RGPD est une belle occasion de repenser sa stratégie marketing, pour laisser plus de liberté aux clients dans les choix qu’ils peuvent faire.

Finis les push mails débilitants, les bannières publicitaires qui ne convertissent pas, et les propositions de produits annexes peu pertinentes. Place à la toute-puissance du SEO et du bon contenu bien ficelé !

Bon, je sens que je vais avoir du mal à vous consoler en quelques lignes seulement. Je vous propose, pour vous changer un peu les idées, de passer à notre partie bonus.

Bonus : La piste de la Marmite pour être en conformité…

Bah oui, c’est vrai ça, on vous donne des conseils, mais que fait-on donc, de notre côté ?

Nous allons être francs. Les outils que nous utilisons aujourd’hui sur le site ne nous permettent pas de respecter intégralement toutes les directives, malgré le fait que nous soyons aussi concernés par la législation.

Par exemple, le plugin OptinMonster qui gère les popups qui vous proposent de vous inscrire à la newsletter ne sont pas encore compatibles. Mais cela devrait être bon pour le 25 mai.

Rassurez-vous, on se creuse la tête pour nous mettre en conformité ! (la rédaction de cet article nous a déjà bien fait cogiter…).

RGPD mise en conformité de la Marmite

La piste la plus intéressante et la plus simple que nous ayons à ce jour trouvée est le plugin GDPR Framework. S’il n’est pas encore traduit en Français, il permet cependant de :

  • Créer automatiquement une page dédiée à l’effacement des données des utilisateurs ;
  • Permettre aux utilisateurs d’exporter automatiquement leurs données, sur simple demande ;
  • Anonymiser ou supprimer automatiquement ces données, à la demande de l’utilisateur concerné ;
  • Ajouter automatiquement des cases à cocher aux formulaires d’opt-in (le plugin n’est pour l’instant compatible qu’avec Contact Form 7, mais les développeurs planchent sur une adaptation à Gravity Forms et Ninja Forms) ;
  • Ajouter automatiquement au footer de son site les pages de politique de confidentialité et de conditions générales d’utilisation.

Après, comprenez bien qu’installer un plugin ne vous mettra pas automatiquement en règle. C’est comme pour Yoast SEO, ce n’est pas parce que vous l’installez que vous serez bien référencé…

Que doit-on penser du RGPD ?

Si le RGPD semble être une nouvelle législation contraignante, j’avais envie de finir cet article sur une tonalité un peu critique, et surtout positive. Restez branchés, vous allez voir qu’il y a du bon dans toute cette pagaille législative !

Les points de vigilance

  • Il va vous falloir rapidement vous mettre en conformité si ce n’est déjà fait. Réviser votre processus d’opt-in sur vos formulaires, créer votre registre, revoir vos éventuels contrats avec vos clients ou sous-traitants… Y’a du boulot !
  • Notons également le côté encore assez peu clair de la législation. Dans le texte du RGPD, il y a de nombreux renvois aux lois nationales de chacun des pays… En France, la loi informatique et libertés est en cours de modification pour y intégrer les dispositions sur le RGPD – le projet de loi est devant le Sénat actuellement). N’oubliez donc pas, si vous traitez les données d’utilisateurs résidant dans d’autres pays de l’UE, de vous renseigner sur l’application de la législation là-bas. Vous pouvez notamment trouver des informations à ce sujet sur le site de CNIL.

Les points positifs

  • Les entreprises, ainsi que les agences et développeurs WordPress, qui adapteront leurs pratiques au RGPD bénéficieront d’une véritable image d’expert, et d’une crédibilité accrue. En mettant en place des Conditions Générales d’Utilisation claires, et en montrant vos efforts à même votre site web, vous créez une véritable relation de confiance avec vos utilisateurs.
  • Le RGPD est également l’occasion de vous pencher un peu plus sur l’expérience que vous proposez à vos utilisateurs sur votre site web, ainsi que sur la sécurité de votre site et des données qu’il récolte.
  • Au-delà de toute considération d’ordre professionnel, on peut être heureux qu’une législation nous permette de reprendre enfin la main sur les données personnelles que nous égrainons sur Internet (nous sommes tous des internautes après tout).

En tous cas, la Marmite se demande bien à quoi va ressembler le web le 25 mai… Va-t-on avoir des formulaires plein de cases à cocher, des bandeaux cookies de 5 mètres de long, des plaintes à la CNIL multipliées par cent ?

On vous avoue qu’on a souri quand on a vu la nouvelle dégaine « RGPD friendly » des formulaires d’inscription aux newsletters MailChimp

Visez-moi un peu ce que ça donne, lorsque l’on applique toutes les directives de la nouvelle législation :

L'implémentation du RGPD par Mailchimp

Quand un formulaire d’optin se transforme en infographie…

Dites-nous donc en commentaire ce que vous inspire cette nouvelle législation, et si vous êtes fin prêts à la mettre en place sur vos sites !

Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20 000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

212 commentaires Ajoutez le vôtre

  1. Bonjour, j’ai vraiment apprécié cet article. Il est très complet je vais pouvoir mettre des actions en place de façon très concrête.

    Avez-vous un lien vers une page « officielle » qui indique que je n’ai pas besoin de tenir un registre si j’ai moins de contacts par mois SVP ? J’ai regardé un peu sur le site de la CNIL mais je n’ai rien vu qui m’a sauté aux yeux.

    Merci les Cuistots !!
    Nathalie

    Répondre
  2. Super article, très complet sur un sujet un peu (beaucoup ?) rébarbatif !
    Les actions à mettre en place sont claires…On va s’y pencher dès maintenant

    Si avec cet article, vous ne rankez pas, je ne sais pas ce qu’il faut faire 😉

    Répondre
  3. Hey, je fais un truc interdit, j’écris un commentaire avant de lire l’article. Juste pour vous dire merci ! Car j’avais bien dans mon radar qu’il faudrait que je m’y pense. J’ai bien lu le mail de Google qui me mettait en garde. Mais cela me semblait bien trop compliqué pour m’y mettre vraiment, alors je faisais l’autruche. Et grace à vous, bin je vais me mettre en conformité et ça c’est top !
    Grace à vous, cette semaine, j’ai aussi passé tout mon site en HTTPS !! Et j’ai enfin le joli cadenas vert qui y est associé.
    En fait, dés que j’ai des questions techniques, c’est simple, je suis sur WP Marmite !
    Belle journée depuis la Martinique.

    Répondre
    • Moi je préfère les gîtes à Breil-sur-Roya que le bateau en Martinique.
      PS : tu as le bonjour de Zelda !

  4. merci beaucoup de nous avoir fait cet article, on a du boulot sur la planche !!!

    Répondre
  5. Ça y est, j’ai mal à la tête !

    Merci beaucoup pour cette synthèse qui sera bien utile. Le RGPD représente une véritable avancée dans la maîtrise de ses données par l’utilisateur, mais (comme souvent) les solutions imposées sont tout droit sorties d’un cerveau bien technocratique et bien déconnecté du terrain. On s’adaptera du mieux qu’on pourra 😉

    Par ailleurs, je reste assez serein. Je suis certain que les acteurs principaux qui développent l’écosystème WordPress nous proposeront bientôt des solutions simples de mise en conformité. On verra fleurir les cases à cocher et les liens comme des options systématiques dans les formulaires, les thèmes et peut-être même dans WordPress lui-même, car même aux USA, le débat est lancé.

    Sympa, le formulaire MailChimp. Voilà qui a égayé ma journée 😀

    Répondre
  6. Hey, petite précision concernant WooCommerce qui incluera dans sa prochaine version, c’est à dire avant la date d’entrée officielle d’entrée en vigueur, un toolset permettant de traiter les données personnelles comme vous pouvez le voir sur les screenshots suivants:

    http://cld.wthms.co/sgXp1F
    http://cld.wthms.co/txk4MH
    http://cld.wthms.co/AyLDIn

    L’export contiendra la totalité des données des commandes et d’autres informations stockées durant le processus d’achat.

    Toutes les infos sont la: https://github.com/woocommerce/woocommerce/blob/5c8adcd0d8f771dc655dd57b69bd6b445e67f129/includes/class-wc-privacy.php#L19

    Répondre
    • Merci pour ces précisions Rémy 🙂

      Je vais mettre un lien vers ce commentaire dans l’article.
      A bientôt !

  7. Cette loi n’affecte donc pas le Canada et les États-Unis?

    Répondre
  8. Génial ! Merci pour cet artice ultra complet et précis. Je m’arrachais les cheveux depuis un moment pour joindre tous les bouts de cette procédure.
    Une question : dans le cas où je ne suis plus en contrat avec des clients pour lesquels je leur ai fait un site mais qui se débrouillent eux-mêmes depuis plusieurs années… qui est responsable si le site n’est pas mis à jour ?
    Merci d’avance!

    Répondre
    • Bonsoir, si tu n’est plus responsable de la maintenance du site tu n’as pas à être responsable de leur conformité future.

    • Bonsoir Julien, Julien de l’équipe WP Marmite a bien répondu à la question. Mais attention, il existe une obligation d’information. Exemple, si le contrat de maintenance a été rompu au 30/11/2016, pendant 3 ans donc jusqu’au 30/11/2019, nous avons obligation d’informer le client sur ce qu’il doit faire par rapport à cette nouvelle Loi. C’est toujours bon à savoir au cas où ! Par contre, je ne sais plus où j’ai eu l’info ayant lu d’innombrables articles.

    • Bonjour Régina. D’ou vient cette notion de 3 ans? Pourquoi devrais-tu garder un client informé pendant une periode aussi longue sans contrat?

    • Bonjour Julien (de WP Marmite), Lorsqu’en tant que Webmaster, nous livrons un site « aux normes », c’est-à-dire relevant de la Loi existante au moment où nous le mettons en ligne. Exemple : Site mis en ligne en 2014. Le client rompt le contrat de maintenance en 2016. La Loi change en 2018 ce qui signifie que le site que nous avons livré n’est plus conforme. Le client (s’il n’est pas cool) peut invoquer la responsabilité du fait d’un produit non conforme ou défectueux (articles 1245 à 1245-17 du code civil) et le délai de prescription est de 3 ans. Ayant eu des clientes fort désagréables, je fais donc très attention. J’envoie un simple mail d’information à mes anciens clients en leur conseillant de se mettre aux normes RGPD. (Copie du mail dans mon dossier à l’attention de mon Avocat, au cas où) Comme cela, ils ne peuvent pas dire qu’ils n’étaient pas informés et j’ai l’esprit tranquille !

