Publié par le 18 avril 2018 • 220 Commentaires

Décidément, en ce début d’année 2018, l’univers du web s’agite de toutes parts !

Il y a quelques semaines, on vous parlait de l’arrivée de WordPress 5.0 dans les mois à venir, et de la véritable révolution qui se préparait.

Aujourd’hui, il nous semble essentiel de vous parler d’un autre sujet, qui bruisse tout autant sur toutes les lèvres : le RGPD.

Si vous êtes marketeur ou chef d’entreprise, et que vous traînez régulièrement sur LinkedIn, vous avez du entendre parler de cette nouvelle législation, qui entrera en application le 25 mai.

Le RGPD, acronyme pour Règlement Général pour la Protection des Données, ne cesse d’y faire parler de lui ! Vous l’avez peut-être aussi rencontré dans son acception anglaise, GDPR.

Mais si vous possédez un site web et que vous n’avez pas encore entendu parler du RGPD, alors il est temps de vous renseigner un peu pour vous préparer car ça va secouer !

Ça tombe bien : la Marmite a récemment rencontré des avocats pour y voir un peu plus clair.

RGPD mise en conformité

Du coup, nous avons pris le parti de vous détailler, pas à pas, les différents points-clés à examiner pour mettre votre site WordPress ou votre boutique WooCommerce en conformité avec la nouvelle législation.

Pas de jargon juridique, pas de références à d’obscures parties du Code Civil : que du concret pour les créateurs de sites WordPress et WooCommerce !

On vous le concède, cela n’a pas été facile. Si vous avez suivi les stories d’Alex sur Instagram, vous avez vu qu’il a fallu remanier l’article plus d’une fois !

Ceci étant dit, nous estimons vous proposer une ressource qui se veut la plus concrète possible (contrairement à ce que l’on peut voir ailleurs) afin de vous aider à mettre votre site dans les clous.

Note du rédacteur : Pour rédiger cet article, nous avons fait appel aux conseils du cabinet d’avocats Langlais : merci à eux !

Cependant, il ne s’agit là que d’une source d’informations générales, qui ne peuvent être interprétées comme un véritable conseil juridique. Si vous maniez au quotidien un nombre important de données, nous ne pouvons que vous recommander de faire appel à des professionnels, comme ceux du cabinet Langlais, qui pourront vous accompagner à vous mettre en conformité.

Sur ce, je vous propose de découvrir le sommaire :

Et si vous en voulez davantage, sachez qu’Alex et ses compères de WPChef ont mis en ligne une webconférence sur le RGPD. Elle est normalement réservée aux stagiaires de leur formation WordPress mais ils ont préféré la partager pour vous aider à vous mettre en conformité. Merci à eux 🙂

C’est quoi ça, le RGPD ?

Définition RGPD

Le Règlement Général pour la Protection des Données est une réglementation européenne qui prend application très prochainement, le 25 mai pour être exact. Votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.

Le but de cette réglementation, qui va venir secouer les pratiques des professionnels et particuliers sur le web : assurer à tout individu le contrôle et la protection des données à caractère personnel qu’il dissémine lors de ses navigations sur la toile.

Qu’est-ce qu’une donnée à caractère personnel ?

Petit point définition : Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu :

  • On peut identifier directement un internaute grâce à son nom, son prénom, mais également son adresse email ou son numéro de téléphone, et tout type de donnée démographique (fonction professionnelle, sexe, âge…) ou géographique (localisation, lieu de travail…).
  • Comptent aussi dans ces données à caractère personnel les informations purement numériques d’un internaute (adresse IP), ou ses data comportementales (actions menées sur un site web, comme les visites ou les clics). Même les données partagées de sa propre initiative, comme la mise en ligne d’une photo ou un like, comptent également dans cette définition.

Ça promet, hein ?

Concrètement, qu’est-ce que la législation prévoit ?

Pour être très concret, le RGPD comporte trois volets importants, qu’il s’agit de prendre en compte :

  • L’amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel. Que ce soit via des formulaires, ou bien vis-à-vis des cookies, le visiteur doit être informé qu’il partage ses données, et savoir explicitement à quelles fins.
  • La traçabilité et la haute sécurité des données des utilisateurs. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
  • Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.

Autant d’éléments qui vont influencer la manière de créer et de gérer un site web.

Note : Le cabinet que nous avons consulté a d’ailleurs mis en place un site pour vous aider à y voir plus clair.

Qui est concerné ?

Le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle.

Petit rappel de géographie, l’UE en 2018 correspond à tous les pays en bleu :

Union Européenne en 2018Merci à Pascal Orcier pour cette superbe carte.

Si vous collectez, utilisez ou stockez ce type de données, surprise : vous êtes pile dans la cible de cette législation (et potentiellement dans le viseur de la CNIL) ! Et ce, quels que soient le secteur d’activité ou la taille de votre structure.

À noter que le RGPD s’applique également aux données internes aux entreprises : celles que vous récoltez sur vos employés, dans des fichiers du personnel, par exemple.

Autre point très important : même si votre entreprise ou vous-même êtes basés, ou que vous stockez vos données, en-dehors de l’Union Européenne, le RGPD s’applique à votre activité.

La législation se place en effet du point de vue de l’internaute : si vous traitez des données d’un individu résidant dans l’un des 28 membres de l’UE, vous êtes concerné.