  9. Bonjour Eléonor (et Alex). Merci pour ce remarquable travail – pour en profiter d’autant plus : je sais que les internautes d’aujourd’hui n’ont plus peur de « scroller », mais là, pour un usage pratique, des allers et retours pour bien comprendre (même si c’est très clair), pouvoir prendre des notes (d’accord il y a Evernote, mais…) – une version imprimable, c’est possible ? Si l’option existe, je l’ai ratée et je m’en excuse par avance.
    Et je n’ai toujours pas trouver comment glisser le capybara dans une conversation 😉
    Cordialement,
    Christine

    Répondre
    • Bonsoir, on va probablement le mettre en PDF en téléchargement pour ceux qui veulent prendre le temps de le lire. Tu pourras l’imprimer comme ça.

    • Bonjour.
      En attendant une version PDF, tu peut utiliser une extension navigateur très pratique qui s’appelle PDF Print Friendly qui peut transformer une page web dans un document PDF.
      Je te laisse découvrir ses fonctionnalités très pratiques.

    • Merci VJ. Très appréciable cette extension dont j’ignorais tout, et qui prévoit des fonctionnalités bien pratiques et très simple à utiliser. Voilà un document rondement imprimé… et un bouton de plus sur la barre de mon navigateur 😉
      Belle journée, Christine

  10. Super taf une fois de plus, on y voit plus clair 🙂 yapluka !!!

    Répondre
  11. Bonjour

    J’ai lu cette page avec beaucoup d’intérêt. Je m’étonne d’ailleurs que la CNIL n’ait pas envoyé d’office un message concernant cette mise en conformité à tous les sites inscrits. Ils ne savent peut-être pas bien traiter les données, faudrait-il s’en inquiéter ?

    Plus sérieusement, une clause à cocher pour mineurs serait-elle nécessaire dans certains cas ? Dans le style « Si vous n’étiez pas majeur, vous certifiez que vous avez l’accord parental pour nous fournir les informations vous concernant. »

    Plus anecdotique, votre exemple CONFORME n’est PAS CONFORME à la grammaire. Il faudrait remplacer Vous affirmé… par Vous affirmez… D’autre part, n’oubliez pas de mettre ce formulaire de commentaire en conformité. Il, vous reste 37 jours calendaires ! C’est le site de l’UE qui me le dit : http://ec.europa.eu/justice/smedataprotect/index_fr.htm

    Robert.

    Répondre
  12. Bonjour et merci pour tout ce travail,

    Je m’occupe bénévolement d’une plateforme pour les commerçants d’une très petite commune en Belgique (j’espère un jour avoir un business modèle pour au moins rentrer dans mes frais 😉 )
    Ma question est, puis-je copier votre texte qui est très intéressant en y mettant la source? ou alors juste une partie et mettre « lire la suite » en renvoyant sur votre site?
    Quel est la meilleure façon pour ne pas vous « voler » vos informations?

    Merci

    Répondre
    • Bonjour, hum tu ne peux pas copier le texte car d’une part ce serait « illégal » et d’autre pas tu exposerais ton propre site à du contenu dupliqué qui serait pénalisé par Google. En revanche tu peux faire un article sur le RGPD qui renverrait vers celui-ci pour avoir des infos complémentaires 😉

    • Merci Julien,
      EN fait, j’en avait déjà fait un suite à une formation sur le RGPD. je pense que je vais faire ça, le mettre à jour et faire un lien vers cet article pour de plus amples informations.
      Encore merci 😉

  13. Très bonne synthèse de ce qui doit être fait pour être conforme. 😁

    Répondre
  14. Merci pour cet article tant attendu car j’ai la tête comme une citrouille depuis un ou deux mois à lire et relire des textes incompréhensibles de la cnil et autres organismes européens.
    J’attends avec impatience de lire votre nouvelle charte de confidentialité pour que je la copie et l’adapte à mon site 🙂
    Encore un article au top et qui va servir beaucoup de monde..

    Répondre
  15. Merci pour cet article bien ficelé et très clair 🙂
    Il y a du boulot

    Répondre
  16. Bonjour Alex
    Merci bcp pour ce super article que je vais surement devoir relire plusieurs fois pour bien tout comprendre et surtout ne rien oublié du rgpd (c’est dingue même les initiales RGPD du nom de cette loi sont moche)
    Mais j’ai une question par rapport au différents code que tu nous donne pour rajouter certaines fonctions a woocommerce. Pense tu que woocommerce vas faire une mise a jour avant ou pile le 25 mai, pour intégrer en natif ces options et nous permettre de nous mettre plus rapidement et facilement en conformité avec le rgpd, grâce au réglage direct de woocommerce? Merci d’avance pour la réponse et encore merci pour tout ces super articles

    Répondre
    • Bonjour, on espère bien sur qu’ils vont intégrer ces fonctions en natif pour se mettre en conformité facilement. La question c’est quand vont-ils le faire? Comme on ne sait pas on vous fournit ces bouts de code au cas ou 😉

  17. Merci pour cet article qui apporte beaucoup de réponses à mes questions sur ce sujet.
    J’y reviendrais car il mérite plusieurs lectures pour bien intégrer les informations…et se mettre en conformité.

    Répondre
  18. Merci pour l’article qui sera bien utile pour l’annoncer à tout mes clients !

    Note amusée : Ce qui veut dire que le formulaire d’inscription à la newsletter de la CNIL en bas de page du site n’est donc pas conforme, puisqu’il ne comprend pas la case à cocher de demande d’autorisation à recevoir la newsletter ?

    Sceptique comme je fosse je suis 😀 Quel bordel !
    Moi qui fait du webdesign, toutes ces mesures me font grincer des dents. Je peste déjà en tant qu’utilisatrice avec ce bandeau de cookie de crotte depuis mobile. Mobile first on dit, bien oui, avec sa petite croix souvent inaccessible, on rigole bien hein 😀
    Franchement, j’attend le jour où on nous demandera d’installer le gros écran rouge d’entrée de site pour dire « Attention vous êtes sur internet ». huhu !

    Répondre
    • Bonjour, effectivement la CNIL a jusqu’au 25 mai pour se conformer 😉

    • J’allais dire la même chose Priscilla, ils attendent le 25 pour se mettre en conformité avec eux-même ou est-ce une mise à jour de leur cache à réaliser ?

      Trêve de plaisanterie un excellent article, comme toujours et ça valait le coup d’attendre la Marmite avant de sauter dans la RGPD.

      Bon ben y a plus qu’à analyser tous les plugins à la loupe !

    • Pas de croix sur le bandeau cookie, ni de « ok » laconique, mais un bouton « j’accepte » (l’utilisation des cookies) ainsi qu’un bouton « je refuse », et dans ce dernier cas, c’est pas les webdesigner qui vont en chi** mais bien les webmasters…

  19. Merci pour cet article. J’ai une petite remarque concernant le passage suivant:

    « À noter que le RGPD s’applique également aux données internes aux entreprises : celles que vous récoltez sur vos employés, dans des fichiers du personnel, par exemple. »

    Ceci n’est pas le cas pour les entreprises se trouvant en dehors de l’EU. Voir article 3.2 du RGPD. Pour ces entreprises, le RGPD s’applique dans le cas d’offre de biens ou de service ou lorsque c’est lié à du suivi de comportement.

    Répondre
  20. Bonsoir,

    Enfin, un article qui nous explique concrètement de quoi il s’agit à propos du RGPD.
    On sait un peu mieux ce que l’on doit faire pour être en conformité avec le RGPD (même si certains points ont encore besoin d’être éclaircis pour moi).
    Une question quand même :
    Nous avons un site vitrine pour notre entreprise artisanale. Nous avons un seul formulaire de contact qui envoie seulement (mais ne stocke pas) le message dans la boîte mail de l’entreprise.
    Question : les boîtes mails et la gestion des mails sont-elles concernées par le RGPD ? Si oui, un complément d’info à propos des mails serait bienvenu dans cet article.
    En tout cas, très bon article concret sur le RGPD. J’attendais cet article. Bravo à l’équipe de la marmite.
    Un grand merci pour cet article.

    Répondre
    • Bonjour, vu que tu gardes le nom du client, son numéro, son adresse mail,… il faut quand même lui spécifier que tu vas probablement utiliser ses données perso pour le rappeler par exemple.

    • Julien, merci pour de m’avoir répondu.

    • Bonjour,

      Je vais me répéter : il est très bien cet article.
      Toujours pour notre site vitrine, je suis en train de rédiger la page de politique de confidentialité du site. On collecte seulement le nom de la personne, son adresse mail et éventuellement son numéro de téléphone via un formulaire de contact. Ces informations sont envoyées sur une boîte mail mais en aucun cas, aucune donnée personnelle n’est stockée.
      Dois-je quand même préciser qu’il y a des données personnelles collectées sur le site ou bien c’est uniquement quand ces mêmes données sont stockées sur le site ?

      Il y a beaucoup de détails à ne pas négliger dans cette réglementation ! Cela va en dérouter plus d’un.

      Un grand merci pour toutes ces précisions.

      Cordialement,

    • Bonjour, que fais-tu des données alors?

    • Bonjour,

      La personne ayant pris contact par le formulaire du site nous pose en général une question pour obtenir un renseignement d’ordre technique, commercial ou pour demander un rende-vous avec le responsable commercial.
      Donc, les données concernant la personne ayant utilisé le formulaire de contact sont envoyées dans la boîte mail de l’entreprise mais en aucun cas ne sont stockées par le site. Le mail est en général gardé dans la boîte mail, éventuellement si la personne revient fréquemment à nous écrire par mail, son adresse mail pourra être éventuellement enregistrée dans le carnet d’adresses.
      Au bout de quelques années, les mails d’un certain âge sont archivés dans un dossier portant le nom de l’année (par exemple 2014 pour tous les mails datant de 2014).
      Comme renseignements obligatoires dans le formulaire de contact, il y a le nom de la personne, l’adresse mail, l’objet du message et le titre du message. Il n’y a pas de rubrique pour le numéro de téléphone.

      Trier et supprimer les mails qui proviennent du formulaire de contact demanderait un travail de titan, à savoir reconnaître parmi les centaines et milliers de mails ceux qui proviennent du formulaire de contact.

      Merci d’avance.
      Cordialement,

  21. ENcore merci pour cet article, j’ai une question, comment se fait-il que suite à une petite formation suivie sur le RGPD, j’ai contacté notamment mon hébergeur Français (je suis en Belgique) pour lui demander de bien me confirmer qu’il était bien en ordre au niveau du RGPD pour me mettre également à l’abri lors de ma rédaction du protocole.
    Ce dernier était étonné que je lui demande s’il avait bien une politique de protection de traitement de données.
    Il ne comprenait pas ce que je voulais dire, alors que vous (les Français) avez la CNIL ce que nous n’avons pas encore en Belgique, donc, plus avancé au niveau des protections des données.

    Répondre
  22. Bravo pour cet article. Content de ne pas avoir encore fini la mise en ligne de notre site.
    Bravo pour le travail c’est super digest.

    Répondre
  23. Bonjour,

    Merci pour votre article qui démystifie le sujet et pour toutes les actions concrètes proposées.

    Il y a un aspect que je ne retrouve pas expliqué : l’utilisation des adresses IP (considérées elles aussi comme des données privées) par des services externes comme Google Font, l’utilisation d’un CDN ou tout service avec lequel le site transmet l’adresse IP.

    Belle journée !
    Eric

    Répondre
  24. Trés bon article.
    Une petite précision cependant: Pas réellement besoin d’une case à cocher pour récolter adresse mails pour les newsletters.
    Le seul fait pour l’utilisateur/consommateur d’écrire l’adresse permet de prouver son consentement.
    Il faut néanmoins bien préciser pour quel but le site web récolte l’adresse mail et ne pas oublier de lier la politique de confidentialité.
    Si l’adresse mail est utilisé pour plusieurs buts, une case à cocher est alors nécessaire pour chacun de ces buts.

    Répondre
  25. Bravo pour ce post très complet … c’est rare d’avoir autant de détails sur ce sujet ! De notre côté, nous avons développé une solution de consentement qui se positionne en tiers de confiance (comme les avis certifiés) pour faire du RGPD un véritable argument marketing.

    http://www.axeptio.eu/fr/

    Ah ! Au fait, c’est compatible WordPress et WooCommerce … 🙂

    Répondre
  26. Un excellent travail de documentation et de rédaction pour délivrer un contenu clair et accessible pour tous à propos d’un sujet bien complexe, l’objectif est atteind. Bravo Alex et son équipe.

    Répondre
  27. Super article! Clair, net et précis! Merci la Marmite!!

    Répondre
  28. Hello, étant en pleine mise aux normes chez moi, je tiens à partager des petites infos supplémentaire :
    – j’ai trouvé un autre petit module qui rajoute la case à cocher aux formulaires qui est WP GDPR Compliance. (Compatible Contact Form 7, Gravity Forms, WooCommerce, WordPress Comments pour l’instant, c’est déjà ça.)
    – J’ai trouvé également une exemple de présentation de la page de politique de confidentialité « Cristal clear » sur le site de Death of the stock, qui est bien je trouve : https://www.iubenda.com/privacy-policy/583786 qui est généré par iubenda, il y a un compte gratuit, je vais testé ça.

    Je tiens aussi à mentionner des infos de plus sur le RGPD que j’ai eu la semaine dernière au salon de e-marketing (avec un petit livret sous les yeux de Cybercité notamment) :
    – Le RGPD précise sur le point de la durée de vie de la collecte des données qui oblige à créer des segments automatiques sur liste d’opposition pour les contacts inactifs de 36 mois. (Concerne donc les newsletters à ce que je comprend, enfin pas plus mal ça allége les emails inutiles).
    – La durée du cookie (avec son bandeau de message) doit se réafficher au bout de 13 mois pour chaque utilisateur (mais je crois que cela devait déjà être le cas avant).
    – Le cas particulier également du BtoB, une adresse mail professionnelle en contact@masociete.ext n’est pas considéré comme étant une donnée personnelle à la différence de pré-nom@societe.ext.
    L’utilisation de Mailchimp (où l’on transmet donc nos données email en dehors de l’UE) est reconnu comme adéquat au RGPD car ils ont leur certificat de Privacy Shield. On peut donc continuer à utiliser leur service à la condition d’informer vos visiteur en l’indiquant dans les mentions légales du site avec sa politique de confidentialité.

    Voilou pour ma petite contribution 😉

    Merci encore à vous !

    Répondre
    • Merci beaucoup pour cet excellent article très complet. Beau boulot de la brigade de la marmite !
      J’ai deux questions : à combien de temps passé estimez-vous la mise en conformité selon la nouvelle réglementation pour :
      – un site wordpress type intégrant juste un formulaire de contact et les cookies liés à Google analytics et google maps
      – un site wordpress avec une boutique en ligne.
      Et aussi celle-ci : les agences et webmaster indépendants endossent-ils le rôle de DPO pour leurs clients ?
      Merci pour le partage de votre expérience sur ce point.

    • Bonjour, ça dépend des sites mais je dirais quelques heures. Pour ce qui est de la responsabilité, tu dois au moins les avertir.

  29. Superbe article, très intéressant. Je me demande ce qu’il va devenir du plugin Gravatar, qui est un particulier dont le service est hébergé aux USA, certes c’est les utilisateurs qui vont s’inscrire dessus pour mettre un avatar global, mais devra t’on demander l’utilisation du Gravatar vu qu’on ne stocke pas et possède pas les données relatives ?

    Répondre
  30. Ouf, j’a tout lu !!!
    merci d’avoir fait cet article. Ça me donne de sueurs froides… moi qui ne sais même pas créer un thème enfant, ni toucher au fichier functions.php, (savais même pas qu’il existait, enfin presque…).
    Ya d’la rumba dans l’air, pépère…
    Donc, merci encore de vous être échiné autant pour faire un article aussi clair.
    Tom

    Répondre
  31. Merci beaucoup pour cet article. Je crois qu’il manque un lien vers le boulot fait dans WP Core (déjà prévu dans la version 4.9.6 dans 2 semaines): https://make.wordpress.org/core/tag/gdpr-compliance/

    Tout le monde est invité à contribuer en commentant, corrigeant ou testant sur https://core.trac.wordpress.org/query?status=!closed&keywords=~gdpr

    Répondre
  32. Merci pour cet article, j’ai peux être raté quelques chose, mais le lien cliquable nommé « politique de confidentialité du site » doit être une page redirigée vers une page « mention légale » ou vers une page « condition générale d’utilisation » ?

    Répondre
    • Bonjour, en fait il faudra créer une page spéciale pour la confidentialité du site

  33. Merci beaucoup pour cet article très complet. Beau boulot la Team Marmitte 🙂 il est très utile et effectivement on va y revenir à plusieurs reprises.

    Répondre
  34. Un article enfin avec du concret ça change en effet de tout ce qu’on peut trouver sur le web en ce moment.

    La partie qui m’interpelle concerne les sauvegardes. Genre un DropBox backup fait tous les jours. Comment virer des « datas » de Mme Michu ? On n’est pas censé être tous des DBA.
    Et bis de ce point. chez OVH, lorsqu’on active les snapshots de son VPS, on n’a pas vraiment la main sur la granularité de la sauvegarde. Donc s’il faut virer encore Madame Michu, on fait comment ? Bah on ne peut pas sauf à virer tout le snapshot…

    Quid des gestions commerciales et compta associées ? Car les délais de rétention légaux sont supérieurs à ceux du GDPR (en cas de contrôle fiscal)

    (et sinon, je confirme que je donne mon accord pour poster ce commentaire avec mon nom, mon site et mon slip)

    Répondre
    • Bonjour, si tu supprimes une donnée de ton site elle sera supprimé du prochain backup. Après si tu restaures effectivement il faudra la supprimer à nouveau.

    • @Julien : du coup, cela veut dire que techniquement, on conserve des données relatives à une personne dans des backups.
      Et corolaire de ça, cela veut dire aussi qu’il faut conserver dans un coin, une donnée personnelle indiquant qu’en cas de restauration, on doit supprimer des données personnelles…
      2 aspirines SVP ^^

  35. Super, merci pour ce guide qui permet de contextualiser le RGPD avec nos besoins WP 🙂
    Une frustration cependant, j’aurais souhiaté avoir des focus sur les points suivants (à moins que ce ne soit pas pertinent?):
    – le cookie consent – jusque là, personne ne suivait à la lettre les recommendations CNIL selon lesquelles il faudrait permettre à l’utilisateur d’accepter ou refuser chaque cookie. maintenant, il faudrait regarder plus en détail avec qui, via les cvookies, oon partage des données, non?
    – les boutons de partage médias sociaux en particulier posent des cookies qui peuvent être problématiques..?
    – Google Analytics: y a-t-il des restruictions dans son usage pour être compliant?

    Répondre
  36. Et dites, je note que sur la Marmite, il n’y a pas de bannière pour accepter les cookies. Ce n’est pas nécessaire selon vous ?

    Répondre
  37. Tout d’abord, merci pour cet article !

    Pour permettre de valider la politique de confidentialité avant de saisir l’email dans le checkout de WooCommerce et ainsi rendre possible l’envoi de relance panier, on peut potentiellement utiliser ce petit snippet (inspiré de businessbloomer) :

    add_filter( ‘woocommerce_checkout_fields’ , ‘mw_display_checkbox_and_new_checkout_field’ );

    function mw_display_checkbox_and_new_checkout_field( $fields ) {
    //On ajoute une checkbox et un lien vers la politique de confidentialité en haut du formulaire
    $fields[‘billing’][‘checkbox_rgpd’] = array(
    ‘type’ => ‘checkbox’,
    ‘priority’ => 9,
    ‘label’ => __(‘J\’ai lu est j\’accepte la politique de confidentialité*.’, ‘woocommerce’),
    ‘class’ => array(‘form-row-wide’),
    ‘clear’ => true,
    ‘default’ => 0
    );

    return $fields;

    }

    add_action( ‘woocommerce_after_checkout_form’, ‘mw_conditionally_hide_show_new_field’, 6);

    function mw_conditionally_hide_show_new_field() {

    ?>

    // On masque le champs e-mail après chargement
    jQuery(function($){
    var events = ‘update_checkout’,
    billingFields = ‘#billing_email_field’;

    $(‘body’).on( events, function(){
    $(billingFields).hide( 0,function(){
    $(‘form.checkout.woocommerce-checkout’).css(‘visibility’,’visible’).fadeIn();
    });
    });
    });
    //On fait apparaitre le champs e-mail après validation de la politique de confidentialité
    jQuery(‘input#checkbox_rgpd’).change(function(){

    if (!this.checked) {
    jQuery(‘#billing_email_field’).fadeOut();
    //Si le champs est décoché et que l’utilisateur n’est pas inscrit (donc n’a jamais validé la politique de confidentialité) on efface le champs e-mail.

    jQuery(‘#billing_email_field input’).val( »);

    } else {
    jQuery(‘#billing_email_field’).fadeIn();
    }

    });

    <?php
    }

    Il est sûrement améliorable, mais il fait un bout du job.
    Voilà, si cela peut aider…
    Bonne fin de journée !