Et les développeurs et agences WordPress, alors ?

Bon nombre de lecteurs de la Marmite, et notamment les développeurs ou agences WordPress, se diront : “ok, mais moi, je ne fais que traiter les données de seconde main que mes clients récoltent”.

Minute papillon ! Vous êtes également concernés, en tant que sous-traitants. Grosso modo, si le traitement que vous faites des données de vos clients ne rentre pas en conformité avec le GDPR, vous risquez également de vous faire taper sur les doigts.

Et surtout, si vous n’êtes pas conformes au RGPD, vous risquez de voir certains clients refuser de faire affaire avec vous désormais !

Il s’agit donc dès maintenant pour vous de revoir la manière dont vous abordez cette utilisation des données dans vos contrats clients, actuels et futurs. En recherchant des informations à ce sujet, je suis tombée sur une infographie bien ficelée, dont la seconde partie traite des questions à aborder avec vos clients en tant que prestataire.

Voici quelques éléments à ajouter à vos contrats, dans une partie spécifique à l’utilisation que vous faites de vos données, pour être dans les clous :

  • Le nom et les coordonnées de votre Délégué à la Protection des Données (DPO) (pas besoin d’en nommer un si vous ne brassez pas une masse de data quotidiennement) ;
  • La méthode que vous utilisez pour récolter, stocker et utiliser vos données ;
  • Vos méthodes de sécurisation des données ;
  • Vos éventuelles relations à d’autres sous-traitants, qui utiliseraient ces mêmes données ;
  • Votre méthode de notification de faille de sécurité, et éventuellement votre processus de rectification ou suppression des données à la demande des utilisateurs (direction la partie 5 de ce tutoriel : toute le monde est concerné !).

Quelles sanctions risque-t-on ?

Avant même le RGPD, le droit français prévoyait déjà des sanctions pénales en cas d’infractions portant sur des données personnelles. Certes, dans les faits, celles-ci étaient rarement appliquées, ou par des amendes relativement faibles.

On se rappelle notamment de OUICAR qui n’a écopé que d’un avertissement alors que les données personnelles des utilisateurs de son site sont restées librement accessibles pendant près de trois ans…

Mais le RGPD vient renforcer le système de sanctions déjà mis en place. Et les amendes administratives détaillées dans la législation sont beaucoup plus dissuasives ! Il est prévu qu’elles pourront atteindre 2 % à 4 % du chiffre d’affaires de la personne ou entreprise concernée, et jusqu’à 20 millions d’euros pour les infractions les plus graves.

RGPD guide WordPress

Il y a 99% de chances pour que vous ayez cette tête en lisant cet article.

En tous cas, chez la Marmite, on vous avoue qu’on est un peu dubitatifs quant à l’application concrète du RGPD. N’empêche qu’on ne se risquerait pas trop à aller chercher la CNIL pour lui faire des pieds de nez…

C’est pourquoi nous allons maintenant vous guider pas à pas dans la mise en conformité de votre site face à ces nouvelles obligations.

Que devez-vous changer sur votre site WordPress ?

Comment appliquer le RGPD à WordPress

Allez, c’est parti : penchons-nous sur ce que vous allez devoir revoir sur votre site WordPress.

1. Mettre à jour ses conditions d’utilisation et sa politique de confidentialité

Premier point essentiel du RGPD : la nécessité d’apposer, à même son site web, des mentions d’information claires et transparentes pour les utilisateurs.

Même si cela devait déjà être le cas avant l’arrivée du RGPD, il va quand même vous falloir plancher sérieusement sur deux éléments-clés : la politique de confidentialité de votre site, ainsi que ses conditions générales d’utilisation et de vente (si vous avez une boutique).

1.1 Une politique de confidentialité claire comme de l’eau de source

Voilà un élément à modifier en vue du RGPD, qui va vous demander de bien analyser comment vous traitez vos données utilisateurs.

Votre page de politique de confidentialité, généralement située dans votre pied de page, doit désormais expliquer concrètement ce que vous faites avec ces données.

Faites-y donc apparaître :

  • Vos coordonnées, ainsi que l’éditeur du site, et son hébergeur.
  • Quel type de données vous récoltez lors de l’inscription ou de la commande sur votre site web : noms, prénoms, email, téléphone, adresse postale, adresse IP…
  • Pourquoi vous collectez ces données : communication par newsletters, facturation, suivi du comportement de l’utilisateur sur le site…
  • Combien de temps vous stockez ces données : vous pouvez garder les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
  • Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données. C’est ce qui nous intéressera dans l’étape 5 de cet article.

Ces éléments doivent apparaître dans une page intégrée à votre pied de page.

Note du rédacteur (5 mai 2018) : Dans la version 4.9.6 de WordPress, dont la sortie est prévue le 15 mai, vous pourrez créer votre page de Politique de Confidentialité directement depuis l’onglet « Réglages » de votre interface WordPress. Y seront proposés des paragraphes pré-rédigés, optimisés pour le RGPD : à vous de sélectionner ceux qui concernent votre site.

Votre page de Politique de Confidentialité doit aussi apparaître à chaque moment où vos utilisateurs partageront leurs données (typiquement, dans les formulaires de contact ou de téléchargement). Pour ce faire, rien de plus simple : il vous suffit de rajouter une case à cocher supplémentaire à votre formulaire.