    Répondre
  38. Oh la vache !! Ooops ! Bon et bien sur le fond je comprends , ce n’est pas si mal ,mais pour des riquiqui comme moi , hou là là …Quel énorme boulot en perspective you you … Non mais et avec le printemps qui vient d’arriver ,ça va oui… Alors un immense MERCI Alex et toute l’équipe pour toutes ces infos en partage et super claires comme toujours !! Hou là là j’espère vraiment qu’on aura des mois pour se mettre en conformité ! 😉 Merci encore ! (Pfiout , quelle nouvelle … °v° )

    Répondre
  39. Merci pour cet article très complet que je vais, sans doute, devoir relire plusieurs fois pour voir ce qui s’applique à mon site (actuellement en construction) qui, en fait, ne sera qu’un site vitrine de mon activité (magicien).
    Juste pour la bonne forme, si l’on regarde l’orthographe, alors au paragraphe deux, j’inverserais volontiers la notation conforme et non conforme… lol
    Merci encore.

    Répondre
  40. Bonjour,

    Merci pour ce super article très clair.
    Juste une petite question :
    quand on rajoute une case à cocher (j’accepte les conditions générales etc…) dans un formulaire d’inscription de newsletter, comment conserve-t-on ce consentement ?

    La ligne user de la base de données fait foi ? :-((
    Quel niveau d’exigence pour le RGPD ?

    Répondre
    • Bonjour, si la case n’est pas coché le formulaire ne devrait pas pouvoir être soumis, donc s’il est validé c’est que l’utilisateur a accepté.

  41. Bonjour,

    Merci pour cet article très clair 😀

    Pour info, l’agence Moove (UK) à développé une extension qui pourrait convenir pour les sites « vitrines » utilisant peu d’extension.
    J’ai testé l’extension avec Google Analytics, elle fonctionne correctement dans les 2 situations acceptation/refus.

    Le lien vers l’extension :
    https://wordpress.org/plugins/gdpr-cookie-compliance/

    Pour un aperçu sur un site test en version FR :
    http://www.nonopi.com

    L’extension n’est pas traduite à ce jour.

    Votre avis Eléonor, Alex ?

    Répondre
    • Merci Raph pour cette extension qui va remplacer efficacement celle que j’avais en place sur tous mes sites jusqu’à maintenant (Cookie Law Info) !

    • Merci Raph, ce plugin à le mérite d’être simple à mettre en oeuvre et de traiter une partie du problème.

    • Bonjour,
      Moi j’ai le plugin Cookie Notice for GDPR
      https://wordpress.org/plugins/cookie-notice/
      il me permet d’avoir les boutons J’accepte, je Refuse et En savoir Plus (lien vers la page Politique de Confidentialité)

      Une directive européenne de 2002, mise à jour sur la question des cookies par une autre directive de 2009, ont créé un régime spécial. En effet, à mi-chemin entre l’opt-in (accord) et l’opt-out (pas d’opposition), la transposition en droit français dans la loi Informatique & Libertés (article 32.II) a donné un opt-in dégradé (ou « super opt-out »).
      Ainsi, on demande l’ « accord » de la personne concernée (et non le « consentement »). C’est-à-dire que le consentement est présumé si, sur la page du site où atterrit l’utilisateur, :

      un bandeau d’information apparaît. Ce bandeau doit renvoyer vers une mention spécifique sur les cookies expliquant très précisément comment le site met en place le marketing ciblé et comment l’utilisateur peut s’y opposer (par la configuration du navigateur ou par un bouton arrêtant l’opération).
      ET que cet utilisateur continue sa navigation. La règle est d’attendre une action, soit :
      un clic sur un bouton marquant clairement l’acceptation,
      la poursuite de la navigation (changement de page, le défilement [scroll] dans la page ne suffit pas)
      un clic dans un élément interactif de la page en cours (activation de la recherche, lien ancre pour un « one page », etc.).
      A ce propos, l’intitulé du bouton d’acceptation ne doit pas être ambigu ; à ce titre, un « J’accepte » puissant est préférable à un « OK » laconique.

    • Bonjour Raph,

      Cette extension a l’air très bien, je suis en train de la tester d’ailleurs !
      Par contre, je ne sais pas quel script ajouter pour désactiver les cookies, sais-tu où je peux les trouver ?
      Pour Google analytics et pour Ad sense, par exemple ?

      Merci beaucoup !

  42. Super article ! Merci beaucoup à la Marmite, j’y vois beaucoup plus clair et ai listé ce que je devais faire.
    J’ai toutefois quelques interrogations.
    J’ai lu dans un commentaire ci-dessus que je ne suis pas responsable des sites que j’ai créés si je n’ai pas de contrat de maintenance. Mais si mon nom apparaît dans les mentions légales en tant que webmaster, suis-je responsable ?
    Aussi, je gère les campagnes newsletter de certains clients, s’ils refusent de mettre en place les actions du RGPD, suis-je responsable ou bien la responsabilité incombe uniquement à mon client ?

    Répondre
    • Bonjour, Peugeot est-il responsable d’une voiture qu’il a vendu 10 ans avant et dont il ne fait pas le suivi? Non. Tu n’es plus le webmaster si tu n’as pas de contrat de maintenance. Si ton client refuse de respecter le RGPD alors il refuse de respecter la loi. Il est responsable de ses actes. Si tu fais le nécessaire pour l’informer et qu’il refuse ce n’est plus de ton ressort.

  43. Bonjour,
    Que pensez-vous de ce de cet organisme pour etre confirme au RGPD voir le lien https://www.cookiebot.com/ ceci semble un peu cher pour des sites avec beaucoup de pages.

    Répondre
    • Bonjour, on ne connait pas désolé

    • il y a un plugin sur le depot WordPress mais il faut s’enregistrer et donner un ID pour activer le plugin ;-(
      donc pas top
      Cdt

    • J’ai installé cookiebot sur 3 sites. Non seulement c’est très cher mais en plus le bandeau d’acceptation ne s’affiche pas!
      En plus, il y a une version gratuite pour les sites de moins de 100 pages. L’un des 3 sites que j’ai installé contient moins de 100 pages mais je viens de recevoir un email me disant que ma version d’essai a expiré et qu’il faut que j’achète la version Premium (9€/mois, c’est le prix de mon hébergement!!!)

  44. Bonjour
    Merci pour cet article détaillé. Pour ce qui concerne les abonnés actuels, on leur envoie un mail leur demandant à nouveau leur accord. Mais dans la mesure où une part assez faible ouvre le mail et une part encore plus faible qui agit sur le mail, comment fait on ensuite? On ne garde que ceux qui ont répondu? et on part du principe que les autres ne veulent pas et doivent donc être effacés de la liste?
    Merci d’avance,
    Laurence

    Répondre
    • Bonjour, disons que sans consentement, tu ne peux pas les garder donc c’est à peu près ça oui…

  45. Bonjour, et tout d’abord merci pour votre article !
    Vous parlez de RGPD mais c’est l’ePT qui entre aussi en application, qui est tout aussi contraignante, avec le consentement préalable pour des cookies autres que ceux strictement nécessaires. Sur un site wordpress, on en a plusieurs dizaines, entre les cookies des plug-ins, google analytics, les cookies marketing (adsense, affiliations,…).
    Vous n’en parlez pas dans votre article (ou j’ai raté un passage), mais l’ePT me semble tout aussi important. Ou on ne risque pas les mêmes sanctions ? Pouvez-vous aussi nous éclairer sur le sujet ?
    Pour l’instant, j’ai trouvé une extension payante pour bloquer ces cookies si l’internaute le demande, mais avec plusieurs sites wordpress, le coût risque de s’élever à plusieurs centaines d’euros par an pour se mettre en conformité.
    Vous remerciant pour ce que vous préconisez aussi pour l’ePT… Merci !

    Répondre
    • Bonjour, ça n’est pas tout à fait la même chose et c’est pour ceci que ça n’apparait pas ici mais on va se renseigner pour vous orienter au mieux. Bonne journée

    • merci Julien !
      je parlais bien sur de l’ePR et non ePT.
      Des régies pub indiquent que l’ePR s’applique aussi dès mai 2018 mais j’ai lu d’autres sources qui parlent de 2020 !
      C’est (un peu) le bazar 😉

  46. Merci pour cet article bien complet !

    Comme vous avez inséré le lien vers la page de la CNIL, j’y suis allé
    et j’ai pu voir un bandeau en haut qui proposait de personnaliser
    les cookies présents sur ce site.
    En cliquant sur « Personnaliser » on peut choisir d’Autoriser ou d’Interdire les cookies.
    Est-ce un début de solution pratique d’après vous ?
    Car cela règle au moins le problème des cookies.
    D’ailleurs dans le code source on peut voir qu’il s’agit d’un
    service proposé par « tarteaucitron », je met pas le lien (je sais pas si je peux) mais je fais actuellement un essai (7 jours gratuits) et je trouve cela bien pratique.
    Mais bien sur cela ne règle qu’une partie du sujet.
    Encore merci

    Répondre
  47. Bonjour,
    Merci à vous notamment pour « WP Comment Policy Checkbox ». Je vais tenter une traduction en français du plugin.

    Répondre
  48. Bonjour,
    Je vous avais envoyé un commentaire voilà quelques jours pour vous donner une information complémentaire à votre excellent article sur le RGPD. Je pensais que mon commentaire renvoyant vers un article d’Eleganttemes et pour lequel j’ai fait une traduction française pouvait intéresser certains lecteurs de la Marmite. Je ne sais pas si vous l’avez reçu ou si vous l’avez jugé inopportun car à ce jour je n’ai pas eu de feedback de votre part.
    Merci de me dire si vous l’avez reçu et la suite que vous lui avez réservé.
    Cordialement.

    Répondre
    • Bonjour, je n’ai pas le souvenir de l’avoir vu passé mais j’avais lu l’article d’Elegant Themes et je préfère le notre 😉

    • Bonjour Julien,
      Oui je suis d’accord avec vous les deux articles ne sont pas comparables et le votre est plus précis quant aux solutions à apporter. Simplement celui d’Elegantthemes vient en complément pour bien préciser l’engagement respectif de l’auteur du site et du lecteur, il est sur ce point très précis.
      Si j’ai bien mon envoi est tombé aux oubliettes.
      Voici, si vous souhaitez l’accepter, l’article traduit que je vous proposais http://wordpress-pour-vous.com/traduction-dgpd-directive-generale-pour-la-protection-des-donnees/.
      Merci d’accepter de le publier.

  49. Hello l’équipe de WP Marmite
    Merci infiniment pour cet article très complet sur la question. Je m’empresse de mettre à jour mon article sur les obligations légales des blogs pro avec un lien vers celui-ci. Ce sera très utile à mes lectrices (et lecteurs).

    Répondre
    • Je confirme Cécile 🙂

  50. Bonsoir
    si je lis bien ici : https://www.gdprwp.com/
    le RGPD serait inclus dans le core dès la version 4.9.6 ?

    Article très interessant .
    Stef

    Répondre
  51. Je vais me préparer un tonneau de café, et je reviens finir la lecture

    Répondre
  52. Bonjour,
    A priori vos solutions ne mentionnent pas de cryptage des noms et mail utilisateur. C’est justement un point d’interrogation car si on chiffre ces données ils devient difficile d’effectuer certaines recherches sql.
    Donc pas de cryptage ?
    Sinon bel article même si je n’utilise pas wordpress

    Répondre
    • Bonjour, c’est interessant mais je pense que crypté ou pas tu conserves des données sensibles des clients donc…

  53. Merci Julien de WP Marmitte pour ta réponse, je suis rassurée mais j’ai quand mis modifié ma fonction dans les mentions légales des sites de mes clients.

    Question THE GDPR Framework :
    Je l’ai installé sur mon site, c’est pas mal ! J’ai contact form 7 mais les cases à cocher n’apparaissent pas et je ne vois pas où régler cela. Et les liens dans le footer n’apparaissent pas non plus automatiquement.

    J’ai trouvé aussi un site pour connaître tous les cookies installés sur un site : cookiebot.com
    Et un plugin pour installer le bandeau d’annonce des cookies : Cookie Consent

    Répondre
  54. Merci beaucoup pour cet article et pour tout le travail de simplification derrière. C’est rassurant de savoir enfin les actions concrètes à mettre en place. Parce que jusqu’à maintenant, je ne tombais que sur des articles et livres blancs très évasifs sur le sujet.

    C’est quand même une sacrée farce ce RGPD, on nous emmerde nous les pros pour quelques cookies et emails alors que les gens donnent les détails les plus intimes de leur vie sur les réseaux sociaux. Il y a vraiment un truc que j’ai du mal à comprendre…

    Répondre
  55. Merci pour ces infos.

    Pour moi cela ne va pas être de la tarte, en effet, sur de nombreux sites je vais avoir des complications comme sur un site canadien, mais hébergé en France, car l’audience francophone (de France) est largement supérieure à celle du Canada.

    En fait, je crois que je n’ai que des sites à problèmes qui ne rentrent pas dans les cases.

    Répondre
  56. Bonjour ! Merci pour cet article. Mais il y a une chose que je ne comprends pas: que doit-on faire par rapport au pixel Facebook ou Google analytics ? Car les cookies sont en grande partie destinés à ces deux services… Comment doit-on présenter la chose aux utilisateurs de notre site?

    Répondre
  57. Merci beaucoup pour cet article très complet et clair comme toujours. Au boulot maintenant…

    Répondre
  58. Bonjour, bon d’abord merci pour cet article…
    Ensuite…d’accord tout cela est bel et bien bon mais….qu’en est-il du droit à l’image du capybara ?

    Répondre
  59. Un grand merci de nouveau pour cet article
    J’ai juste une question, le plugin WP Comment Policy Checkbox, ne fonctionne pas avec mon thème suprèmedirectory quel autre façon d’inclure une checkbox?

    D’avance merci 😉

    Répondre
    • Bonjour. Qu’appelles tu « ne fonctionne pas »?

    • Bonjour Julien et merci,

      En fait, quand je configure le module et que je vais dans discussion pour choisir la page où le lien doit aller « Politique_de_confidentialite » dans mon cas, et bien le lien reste sur la page d’inscription du site, j’ai beau vider le cache, changer la page et choisir une autre, le lien reste toujours le même, il reste sur la même page où le la case à coché est (module Policy Checkbox)
      Impossible même en choisissant 10 pages différentes que le lien me redirige vers cette page pour que les gens puissent voir et lire avant d’accepter ou non la petite case à cocher.

  60. Bonjour,

    Merci pour cet article trés clair !
    Reste un problème : le paramétrage d’un bandeau des cookies avec la possibilité de refuser certains cookies…
    J’ai bien cookies notice mais je seche a cet endroit :
    Blocage des scripts = Saisissez ici les codes Javascript utilisant des cookies non fonctionnels (pour par ex. Google Analitycs) qui seront utilisés après que les cookies ont été acceptés.
    Et si on a deja un plugin comme tracking manager, ca se passe comment concrétement ?
    S’il vous plait …. quand vous mettrez votre bandeau des cookies sur votre site …Profitez en pour faire un tuto pratique…
    Merciiiiiiiiiiiiiiiii
    Nathalie

    Répondre
    • Bonjour Nathalie, promis dès qu’on met tout ça en place on vous expliquera 😉

  61. Merci pour cet excellent article ! Cependant, je remarque un grand manque dans WordPress : la gestion des utilisateurs « de base » ne permet hélas pas l’exportation des données utilisateur, ne serait-ce que sous un format simple comme csv. Vraiment dommage. Actuellement, après avoir réalisé diverses mises à jour pour devenir conforme, seule l’extension MailPoet le permet, et ça marche très bien.
    Merci encore.

    Répondre
  62. Un immense MERCI pour ce dossier extrêmement complet que je viens de survoler rapidement mais que je compte lire avec attention pour l’appliquer pas à pas et me mettre en conformité. Un regret toutefois? ce magnifique dossier aurait dû être fait par la CNIL car ce devrait être leur travail. En effet au lieu de se contenter de jouer les gendarmes ils devraient jouer un rôle d’accompagnateur et de pédagogues. En France on préfère sanctionner plutôt que d’enseigner les bonnes pratiques… Bref 1000 mercis à toute l’équipe pour nous aider nous pauvres blogueurs à faire face à cette nouvelle machine à réprimer Européenne… Maintenant en ce qui concerne les infos collectées pour une newsletter – à savoir un login et une adresse mail – créés pour la circonstance et qui peuvent être « bidons » puisque n’importe quel pseudo peut très bien fonctionner comme identifiant, il faudra que la CNIL m’explique en quoi ces 2 infos sont « sensibles » et peuvent mettre en péril la sécurité de celles et ceux qui librement s’inscrivent à cette newsletter et peuvent s’y désinscrire sans explication quand bon leur semble… A force de vouloir à tous prix renforcer les libertés cela va avoir l’effet contraire et il ne sera plus possible de rien faire dans ce pays sans remplir une tonne de paperasserie administrative en vue d’obtenir une éventuelle autorisation… Bien Cordailement

    Répondre
  63. Enfin une méthode compréhensible et pratique du sujet.

    Honnêtement, je commençais à désespérer de trouver un article applicable qui ne se contente pas d’affoler les foules avec la date butoir. OK, j’ai compris que c’était urgent mais concrètement je fais quoi ?

    Je vous remercie pour le formidable travail effectué. Ce n’est pas une partie de plaisir mais au moins je suis armé pour me lancer.

    A bientôt,
    Jean

    Répondre
  64. Bon.. ça y est… j’ai mal à la tête… surtout en pensant à certains clients qui ont fait leur site tout seul et qui ont des formulaires dans tous les sens et des tonnes d’adresses mails et pour lesquels je fais la maintenance… Comme envie de jouer l’autruche ou de partir en courant… je blague.. quoique…. 😉
    Mais un énorme merci pour ce travail de fond concret!!!!! C’était vraiment nécessaire car toutes les autres infos étaient nébuleuses…
    C’est vrai qu’un point sur les cookies ne seraient pas de refus..
    Merci encore à toute la Marmite pour son excellent travail!!!! Vous êtes ma bible !

    Répondre
  65. Merci beaucoup pour cet article très détaillé.
    j’aurais juste une question concernant le délai de conservation des données. Une fois ce délai dépassé, la suppression des données (contenu de la table récoltant les données+ les éventuelles sauvegardes) devront être obligatoirement effacé ?
    mais si la personne qui à laissé c’est coordonnée, souhaite continué à recevoir la newsletter (par exemple), il va être obligé de ce ré-inscrire.
    Bien cordialement

    Répondre
    • Bonjour, il va falloir que tu envoies un email à toutes tes listes pour leur faire reconfirmer leur inscription à la newsletter manuellement par exemple oui.

  66. Merci pour cet article !
    Du coup, est-ce que vous savez si nous sommes nous aussi libre d’envoyer les leadmagnet/bonus/conference gratuites et compagnie QUE si la personne coche la case ?

    Elle est libre de le faire ou pas…

    Et nous, sommes nous libre de donner du contenus exclusifs à la communauté privé ?

    Répondre
    • Bonjour, si la personne a coché une case pour donner son accord, à priori pas de problèmes.

  67. Tiens, la question du jour qui n’est pas abordée.
    Pour ceux qui, comme moi, organisent des concours via FB & WP, nous avons forcément des gagnants.
    Histoire de pouvoir envoyer les cadeaux, on a besoin d’une adresse que l’on reçoit via FB Messenger, ce qui représente une donnée perso.
    De plus, si on garde un historique de quel partenaire a offert quoi au 1er, 2nd… et à qui, c’est pareil.
    Donc il faut garder les noms en tête pour se dire que c’est pas dans un fichier Excel pour ensuite dire : c’est bon RGPD compliant ?