Cette case, très commune sur la plupart des sites, demande à l’utilisateur de confirmer “J’ai lu et accepte la politique de confidentialité de ce site” (en incluant un lien URL vers votre page dédiée).

Note du rédacteur : À chaque fois que vous ajouterez une case à cocher quelque part, celle-ci ne devra pas être pré-cochée !

L’objectif est que l’utilisateur donne à voir un consentement clair, et l’acte de cocher la case compte comme tel.

1.2 Des Conditions Générales d’Utilisation RGPD-friendly

La page de Conditions Générales d’Utilisation de votre site WordPress va devoir également muter face au RGPD. Comme vous le savez déjà sans doute, il s’agit de la page qui indique à vos visiteurs les conditions légales qui vous lient à eux.

Il est recommandé d’y ajouter dès maintenant votre politique de confidentialité toute neuve, avec toutes les directives RGPD que vous y avez incluses.

Si tout cela vous semble un peu capillotracté, souvenez-vous d’une chose : avec le bruit que fait le RGPD dans les médias, de plus en plus de visiteurs connaissent aujourd’hui leurs droits.

Mettre en place ces éléments sur votre site WordPress, c’est avant tout vous éviter des soucis avec eux (signalements à la CNIL et autres menaces…), et installer une aura de confiance.

RGPD WordPress

2. Revoir tous les formulaires de son site WordPress

Les éléments qui vont sans doute être le plus impactés par le RGPD sur le web sont les formulaires. Il s’agit en effet d’un point de contact-clé entre vous et vos visiteurs, où ils partagent avec vous leurs données à caractère personnel.

Et sur un site, il y en a, des formulaires ! Voyons donc voir comment les optimiser pour être conforme à la législation.

Nombreux sont les sites qui mettent en place des formulaires, notamment pour proposer l’inscription à une newsletter ou le téléchargement de documents. Or, à ce point de contact, vos utilisateurs vous partagent des données personnelles : email, prénom, nom a minima.

Les créateurs de sites WordPress gèrent généralement ces formulaires, dits “d’opt-in”, via des plugins comme OptinMonster couplé à un MailChimp ou encore MailPoet (il en existe beaucoup d’autres).

Nous voici ici dans le cas de figure où la mise en conformité de votre site web dépend donc d’une tierce personne, dont nous parlons dans la partie “Faire le point sur ses plugins WordPress”.

Que vous déléguiez cette tâche à un plugin, ou que vous ayez construit vos formulaires vous-même, il vous faut en tous cas vérifier que vous pouvez :

  • Rajouter une case à cocher indiquant que l’utilisateur consent à partager ses données (“J’autorise l’entreprise X à enregistrer mes données”)
  • Spécifier la raison de la récolte des données (“Entrez votre adresse email pour recevoir notre newsletter”)
  • Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment

Voici un bien / pas bien de la future apparence de vos formulaires (si vous avez une newsletter qui peut proposer des offres commerciales) :

Merci à Codeur.com pour ces illustrations

Notez également que vous ne pouvez plus demander à un client de vous laisser des données qui n’ont aucun rapport avec ce pour quoi ils s’inscrivent.

Si vous leur demandez par exemple de s’inscrire à une newsletter, inutile de leur demander leur sexe ou encore leur âge.

Fini le Big Data, passage imminent au Smart Data !

Pour les formulaires de contact, la problématique semble assez similaire. Que vous ayez choisi d’utiliser Contact Form 7, Gravity Forms, tout autre plugin de formulaires de contact, ou bien que vous ayez créé vos formulaires à la main, vous devez y rajouter une case de consentement à cocher.

Placez-la en-dessous ou à côté du bouton “Envoyer”, pour éviter toute méprise, avec une ligne de texte type “En cochant cette case, j’accepte la Politique de confidentialité de ce site”.

Note du rédacteur : La plupart des plugins de formulaires très populaires planchent depuis un moment sur leur conformité au RGPD. N’hésitez pas à consulter leur documentation pour en apprendre plus sur leurs efforts, et choisir celui qui conviendra le mieux à la législation.

Les formulaires, c’est plié : récolte du consentement assurée. Allez hop, on enchaîne.

3. Mettre en conformité les commentaires de WordPress

Les commentaires sont un autre point de contact entre vous et vos visiteurs, où ils vous laissent potentiellement des données. Sur ce point, deux possibilités s’offrent à vous pour être sûr de récolter le consentement de ceux qui souhaitent s’y exprimer.

3.1 N’autoriser la publication de commentaires que lorsque l’utilisateur est connecté à son compte

Dans ce cas, direction les Réglages de WordPress, onglet “Discussions”, où vous cochez alors la case “Un utilisateur doit être enregistré et connecté pour publier des commentaires”.

RGPD gestion des commentaires WordPress

Si la personne est enregistrée, elle a forcément accepté votre politique de confidentialité lors de la création de son compte. Donc inutile de lui redemander.

Note du rédacteur (5 mai 2018) : Dans la version 4.9.6 de WordPress, vous verrez apparaître une case supplémentaire à cocher dans l’espace de commentaires. Le visiteur souhaitant laisser son message pourra la cocher s’il donne son consentement à conserver ses données (nom, prénom, adresse email, site web) pour pré-remplir le formulaire de commentaire lors de ses prochaines connexions au site.

3.2 Ajouter un message-type de consentement “J’ai lu et accepte la politique de confidentialité de ce site” dans l’espace des commentaires.

Pour ce deuxième point, youpi ! On vous a trouvé un plugin tout prêt : WP Comment Policy Checkbox, qui rajoutera une case à cocher près du bouton “Envoyer”, et diffusera un message d’erreur si ce n’est pas fait.

Le plugin n’est pas traduit en Français, mais est assez simple à prendre en main (si vous utilisez Loco Translate, vous pourrez le traduire en un rien de temps).

3.3 Et les plugins de gestion des commentaires alors ?

Vous voilà de nouveau devant la même problématique qu’avant : votre plugin est-il conforme au RGPD ?

Certains des plus performants, comme Jetpack ou Disqus, dont nous vous parlions dans un article il y a déjà longtemps, planchent activement sur le sujet, et s’assurent que tout soit en règle pour le 25 mai. La version 6.0 de Jetpack est d’ailleurs dès à présent disponible, prête à affronter la législation !

Mais justement, comment savoir si un plugin WordPress est conforme aux nouvelles obligations du RGPD ?

4. Faire un point sur ses extensions WordPress

Pour savoir si vos extensions restent dans les clous du RGPD, il va vous falloir mener votre petite enquête personnelle.

Plugins WordPress conformes au RGPD

Oui, ça va prendre un peu de temps…

Commencez par lister toutes vos extensions qui pourraient avoir un rapport avec :

  • La récolte du consentement et des données de vos utilisateurs : plugins de formulaires, de commentaires, de retargeting…
  • L’utilisation de vos données utilisateurs : plugins de personnalisation de contenus, de suivi du comportement des visiteurs, de newsletters, de marketing automatisé, …

Ensuite, cherchez sur les sites officiels de ces plugins ou dans leur documentation ce que font leurs développeurs pour s’aligner avec le RGPD.

Pour la plupart, étant donné que leur site sera en anglais, recherchez GDPR directement sur leur site ou faites une recherche Google de ce type : site:woocommerce.com GDPR

Bon nombre d’entre elles, parmi les plus utilisées, ont déjà lancé des mises à jour pour être réglo. Il vous faudra donc mettre celles-ci à jour dès que possible.

Dans le cas où une extension n’est pas encore apte à respecter le RGPD, il est conseillé de trouver rapidement une alternative pour la remplacer. Pas aisé, on vous le concède… mais absolument nécessaire.

D’ailleurs, faites-nous part des résultats de vos recherches dans la section commentaires afin d’en faire profiter les autres lecteurs (cela leur évitera de faire les mêmes recherches que vous).

Note du rédacteur : Toutes les API que vous avez autorisées (Facebook, Twitter, ou Mailchimp, pour ne prendre que ces exemples célèbres) sont également concernées. Mais évitez de trop vous casser la tête : tant que vous savez quelles API votre site utilise, quelles données elles traitent, et que vous consignez tout ça dans votre registre (voir la partie dédiée à ce point) : pas besoin de les éliminer de votre site WordPress.

5. Mettre en place un processus de sécurité des données ultra béton

Il est plus que jamais de la responsabilité de celui qui détient des données de les bichonner, notamment en les protégeant contre toute faille de sécurité, mais aussi en permettant aux individus d’avoir un droit de regard dessus.

5.1 Créer un process d’effacement ou de modification des données

Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez plus le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser, juste “au cas où”

Google Analytics vient d’ailleurs d’intégrer cela à sa solution, mais rassurez-vous l’historique des visites sera conservé.

Les données marketing, par exemple, peuvent être conservées 3 ans maximum après le dernier contact avec l’individu.

Mais le RGPD prévoit aussi que vous devez informer tout utilisateur, avant qu’il ne vous partage ses données, qu’il est en droit de retirer à tout moment son consentement. Et par-dessus le marché, la législation spécifie que cela doit se faire aisément pour l’utilisateur !

Il va donc vous falloir mettre en place une procédure simple qui permette à vos utilisateurs de :

  • Retirer leur consentement
  • Accéder à leurs données
  • Les modifier
  • Demander à les effacer
  • Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)

Il est ainsi conseillé de créer une page spécifique dédiée à cette procédure sur votre site, contenant un formulaire de demande précis.

Incluez cette page non seulement à votre pied de page, mais à tous les points de contact où vos utilisateurs sont susceptibles de vouloir retirer leur consentement.

Pensez donc à faire de même sur vos newsletters, mais aussi dans vos bandeaux de signalement de cookies, ou encore à vos bannières publicitaires si vous en avez…

Mon conseil : refaites vous-même le parcours utilisateur de votre visiteur, pour détecter tous les moments où il pourrait avoir envie d’exercer son droit de retrait ou d’effacement. Un véritable travail d’orfèvre, qui vous permettra de mettre en place un processus vraiment clair.

RGPD protection des données

Pensez aussi à créer une boîte email spécifique, type protectiondedonnees@votresite.com, qui vous permettra de recevoir toutes les demandes d’exercice du droit des personnes.