    Répondre
  68. Bonjour la marmite !
    Un très grand MERCI pour cet article (même s’il me donne une de ces migraine …)
    Encore un truc de plus pour nous pourrir la vie et la compliquer davantage.
    Enfin, j’ai commencé en suivant chaque étape de votre article.
    Je vais tout de même faire une pause en espérant ne rien oublier et que tout fonctionne correctement après !
    Encore merciiiiii !

    Répondre
  69. Bonjour,
    Pour mailchimp, il faut aller sur votre List, puis dans “settings” et chercher List name and campaign defaults.
    Cliquer dessus et cocher « Enable GDPR fields »

    Comme ça, vous avez les champs nécessaires pour GDPR.

    Répondre
  70. Merci pour cetarticle très complet. Par contre, quand je copie colle les deux snippet (pour mettre Woocommerce en conformité) dan le fichier functions.php de mon thème enfant (j’ai bien mis l’url de ma page à la place du #) et la c’est le bug total de mon site…. Qu’est ce que je fais de travers??

    Merci d’avance

    Répondre
    • Bonjour, copie colle moi ton fichier functions.php sur un site comme pastebin ou codepen et donne moi le lien stp que je regarde.

  71. Bonjour Julien! Est ce que tu vois le texte avec ce lien? https://pastebin.com/tex0sMwd

    J’ai rien fais de fou, juste copie/colle le snippet de WP marmite et changer les #.

    merci bcp!!

    Répondre
    • Salut, supprime la balise « ?> » à la ligne 12 et je pense que ce sera bon

  72. Tout d’abord merci pour cet excellent article. Je le conserve comme base de travail car pffiou que c’est compliqué.
    Je souhaitais revenir sur un point cité dans votre article qui stipule :
    « Note du rédacteur : Chers lecteurs, si vous vous n’exploitez pas des données personnelles à grande échelle, félicitations : vous êtes dispensés de cette étape. Créateurs de petits sites e-commerce, de blogs à trafic moyen, ou de sites-vitrines récoltant 50 contacts par mois : pas besoin de vous en préoccuper. »

    J’ai vu une information contradictoire sur le site de la CNIL (https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement). L’organisme précise que quelque soit la taille de l’entreprise, le registre est tout de même obligatoire.

    je pense qu’il est nécessaire de corriger votre article sur ce point.

    Encore merci pour votre article plus que complet

    Répondre
  73. Quid du double optin ?
    Si on l’utilise, on peut très bien ajouter sur la page post optin ou l’email de confirmation un texte indiquant que s’il clique sur le lien de confirmation d’inscription il accepte la politique de confidentialité ainsi que de recevoir une newsletter et des offres commerciales. Ainsi ça évite d’avoir un formulaire bourré de case à cocher.
    Ps : vos formulaires ne sont pas encore conforme à ce que je vois :p

    Répondre
  74. Bonjour,
    Merci pour cet article qui rend un peu plus compréhensibles ces changements légaux. J’ai lu une bonne partie du RGPD mais un point reste assez flou pour moi : D’où vient cette durée maximum de conservation des données « marketing » de 3 ans ? Je n’en trouve pas trace dans le texte de loi, et le support d’un très célèbre plugin de newsletter WP me confirme ne pas connaître cette limite non plus…
    Auriez-vous la source précise ?
    Merci d’avance !

    Répondre
  75. Bonsoir,
    Concernant l’utilisation des données :
    1) elles ne sont pas stockées sur le site
    2) elles sont envoyées via un mail émis par le formulaire de contact vers une boîte mail de l’entreprise. Dans la boîte mail, les mails sont ensuite stockés de façon classique sur le serveur du fai.
    Les données recueillies sont le nom de la personne et son adresse mail. Il y a aussi le titre du message et son objet du message : en général, une question d’ordre technique, commercial ou une demande de rendez-vous.
    Nous répondons ainsi à la personne qui a utilisé le formulaire de contact. Les mails sont en général gardés sur le serveur.

    Donc, ma question était :
    Comme je suis en train de rédiger la page sur la politique de confidentialité, je voudrais savoir si le site est concerné par les données personnelles dans la mesure où le site ne stocke pas de données personnelles.

    Merci.
    Cordialement,

    Répondre
  76. Petite remarque sur GDPR Cookie Compliance :
    Il y a un problème de prise en charge des informations remplies en français quand on utilise les thèmes d’AIT-THEMES. Dans le back-office tous les textes sont correctement pris en compte en français mais sur le front, cela reste en standard de l’éditeur de l’extension. Leur support est au courant :/

    Répondre
  77. peut-on regrouper les conditions générales de vente et la politique de confidentialité..?
    une page politique de confidentialité et une page cgv+politique de confidentialite
    -la première me sert pour les formulaires de contact
    -la deuxième sur woocommerce (pour ne pas avoir à rajouter une deuxième case à cocher)

    Répondre
  78. Un petit lien technique fort intéressant aussi et qui mérite à être creusé :
    https://www.donneespersonnelles.fr/comment-mettre-google-analytics-en-conformite-au-rgpd

    Répondre
  79. Re !
    Pour les cookies j’ai une question qui me taraude l’esprit :
    Y aura t-il un problème côté GA ?
    Car si le visiteur ne clique pas sur le bouton pour accepter que des cookies s’installent sur son ordinateur/mobile, GA ne va pas pouvoir le comptabiliser ? Et donc les stats vont complètement être faussées …
    Ou alors GA va quand même comptabiliser la visite mais ne pas récupérer certaines infos ? 🤔
    Merci d’avance pour votre réponse 🙂

    Répondre
    • Bonjour, effectivement si l’utilisateur refuse le cookie de Google Analytic il ne sera pas tracké donc à priori les stats seront un peu diminuée.

  80. Article très complet et précis sur la complexité de la protection de nos données sur le web. Avec les utilisations abusives récentes à l’insu du plein gré des internautes de ces derniers mois, il était inévitable que la législation allait se durcir.

    Répondre
  81. Ok, les CGV doivent être disponibles depuis le footer. Mais sur toutes les pages du site ? ou bien uniquement sur la page d’accueil ? Ou bien sur une page perdues au milieu de nul part ? Car en tant que SEO, balancer le jus sur une page noindex ça me fait beaucoup de mal à mon petit coeur.

    Répondre
  82. Bonjour Alex,
    Quelle solution vas-tu utiliser pour les commentaires de WPMARMITE ?
    Merci pour ta réponse !

    Répondre
  83. Bonjour et avant tout merci pour ce super boulot.
    Bon forcément je me suis mis à rédiger une politique de confidentialité…etc…etc…
    Et d’un coup le doute me vient…
    Il faut permettre que chacun puisse sur simple demande faire effacer ses données collectées…bon OK…et cette demande il la fait par un formulaire de contact, par exemple …,formulaire ou il devra rentrer son nom, son adresse mail…etc…etc…données qu’il nous demandera d’effacer en nous renvoyant un formulaire de contact pour ce faire…formulaire ou il donnera son nom…son adresse mail…
    Question : qui deviendra fou le premier ?

    Répondre
  84. Mille mercis pour cet article extrêmement utile, très bien rédigé et super complet. On a beau être habitué avec la marmite, il faut le souligner à chaque fois !
    Au risque de paraitre tr-s débutant (ce que je suis), j’ai une petite question : tu dis ajouter une case à cocher dans le formulaire de contact (ça je sais faire – merci au guide de la marmite) et ajoutez un lien vers la page de confidentialité … et là on fait comment pour intégrer un lien dans le formulaire de contact (ce n’est pas dans le guide contact form 7 – j’ai verifié)
    Encore merci pour toutes ces infos

    Répondre
  85. Bonjour,

    Merci pour toutes ces explications et cet article complet. Je comprends le principe mais ayant que peu de connaissances, j’ai beau lire des tas d’articles, je ne vois pas comment faire ces modifications seule sur mon wordpress pour arriver au résultat voulu par la loi. Ils sont gonflés quand même. Il faut faire ceci et cela sinon gare à toi. Haha. Bien que cela soit légitime, c’est sûr, ma question est simple: quand on est (vraiment) pas douée, comment fait-on? Qui peut s’en charger à notre place? Connaissez-vous des entreprises proposant leur service pour nous aider à être en règle de façon concrète? Hormis les textes à rédiger, un web designer peut-il également remplir cette fonction pour les modifications à effectuer sur un site?… Dernière petite question, la confidentialité des utilisateurs est respectée mais en ce qui concerne la mienne, suis-je obligée de fournir mes coordonnées sur la page de confidentialité? Car je ne souhaite pas que n’importe quel visiteur connaisse mon nom, ni mon adresse personnelle où est enregistrée mon entreprise. Sommes-nous alors pénalisé pour cela? Merci beaucoup pour votre aide et encore bravo pour cet article.

    Répondre
    • Bonjour Camille. Si tu veux que quelqu’un le fasse à ta place tu peux t’adresser ici: http://www.maintenance-wp.fr
      En ce qui concerne ton nom affiché sur le site, c’est déja obligatoire dans les mentions légales. Tu dois fournir le nom d’un responsable à la vue de tous tes visiteurs donc à priori ça ne change pas grand chose. Bonne journée

  86. Trop de textes à lire et il y a aucun moyen de recopier. C’est chiant comme boulot en plus !

    Répondre
  87. Bonjour
    Très bon article y a un seul truc ou je bug dans la compréhension c’est ce registre ?
    Doit on manuellement rentrer chaque inscription sur notre site ? ou alors un plugin s’en charge t il à notre place ?

    Répondre
    • Bonjour, la nouvelle version de WordPress permet d’exporter les données facilement

  88. Bonjour,
    Merci pour l’article.
    La date fatidique approche et je vais consacrer cette semaine pour la mise en conformité de mes sites.
    Est ce que vous connaissez un site qui est RGPD friendly ?
    je veux pas faire un copycat mais simplement m’en inspirer…
    Merci

    Répondre
  89. Bonjour, merci pour ce grand texte un peu dur à mettre en place pour un wordpress simple (comme je dois le faire).
    Je suis abonné elegant school.
    Mon site fait juste une approche que l’on propose pour mon association de badminton.

    Je me penche énormement dessus en ce moment car je ne veux pas crééer de problèmes à mon club.
    Sur ce site, je suis en https, je n’ai qu’un utilisateur (administrateur); pas de commentaire, du texte, des tableaux, des documents téléchargeables; google analytics; des noms pour les créneaux (que je vais remplacer par une image avec les noms);
    un formulaire de contact.