Puis, à réception de chaque demande :

  • De retrait de consentement, il vous faudra supprimer ou modifier les données personnelles de l’internaute au plus vite et sur l’ensemble de vos lieux de stockage (y compris dans les fichiers de sauvegarde de votre site WordPress).
  • De portabilité des données, vous devrez exporter toutes les données que vous possédez dans un format lisible par une machine, afin que la personne puisse transmettre ses données à une autre entité sans avoir à les ressaisir. Le format n’étant pas défini, ni la structure, tout est à ce jour possible… (cela dit il y a de grandes chances pour le format CSV soit celui qui soit privilégié).

Bye bye data !

Note du rédacteur (5 mai 2018) : La version 4.9.6 de WordPress vous permettra de récupérer les fichiers contenant les données d’un utilisateur en particulier. Y apparaîtra un nouvel onglet dans le menu « Outils », nommé « Suppression des données personnelles ». Vous pourrez y rechercher un utilisateur via son adresse email, puis télécharger un fichier .zip contenant toutes ses données, ou bien tout simplement supprimer toutes ses données.

Sur WooCommerce 3.4.0 (déjà disponible en version beta.1 à l’heure où nous écrivons), vous pourrez en faire de même. Le plugin vous permettra également d’effacer ou d’anonymiser toutes les anciennes commandes, contenant des données dont vous n’avez plus besoin.

5.2 Se préparer à une éventuelle faille de sécurité

Il vous faudra également vous assurer que vous garantissez efficacement la sécurité des données à caractère personnel de vos internautes.

Voici quelques éléments qu’il vous faudra donc prendre en compte :

  • Il est nécessaire de mettre en place des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la data, pseudonymisation, cryptage… Vos process internes doivent être clairs à ce sujet.
  • Il vous faudra informer la CNIL dans les 72 heures en cas de faille de sécurité. Dans certains cas, il vous faudra même informer l’utilisateur concerné, notamment si la faille est susceptible d’engendrer un risque élevé pour ses droits et libertés.

Bonne nouvelle ! Si vous suivez déjà les points Sécu d’Alex et Julio, vous devriez déjà être prêts à affronter ces problématiques de sécurité 🙂

6. Instaurer un registre interne de traitement des données

Avant le RGPD, toute entreprise traitant des données utilisateurs à caractère personnel devait le signaler par le biais d’un système de déclaration ou d’autorisation.

Dès le 25 mai, cette procédure ne sera plus nécessaire, et sera remplacée par une autre obligation : celle de tenir un registre de traitement des données.

L’idée ? Mettre en place, en interne, une documentation complète qui atteste que vous êtes en conformité avec le RGPD. Une cartographie des données pour montrer patte blanche, en somme.

Pour créer ce document, vous pouvez, si vous agissez en qualité de responsable de traitement, vous inspirer du modèle de registre que la CNIL a diffusé sur son site web. Votre registre devra répondre à trois questions-phares au sujet de votre traitement des données :

  • QUI ? Listez les personnes en interne amenées à traiter des données et le cas échéant, vos sous-traitants en vous assurant qu’ils sont également dans une démarche de mise en conformité au RGPD et en prévoyant de réviser vos contrats ;
  • QUOI ? Cartographier les traitements de données personnelles réalisées par votre structure (type de données collectées, finalités des traitements, preuve des consentements recueillis, informations portées à la connaissance des personnes concernées, etc.) ;
  • COMMENT ? Vérifier comment ces données sont traitées (transfert à l’étranger ou non, hébergement ou non, archivage ou suppression de données, etc.) et quelles mesures de sécurité sont mises en place en interne ;

Ce registre doit être perpétuellement tenu à jour.

Eh oui, ce n’est pas une mince affaire, pour ceux qui manient quotidiennement de la data ! Mais ce sera le rôle de votre Délégué à la Protection des données, de son doux petit nom anglais DPO.

Véritable chef d’orchestre des données personnelles, le DPD aura vocation à remplacer l’actuel Correspondant Informatique et Libertés (CIL), et aura pour mission, notamment de contrôler le respect du RGPD par l’entité et de coopérer avec la CNIL.

Il peut s’agir d’une personne en interne (poste technique, juridique…) ou en externe (avocats, consultants…). Les petites structures peuvent se partager un DPO entre elles.

Les avocats que nous avons interrogé nous ont toutefois mis en garde à propos des conflits d’intérêt en interne. Si vous nommez par exemple le responsable marketing de votre agence, il y a fort à parier que son avis sera biaisé sur l’utilisation des données pour ses newsletters…

Nommez donc un fanatique de data, qui se penchera précisément sur le droit et vos pratiques en matière de données personnelles, et qui tiendra à jour votre registre.

Note du rédacteur : Chers lecteurs, si vous vous n’exploitez pas des données personnelles à grande échelle, félicitations : vous êtes dispensés de cette étape. Créateurs de petits sites e-commerce, de blogs à trafic moyen, ou de sites-vitrines récoltant 50 contacts par mois : pas besoin de vous en préoccuper.

Mise en conformité RGPD

Pfiou, y’a du boulot, hein ? Si vous avez un site e-commerce, restez dans le coin : on vous rajoute quelques éléments à ne pas négliger. Sinon, vous pouvez directement passer à la partie sur les leviers marketing à éradiquer de vos pratiques.

Comment rendre une boutique WooCommerce conforme au RGPD ?