    Si je comprends bien à ce stade, il me faut forcément améliorer les réglementations.

    – Pour google analytics, je regarde par rapport à un commentaire plus haut pour mettre les informations sur le serveur (mutualisé que j’ai) ou en le supprimant. Un visiteur voit que les 3 cookies de google analytics.
    – Mettre une case à cocher sur le formulaire de contact en champ obligatoire (sert juste à répondre), avec comme texte « J’accepte explicitement l’utilisation de mon téléphone et/ou de mon adresse mail à l’usage exclusif de me contacter à propos de mon association et de son site Internet. » ou « En soumettant ce formulaire, j’accepte que les informations saisies soient exploitées dans le cadre de ma demande. »
    – Ajouter un avertisseur de cookie
    – Ajouter des mentions légales

    Si je mets des résultats de compétitions avec des noms/prénom/photos, que dois-je faire en plus?

    Si j’installe un plugin GDPR Data Request Form pour exporter ou supprimer les données, cela ne va pas être utile pour mon utilisation?

    Si j’ai oublié des choses, je suis preneur.

    Cordialement Nicolas

    Répondre
    • Bonjour, effectivement tu as quelques pistes ici. Pour les résultats des compétitions, tu dois expliciter le fait que tous les participants acceptent d’être cité sur le site.

  90. Super article ! et surtout merci pour Les snippets de code pour woocommerce, qui marchent parfaitement ! au top !

    Répondre
  91. Merci pour ce super article, très complet.
    Mais quelle pris e de tête quand même ce RGPD !

    Répondre
  92. Merci pour cet article au top comme d’hab 🙂
    Petite question : j’ai sur un site juste un formulaire de contact ( pas d’enregistrements, de commentaires etc… )
    Je suppose que sont stockées les infos de base demandées sur le formulaire ( mail, nom , téléphone ) mais ou? Si j ‘essaie d’exporter ces données avec le nouveau outil embarqué dans WordPress je ne récupère qu’un fichier index.html sans aucune info …
    merci !!!

    Répondre
    • Bonjour, ça dépend ce que tu utilises pour le formulaire

    • Merci pour la réponse, j’utilise le module de formulaire intégré à DIVI… pas trouvé de traces des infos « récoltées » dans la base de données de mon site …

    • Le formulaire de Divi n’enregistre pas les données en base

  93. Salut !
    Est-ce que quelqu’un aurait un générateur de politique de confidentialité conforme au RGPD, complet et gratuit à proposer ?
    Merci

    Répondre
    • Bonjour, la dernière version de WordPress génère une page type que tu as simplement à éditer avec tes infos.

  94. Bonjour,

    Comment faites vous pour supprimer des backup les données d’une personne demandant le droit à l’oublie ??
    merci pour l’article 😉

    Répondre
  95. Bonjour,
    Merci encore une fois pour votre article qui est vraiment bien fait !
    Par contre j’ai une question sur les commentaires avec avis certifiés. Une case à cocher est-elle nécessaire ou pas ?
    Merci d’avance pour votre réponse.

    Répondre
    • Pour les commentaires si tu as obligé les utilisateurs a être connecté avec un compte alors non car ils sont déja censés avoir accepté les conditions de confidentialité du site

  96. Bonjour,
    Je lis : « Ajouter automatiquement au footer de son site les pages de politique de confidentialité et de conditions générales d’utilisation. »

    Je ne comprends pas cette phrase, il faut mettre tous les textes Mentions Légales et la Politique de Confidentialités dans Footer ?
    Ou mettre les liens vers les pages Mentions Légales et Politiques de Confidentialités

    Je vois des sites, avec des pavés en bas de page, du coup, je suis perdu, merci

    Merci

    Répondre
    • Bonjour, il faut juste mettre les liens vers les pages 😉

    • Bonjour,
      Merci de votre réponse, peut-être reformuler votre phrase alors ?
      Ajouter automatiquement au footer de son site, les liens vers vers les pages de politique de confidentialité et de conditions générales d’utilisation.

      Juste une idée, merci beaucoup

  97. Bravo pour cet article où les actions principales sont bien expliquées. Le plus difficile sera de convaincre les TPE de l’importance du RGPD (déjà que peu d’entreprises sont en conformité avec la loi de finance…). Il sera d’ailleurs intéressant de voir dans quelques mois le % des sites étant conforme!

    Répondre
  98. Bonjour,

    Pour les formulaires de contact, une case à cochée et le mail font office de trace et d’acceptation des politiques ? non ?
    je n’ai pas bien compris le principe de preuve des consentements 🙁

    Répondre
  99. Merci encore pour cet article complet et concret. Je viens de relire avec attention tous les commentaires et il y a deux personnes qui vous ont questionné sur une affirmation dans votre article : « Note du rédacteur : Chers lecteurs, si vous vous n’exploitez pas des données personnelles à grande échelle, félicitations : vous êtes dispensés de cette étape. Créateurs de petits sites e-commerce, de blogs à trafic moyen, ou de sites-vitrines récoltant 50 contacts par mois : pas besoin de vous en préoccuper. » N’ayant pas trouvé la réponse dans les commentaires, je la repose : où trouver cette mention/limitation/exemption ? les sites que je maintiens sont majoritairement dans ce dernier cas ! Merci de nous éclairer.

    Répondre
  100. Bonjour,
    Tout d’abord, merci pour ces informations détaillées, je pense que vous êtes les garants d’une mise en conformité d’un maximum de créateurs de sites web 🙂

    J’ai une question tout de même, à propos de la suppression, modification, portabilité des données utilisateurs : j’utilise sur mon site un formulaire contact qui ne stocke pas les données en base. Le formulaire envoie seulement par email les données saisies dans les champs.

    Par conséquent, je ne peux pas exporter les données utilisateur avec la nouvelle fonctionnalité de WP (de la version 4.9.6).

    Mais est-ce que je dois quand-même créer une page spécifique dédiée aux demandes des utilisateurs d’accéder à leurs données, de les modifier, de les effacer, ou de les transférer vers un tiers (contenant le formulaire de demande) ?

    Si c’est le cas, je dois leur préciser dans cette page que les données ne sont pas stockées dans une base de données et que par conséquent, ils peuvent seulement demander à accéder aux informations envoyées par mail au préalable ou à supprimer le mail dans ma boîte de réception (pas de possibilité de modification) ?

    Et donc si c’est une demande de suppression, je supprime le mail dans ma boîte de réception ?

    Enfin, suis-je obligée de supprimer les mails reçus au bout de 3 ans ?

    Merci pour votre réponse, ces points n’étant pas très clair pour moi 🙂

    Répondre
    • Bonjour, effectivement tu n’as rien à exporter. Tu peux les prévenir sur le formulaire que les données ne sont pas stockées sur ton serveur mais servent simplement à répondre aux demandes de contact. Pour la durée limite je pense que tu peux leur spécifier aussi.

  101. Bonjour Julien,
    Merci pour ton retour. Mais est-ce que tu sais si je dois aussi créer une page spécifique pour que les internautes demandent la suppression de ces mails ?
    Merci, bonne journée !

    Répondre
    • Bonjour, pas forcément mais tu dois leur fournir au moins une adresse à contacter pour la suppression

  102. Bonjour
    Comme toujours un super article : clair, précis et pratique.
    Tout ce que l’on aime chez vous 🙂

    J’ai une question, sans doute bête mais tant pis.

    D’après ce que je comprend, il nous faut lister les cookies présent sur le site. Cookiebot ne semble pas faire une liste exhaustive des cookies du site, si ?

    D’après lui, je n’ai que 5 cookies sur mon site.
    Ils ont tous comme source : http://www.google-analytics.com/analytics.js
    Ce qui n’est pas étonnant.
    Par contre je n’en vois aucun autre et ça m’étonne.

    Par contre, en admettant que ce scan de 5 cookies soit correct, il est valable à l’instant T.

    Que se passe t’il si lors de la mise à jour d’un plugin, du thème ou de WP, d’autres cookies sont inclus dans la MAJ. Je risque de ne pas le voir.

    A chaque mise à jour il va falloir tout décortiquer ?
    C’est ingérable si on est webmaster et que l’on a plusieurs sites.

    Quel est votre avis ?

    Répondre
  103. Bonjour,

    Concernant les cookies, je me pose une question puisque il me semble que la loi est plus précise que ce qu’on avait avant.

    Faut il LISTER les cookies présent sur notre site internet dans la page POLITIQUE DE CONFIDENTIALITE / RGPD que l’on doit désormais inclure dans notre site ?

    Je crois comprendre en lisant votre article que OUI qu’il faut lister les cookies utilisés.

    Dans ce cas, je m’interroge.
    1/ Comment lister les cookies utilisés sur l’ensemble du site ?
    Le site Cookiebot

    Répondre
    • Bonjour, oui il faudrait et tu peux utiliser CookieBot

    • Merci de ta réponse,
      J’ai en effet utilisé le site Cookiebot, mais cela rame un peu pour avoir les résultats, et je ne me voyais pas attendre 6h pour avoir le résultat de chacune des différentes pages, surtout quand on maintient plusieurs sites.

      Pour ceux que cela intéresse, j’ai cherché et j’ai trouvé une extension de navigateur qui semble bien marcher : Ghostery (https://www.ghostery.com/fr/) il m’affiche pour chaque page instantanément les mouchards.

      voilà 🙂

  104. Wouaw !!!! Vous nous rendez un grand service en ayant rédigé cet article sur les RGPD. J’ai du coup créé un dossier à m’imprimer pour bien relire tout ça et appliquer chaque étape autant que possible les uns après les autres. Merci beaucoup de votre aide auprès des webmasters que nous sommes. 🙂
    Il va me falloir des heures à mettre ces choses en place.
    Je vous conseille un super plugin : WP GDPR compliance qui devrait vous aider à mettre en place certains éléments pour être en conformité.

    Merci 🙂

    Répondre
  105. Bonjour,
    Merci beaucoup pour cet article très très très éclairant.
    Ma question : j’informe mes clients de la nécessité de mise en conformité de leur site à la nouvelle réglementation RGPD, ce qui pour eux veut dire : va falloir que je bosse sur votre site ce qui va engendrer une facture.
    Si mon client refuse je fais quoi ? Je lui fais signer une décharge ?
    Merci pour votre réponse.