Le RGPD pour WooCommerce

Parce qu’un site-vitrine ou un blog et un site e-commerce ne brassent pas le même types de données, il était essentiel pour nous de vous faire un point spécial sur ce qu’il advient des sites qui utilisent WooCommerce.

Vous découvrirez ici quelques spécificités à ne pas négliger dans votre mise en conformité. Bien sûr, cela ne vous dispense pas de mettre en place tout ce dont vous venons de parler (une boutique en ligne sous WooCommerce reste un site WordPress).

Note du rédacteur : Les équipes de WooCommerce préparent de nouvelles fonctionnalités pour permettre d’exporter les données utilisateurs en cas de demande. L’ami Rémy Corson (qui y travaille) nous a partagé quelques captures d’écran dans son commentaire.

1. Des Conditions Générales de Vente adaptées

Les Conditions Générales de Vente s’apparentent à des Conditions Générales d’Utilisation, à cela près qu’elles supposent un rapport marchand entre l’utilisateur et le site web. Il est absolument obligatoire de les apposer sur une page dédiée, dans le pied de page de votre site WordPress.

Si vous n’avez pas encore cette page, il est grand temps de la créer ! (Sérieusement, vous vendez sans CGV ?!)

Rendez-vous ensuite dans L’onglet “Réglages” de votre plugin WooCommerce, puis dans “Commande”. Dans la partie “Page commande”, vous trouverez un champ “Conditions générales de vente”.

Optimiser la page commande de WooCommerce pour le RGPD

Comme l’indique bien WooCommerce, une fois cette page sélectionnée, une case supplémentaire apparaîtra lorsqu’un utilisateur atterrira sur votre page de commande. Il devra alors cocher cette case pour attester qu’il a bien lu ces Conditions Générales de Vente, et accepte de les suivre.

2. Une page de commande où apparaît votre Politique de Confidentialité

Dans le cas d’un site e-commerce, votre Politique de Confidentialité devra apparaître clairement dans les formulaires de commande. WooCommerce ne permet pas, pour l’heure, d’automatiser cette fonction.

Voici donc comment procéder : il vous encore une fois rajouter la fameuse case à cocher “J’ai lu et j’accepte la politique de confidentialité de ce site”.

Note du rédacteur (28 mai 2018) : Dans la version originale de cet article, la Marmite vous proposait d’intégrer un snippet à votre site pour faire cela. mais bonne nouvelle ! La version 3.4 de WooCommerce ajoute automatiquement les cases à cocher nécessaires pour être dans les clous du RGPD, avec la possibilité de personnaliser le texte à y apposer.

Oui mais comment faire sur WooCommerce ? Le snippet de code suivant, inséré dans le fichier functions.php de votre thème enfant, fera l’affaire :

/* Page de commande RGPD */

add_action( 'woocommerce_review_order_before_submit', 'wpm_woocommerce_rgpd', 10 );
  
function wpm_woocommerce_rgpd() { ?>
 
<p class="form-row terms">
<input type="checkbox" class="input-checkbox" name="rgpd" id="rgpd">
<label for="rgpd" class="checkbox">J’ai lu et j'accepte la <a href="#">politique de confidentialité du site</a></label>
</p>
 
<?php
 
}
 
// Erreur affichée si l’utilisateur ne coche pas la case
  
add_action( 'woocommerce_checkout_process', 'wpm_woocommerce_rgpd_erreur' );
 
function wpm_woocommerce_rgpd_erreur() {
    if ( ! (int) isset( $_POST['rgpd'] ) ) {
        wc_add_notice( __( '<strong>Vous devez accepter la <a href="#">politique de confidentialité du site</a></strong>' ), 'error' );
    }
}

N’oubliez pas de remplacer # par le lien vers votre page de Politique de Confidentialité et tout sera bon.

3. Des formulaires WooCommerce d’inscription nickel

Si WooCommerce permet à un client de ne s’inscrire qu’à la page de commande d’un produit, il est également possible d’activer l’inscription depuis la page “Mon compte”.

Mettre en conformité ses formulaires WooCommerce pour le RGPD

Les manipulations suivantes s’appliquent donc si vous avez coché la case suivante dans l’onglet “Comptes” des réglages du plugin :

Il vous faudra, dès cette page d’inscription, ajouter un texte qui stipule que toute personne qui s’inscrit a pris connaissance et accepte votre politique de confidentialité.

Là encore, il vous faudra utiliser un snippet, qui vous permettra de rajouter quelques lignes à la page d’inscription “Mon compte”, juste en-dessous du bouton “Inscription ».

add_action( 'woocommerce_register_form_start','wpm_add_rgpd_text_up' );
function wpm_add_rgpd_text_up() {
   echo '<h3 class="wpm-titre">Nouveaux clients</h3><p class="wpm-description">En créant un compte, vous acceptez la <a href="#" target="_blank">Politique de confidentialité</a>.</p>';
}

Comme d’habitude, il faut le placer dans le fichier functions.php de votre thème enfant.

Les doigts dans le nez !

Note du rédacteur (5 mai 2018) : Avec la version 3.4.0-beta.1 de WooCommerce, il est désormais possible d’ajouter ce texte de manière simple, sur les pages de « Mon compte » et les pages de commande.