    Répondre
    • Bonjour,

      je m’interroge aussi à ce sujet, qui est responsable dans ces cas là ?

  106. Merci pour votre commentaire.
    Problème: je vous cite: » WP Comment Policy Checkbox, qui rajoutera une case à cocher près du bouton “Envoyer”, et diffusera un message d’erreur si ce n’est pas fait. »
    Si l’on ne coche pas la case, pas de message d ‘erreur et le commentaire est bien envoyé ?
    y a t il un réglage ?

    Répondre
    • Bonjour, c’est maintenant disponible nativement dans la derniere version de WordPress et WooCommerce

  107. Bonjour,
    Je suis en train de faire le tour de tous les sites que j’administre et je me pose la question suivante : sur la totalité j’ai 2 sites sur lesquels les mises à jour des thèmes ne sont pas possibles.

    1/ Le premier est un thème premium issu du framework mysitemyway.
    Ils sont arrêtés l’activité et plus rien ne se passe, le site internet mysitemyway n’est même plus en ligne.

    2/ Le second thème à été réalisé par un sous traitant indépendant d’une agence de com. L’indépendant à arrêté sont activité.
    Je suis moi même indépendant et j’ai récupéré le site web sur lequel j’assure les sauvegarde et la maintenance du WP et des plugins (sauf le thème, puisque pas de MAJ).

    J’ai déjà sécurisé ces sites en prenant des précautions de base comme vous le conseillez dans vos articles sur le sujet.
    Je conseille au client la mise en place d’un plugin de sécurité pour en rajouter une couche.

    En cas de problème puis je être considéré comme responsable ?
    Dans les 2 cas ?

    Dois je avertir le client que son thème n’est plus à jour ?
    C’est un peu délicat pour mes relations avec la boite de com qui lui a vendu le site !!

    Merci de votre réponse, je suis sûr que cela va intéresser beaucoup de monde.

    Répondre
    • Bonjour, puisque tu gères la maintenance des sites, tu dois les prévenir que ceux-ci ne sont plus à jour et peuvent présenter des failles de sécurité. Tu es le responsable si jamais quoi que ce soit arrive. Tu peux eventuellement leur proposer une refonte de site pour que tout soit plus facile.

  108. Bonjour,

    j’ai une question concernant l’utilisation à des fins commerciale des emails reçu via les formulaire de contact.

    Puis je les utiliser pour envoyer des mailings de temps en temps si je le notifie dans ma politique de confidentialité ou est ce que c’est considéré comme un moyen détourné ?

    Merci encore !

    Une formation RGPD de prevu sur votre site ?

    Répondre
    • Bonjour, tu dois ajouter une case à cocher par le visiteur pour leur dire qu’ils recevront des mails commerciaux.
      On avait éventuellement eu l’idée d’une formation RGPD en effet mais on l’a abandonné car c’est finalement très compliqué de faire quelque chose de global alors que chaque situation est assez différente.

  109. Merci de ta réponse Julien c’est super sympa !

    cette article est ma référence lorsque j’ai un trou de RGPD ^^

    Dans l’article vous mentionnez le faite que woocommerce à résolution le problème de la case à cocher de la politique de confidentialité mais en faite pas vraiment car ils n’ont pas mis de case à cocher, juste un texte.
    La case à cocher est uniquement pour les CGV.

    Alors conforme ou pas woocommerce ?

    Merci à l’équipe !

    Répondre
    • Bonjour, si si WooCommerce a bien ajouté cette case à cocher 😉

    • Ah ben exactement la même question ! Je n’avais pas vu. Je cherche les fameuses cases, je n’ai trouvé que les zones de texte. Merci

  110. Bonjour, merci beaucoup pour cet article !
    J’ai une question : La MAJ de WC permet d’apposer un texte explicatif sur la PDC au niveau de la page Commande et Création de compte… Mais il n’est pas prévu de case à cocher, seulement un texte d’info.
    RGPD OK ou pas ?
    :/
    Merci !

    Répondre
    • Bonjour, il y a déja une case à cocher pour le RGPD avec la nouvelle version de WooCommerce normalement.

  111. Ah bon ? J’ai la dernière version… je n’ai rien vu de tel, uniquement les textes « Politique de confidentialité de l’enregistrement » et « Politique de confidentialité du paiement » dans Réglages / Comptes et confidentialité… Quelqu’un aurait la gentillesse de m’indiquer où se trouvent les fameuses cases à cocher ?
    Merci

    Répondre
  112. Bonjour, j’ai répondu ce matin mais je crois que ça n’a pas marché, je ne vois pas mon commentaire…
    Je disais que je ne voyais pas la fameuse case, je suis dans WooCommerce > Réglages > Comptes et confidentialité, et seuls les zones de texte figurent… Si quelqu’un peut m’aiguiller ? Je cherche depuis des jours. Merci

    Répondre
    • Bonjour, la case est ajoutée automatiquement avec le texte que tu auras choisi.

  113. Bonjour,

    Non pas pour la politique de confidentialité juste pour les conditions générales de vente 😉

    Répondre
  114. Bonjour, je suis DPO indépendant et merci pour ce bel article qui pose les bases du RGPD, cependant quelques précisions s’imposent :

    – Le registre des traitements n’est obligatoire que pour les entreprises de plus de 250 salariés. Pour les autres, je le conseille souvent car il permet d’avoir une cartographie précise et une vision globale des traitements effectués dans l’entreprise. L’exemple de registre proposé par la CNIL est, à mon goût, bien trop léger.

    – En ce qui concerne le consentement, la case à cocher n’est bien souvent pas suffisante. Cette action de la part du consommateur n’est pas assez explicite, le stockage de la preuve de cette action peut être difficile et la restitution de ce type de preuve, lors d’un litige, peut être soumis à controverse car l’action peut être considérée comme avoir été exécutée sans vraiment lire le texte devant cette case à cocher.

    Voilà pour ma petite contribution, je suis à la disposition des entrepreneurs sur mon site dpoexpert.fr ou sur mon profil linkedin pour répondre à d’autres questions.

    Répondre
    • Merci pour ton retour Thomas-Jérôme 🙂

      Pour la case à cocher, c’est comme les CGV lors d’un achat. On sait très bien que peu de personnes les lisent… Tu recommandes le double-optin en complément ?

  115. Bonjour,
    je n’utilise aucune collecte d’infos personnelles : pas de newsletter, commentaires, vente… et le contact est un mailto html. Suis-je concerné par cette nouvelle loi ?
    merci pour ces informations claires et votre réponse

    Répondre
    • Bonjour, à partir du moment où tu récoltes un email et tu es susceptible de l’utiliser pour y répondre alors oui.

  116. Bonjour Thomas-Jérôme BOUCHE

    Merci beaucoup pour ton expertise, c’est super intéressant d’avoir des retours des personnes du milieu. Je garde ton site sous le coude 😉

    Par contre l’histoire de la case à cocher me chatouille un peut car cela veut dire que nous devenons « responsable » de l’irresponsabilité de certains visiteur (ça n’est surement pas très français…).

    je veux dire par là qu’à un moment il faut aussi que l’internaute se prenne en mains vis à vis de ses données. Donc s’il coche la case il est en mesure de savoir ce dans quoi il s’engage.
    Quand je signe un contrat virtuel ou non je sais ce que je fais, pourquoi n’en serait il pas de même sur le net ?

    Répondre
  117. Bonjour, juste pour info, je viens de mettre le WP GDPR Compliance sur mon site. Bon, c’est en anglais, mais pas difficile du tout (avec un traducteur on s’en sort). Il est pas pour les commentaires, les formules de contact.

    Répondre
  118. Bonjour,
    Comment gérez-vous les clients qui refuse de se mettre en conformité avec la loi RGPD ?
    Comme la prestation de mise à jour demande un certain travail et donc est facturé, quel recours pour nous hébergeur de site internet envers un client qui ne veut pas se conformer à la loi?
    Merci et bravo à la marmite pour ce super tuto 🙂

    Répondre
    • Bonjour, tu peux lui faire signer une décharge comme quoi tu n’es pas responsable de la non-conformité du site eventuellement

  119. Merci beaucoup Julien pour cette réponse, c’est effectivement ce que nous pensions faire.

    Répondre
  120. Bonjour,
    super article très intéressant et très complet, bravo. Il me vient néanmoins 2 questions :
    A) Lors du processus d’inscription, faut-il afficher la case à cocher, j’accepte la politique de confidentialité ? Le snippet proposé n’affiche pas de case à cocher.
    B) A propos de Woocommerce, si on interdit les commandes en tant qu’invité, est-il obligatoire d’afficher une nouvelle fois la politique de confidentialité ?

    Répondre
    • Bonjour, normalement WooCommerce affiche tout ça nativement depuis leur dernière mise à jour.

  121. Bonjour, j’ai le même problème que Orishas:

    En fait, quand je configure le module et que je vais dans discussion pour choisir la page où le lien doit aller « Politique_de_confidentialite » dans mon cas, et bien le lien reste sur la page d’inscription du site, j’ai beau vider le cache, changer la page et choisir une autre, le lien reste toujours le même, il reste sur la même page où le la case à coché est (module Policy Checkbox)
    Impossible même en choisissant 10 pages différentes que le lien me redirige vers cette page pour que les gens puissent voir et lire avant d’accepter ou non la petite case à cocher.

    J’ai changé de thème, désactivé tous les plugins mais c’est pareil.

    Qui a une solution?

    Répondre
  122. Bonjour,

    Auto-entrepreneur, j’ai fais un site pour un client en 2015. Aucun contrat de maintenance, je lui ai juste fournis les sources du site web.

    Aujourd’hui je reçois un mail de ce dit client, m’informant qu’il faut que je mette sont site à jour en rapport à la RGPD, et que je suis légalement responsable si cela n’est pas fait.

    Suis-je dans l’obligation de mettre à niveau ce site (gratuitement), ou cela doit il faire lieu à un nouveau contrat ?

    Répondre
    • Bonjour, tu n’as certainement pas à le faire gratuitement. Si ton client veut être en règle il doit payer la prestation.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

La Marmite ne peut malheureusement pas fournir de support. Merci d'en tenir compte dans votre commentaire 😉

Si vous ne lui en voulez pas, donnez-lui un j'aime sur Facebook :



dapibus pulvinar Donec libero mi, Curabitur
1,8K Partages
Partagez1,4K
Tweetez390
Partagez