4. Des avis clients en conformité avec la législation

Sur les sites WooCommerce, rien de tel pour accroître la crédibilité de son produit que les avis clients. Le RGPD vient également changer la donne sur ces éléments, qui demandent eux aussi une récolte préalable du consentement de l’utilisateur pour les publier.

Pour vous assurer que vous êtes en règle de ce point de vue, c’est simple : il vous suffit de n’autoriser leur publication que lorsque le visiteur a acheté le produit (et a donc préalablement accepté votre politique de confidentialité, et donné son consentement).

Rendez-vous dans l’onglet “Produits” de votre plugin WooCommerce, et cochez la case “Permettre les avis uniquement aux acheteurs certifiés”.

Avis clients WooCommerce RGPD

Si les acheteurs sont certifiés, c’est qu’ils ont passé commande et ont accepté votre politique de confidentialité. CQFD.

RGPD guide complet WordPress

5. Le souci avec votre plugin d’abandon de panier

Si vous avez un site WooCommerce, il y a fort à parier que vous utilisez un plugin WooCommerce d’abandon de panier, pour rattraper les petits étourdis qui n’auraient pas finalisé leur commande.

Le problème, vous le voyez sans doute venir de loin, maintenant que vous êtes des experts du RGPD : eh oui, encore la récolte du consentement !

Car, lorsqu’un utilisateur abandonne son panier, des plugins comme YITH Recover Abandoned Cart, Jilt ou AutomateWoo collectent quand même des données, et ce sans qu’il ait eu le temps de cocher la case sur les Conditions Générales de Vente. Aïe. Totalement anti-RGPD.

La solution, qui contourne un peu le problème mais le résout temporairement : rajouter un petit texte invitant l’utilisateur à consulter votre Politique de Confidentialité, juste en-dessous du champ où il doit laisser son adresse email.

Pour ce faire, vous reprendrez bien un petit snippet de code, adapté à partir de la documentation (en Anglais) de WooCommerce ?

/* Notification RGPD Abandon de panier */
add_filter( 'woocommerce_checkout_fields' , 'wpm_override_checkout_fields' );

function wpm_override_checkout_fields( $fields ) {
     $fields['order']['billing_email']['label'] = 'Pour en savoir plus sur la manière dont nous traitons vos données à caractère personnel, consultez notre Politique de Confidentialité.';
     return $fields;
}

L’idéal serait tout de même de trouver un plugin d’abandon de panier qui soit totalement conforme au RGPD… Affaire à suivre.

Je vous entends d’ici soupirer : “C’est pas bientôt fini, ces histoires de consentement et de données” !?

Si, si, rassurez-vous : reste à vérifier que vous ne fassiez pas de faux-pas marketing vis-à-vis du RGPD.

Quelles pratiques marketing sont interdites par le RGPD ?

Le Marketing et le RGPD

Dans votre quotidien pour trouver ou convertir des clients, vous maniez de la data, en veux-tu, en voilà.

Vous prospectez pour trouver de nouveaux clients, vous envoyez des emails pour fidéliser ceux qui vous suivent, vous faites du retargeting pour récupérer les visiteurs que vous n’avez pas convertis en contacts…

Bref, vous jonglez avec des données à caractère personnel.

Mais bon nombre de ces pratiques vont désormais passer du côté obscur de la force… tout du moins si vous n’en informez pas au préalable vos utilisateurs, dans votre Politique de Confidentialité.

Voici donc une rapide checklist des leviers marketing pour lesquels vous devez récolter le consentement de vos utilisateurs :

  • L’envoi d’emails (newsletters marketing ou emails de prospection : même combat)
  • Le profilage (soit le suivi des comportements de vos utilisateurs sur votre site web, comme leur historique d’achat ou le temps qu’ils passent sur une page)
  • Le retargeting (soit le fait de re-présenter une publicité à un prospect qui a laissé des cookies sur votre site)

Bon, question profilage et retargeting, la marketeuse que je suis se gratte la tête devant cette obligation de récolte de consentement…

Pour l’heure, l’objectif premier est de montrer sa bonne volonté à la CNIL face au RGPD, malgré le flou artistique qui règne encore autour de ces pratiques. La législation e-Privacy, qui va venir augmenter les directives RGPD à l’horizon 2020, nous en dira sans doute plus, notamment sur l’utilisation des cookies…

Mais sinon, qu’en est-il de vos fidèles visiteurs, qui ont déjà accepté de recevoir vos newsletters ou de s’inscrire à votre forum ? C’est encore une autre paire de manches…

Il est recommandé de leur ré-expliquer leurs droits d’opposition ou de suppression, afin d’être totalement transparent dans votre communication. Contrairement à la façon dont a été interprétée la loi par de nombreuses entreprises, qui ont choisi d’envoyer un email « d’opt-in » dont nos boîtes mails ont été innondées avant le 25 mai, le RGPD ne demande pas de récolter de nouveau le consentement d’utilisateurs déjà présents dans votre base de données… si le fait de leur envoyer des emails de prospection repose sur un « intérêt légitime » de votre part. Pour un peu mieux comprendre le sujet, je vous invite à lire cette tribune, rédigée par Benoît de Nayer, qui pourra éclairer vos lanternes sur ce point emailing/RGPD.

Mon conseil : préparez à vos utilisateurs un bel email, très transparent et surtout bien réfléchi, que vous leur enverrez pour leur expliquer pourquoi vous communiquez avec eux,  ainsi que leurs droits. Finalement, c’est une bonne manière de reconnecter avec votre audience, et de faire preuve de toute la bonne foi qui vous anime face au RGPD.

Interdictions marketing RGPD sur WordPress

Mais non, séchez vos larmes, chers lecteurs. De mon point de vue de webmarketeuse, le RGPD est une belle occasion de repenser sa stratégie marketing, pour laisser plus de liberté aux clients dans les choix qu’ils peuvent faire.

Finis les push mails débilitants, les bannières publicitaires qui ne convertissent pas, et les propositions de produits annexes peu pertinentes. Place à la toute-puissance du SEO et du bon contenu bien ficelé !

Bon, je sens que je vais avoir du mal à vous consoler en quelques lignes seulement. Je vous propose, pour vous changer un peu les idées, de passer à notre partie bonus.

Bonus : La piste de la Marmite pour être en conformité…

Bah oui, c’est vrai ça, on vous donne des conseils, mais que fait-on donc, de notre côté ?

Nous allons être francs. Les outils que nous utilisons aujourd’hui sur le site ne nous permettent pas de respecter intégralement toutes les directives, malgré le fait que nous soyons aussi concernés par la législation.

Par exemple, le plugin OptinMonster qui gère les popups qui vous proposent de vous inscrire à la newsletter ne sont pas encore compatibles. Mais cela devrait être bon pour le 25 mai.

Rassurez-vous, on se creuse la tête pour nous mettre en conformité ! (la rédaction de cet article nous a déjà bien fait cogiter…).

RGPD mise en conformité de la Marmite

La piste la plus intéressante et la plus simple que nous ayons à ce jour trouvée est le plugin GDPR Framework. S’il n’est pas encore traduit en Français, il permet cependant de :

  • Créer automatiquement une page dédiée à l’effacement des données des utilisateurs ;
  • Permettre aux utilisateurs d’exporter automatiquement leurs données, sur simple demande ;
  • Anonymiser ou supprimer automatiquement ces données, à la demande de l’utilisateur concerné ;
  • Ajouter automatiquement des cases à cocher aux formulaires d’opt-in (le plugin n’est pour l’instant compatible qu’avec Contact Form 7, mais les développeurs planchent sur une adaptation à Gravity Forms et Ninja Forms) ;
  • Ajouter automatiquement au footer de son site les pages de politique de confidentialité et de conditions générales d’utilisation.

Après, comprenez bien qu’installer un plugin ne vous mettra pas automatiquement en règle. C’est comme pour Yoast SEO, ce n’est pas parce que vous l’installez que vous serez bien référencé…

Que doit-on penser du RGPD ?

Si le RGPD semble être une nouvelle législation contraignante, j’avais envie de finir cet article sur une tonalité un peu critique, et surtout positive. Restez branchés, vous allez voir qu’il y a du bon dans toute cette pagaille législative !

Les points de vigilance

  • Il va vous falloir rapidement vous mettre en conformité si ce n’est déjà fait. Réviser votre processus d’opt-in sur vos formulaires, créer votre registre, revoir vos éventuels contrats avec vos clients ou sous-traitants… Y’a du boulot !
  • Notons également le côté encore assez peu clair de la législation. Dans le texte du RGPD, il y a de nombreux renvois aux lois nationales de chacun des pays… En France, la loi informatique et libertés est en cours de modification pour y intégrer les dispositions sur le RGPD – le projet de loi est devant le Sénat actuellement). N’oubliez donc pas, si vous traitez les données d’utilisateurs résidant dans d’autres pays de l’UE, de vous renseigner sur l’application de la législation là-bas. Vous pouvez notamment trouver des informations à ce sujet sur le site de CNIL.

Les points positifs

  • Les entreprises, ainsi que les agences et développeurs WordPress, qui adapteront leurs pratiques au RGPD bénéficieront d’une véritable image d’expert, et d’une crédibilité accrue. En mettant en place des Conditions Générales d’Utilisation claires, et en montrant vos efforts à même votre site web, vous créez une véritable relation de confiance avec vos utilisateurs.
  • Le RGPD est également l’occasion de vous pencher un peu plus sur l’expérience que vous proposez à vos utilisateurs sur votre site web, ainsi que sur la sécurité de votre site et des données qu’il récolte.
  • Au-delà de toute considération d’ordre professionnel, on peut être heureux qu’une législation nous permette de reprendre enfin la main sur les données personnelles que nous égrainons sur Internet (nous sommes tous des internautes après tout).

En tous cas, la Marmite se demande bien à quoi va ressembler le web le 25 mai… Va-t-on avoir des formulaires plein de cases à cocher, des bandeaux cookies de 5 mètres de long, des plaintes à la CNIL multipliées par cent ?

On vous avoue qu’on a souri quand on a vu la nouvelle dégaine « RGPD friendly » des formulaires d’inscription aux newsletters MailChimp

Visez-moi un peu ce que ça donne, lorsque l’on applique toutes les directives de la nouvelle législation :

L'implémentation du RGPD par Mailchimp

Quand un formulaire d’optin se transforme en infographie…

Dites-nous donc en commentaire ce que vous inspire cette nouvelle législation, et si vous êtes fin prêts à la mettre en place sur vos sites !