RGPD : voilà 4 lettres qui, associées, peuvent donner des boutons aux développeurs de sites web et aux marketeurs, depuis sa mise en application, le 25 mai 2018 !

Eh oui : depuis tout ce temps, le RGPD, acronyme pour Règlement Général pour la Protection des Données, s’est bien installé dans l’esprit des utilisateurs du web ! Vous l’avez peut-être aussi rencontré dans son acception anglaise, GDPR.

Mais si vous possédez un site web et que vous n’avez pas encore entendu parler du RGPD, alors il est temps de vous renseigner sérieusement !

Ça tombe bien : WPMarmite avait rencontré dès 2018 des avocats pour y voir un peu plus clair.

RGPD mise en conformité

Du coup, nous avons pris le parti de vous détailler, pas à pas, les différents points-clés à examiner pour mettre votre site WordPress ou votre boutique WooCommerce en conformité avec cette législation.

Pas de jargon juridique, pas de références à d’obscures parties du Code Civil : que du concret pour les créateurs de sites WordPress et WooCommerce !

Pour rédiger la version initiale de cet article, nous avons fait appel aux conseils du cabinet d’avocats Langlais : merci à eux ! Cependant, il ne s’agit là que d’une source d’informations générales, qui ne peuvent être interprétées comme un véritable conseil juridique. Si vous maniez au quotidien un nombre important de données, nous ne pouvons que vous recommander de faire appel à des professionnels, comme ceux du cabinet Langlais, qui pourront vous accompagner à vous mettre en conformité.

Sur ce, je vous propose de découvrir le sommaire :

Initiez-vous au RGPD en vidéo

Apprenez à concevoir des sites WordPress conformes à toutes les obligations légales avec la formation à distance la plus généreuse du marché (éligible aux financements)

WPChef, la formation WordPress de référence

C’est quoi ça, le RGPD ?

Définition RGPD

Le Règlement Général pour la Protection des Données est une réglementation européenne entrée en application le 25 mai 2018. Votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.

Le but de cette réglementation, qui est venue secouer les pratiques des professionnels et particuliers sur le web : assurer à tout individu le contrôle et la protection des données à caractère personnel qu’il dissémine lors de ses navigations sur la toile.

Qu’est-ce qu’une donnée à caractère personnel ?

Petit point définition : Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu :

  • On peut identifier directement un internaute grâce à son nom, son prénom, mais également son adresse email ou son numéro de téléphone, et tout type de donnée démographique (fonction professionnelle, sexe, âge…) ou géographique (localisation, lieu de travail…).
  • Comptent aussi dans ces données à caractère personnel les informations purement numériques d’un internaute (adresse IP), ou ses data comportementales (actions menées sur un site web, comme les visites ou les clics). Même les données partagées de sa propre initiative, comme la mise en ligne d’une photo ou un like, comptent également dans cette définition.

Ça promet, hein ?

Concrètement, qu’est-ce que la législation inclut ?

Pour être très concret, le RGPD comporte trois volets importants, qu’il s’agit de prendre en compte :

  • L’amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel, le visiteur doit être informé qu’il partage ses données, et savoir explicitement à quelles fins.
  • La traçabilité et la haute sécurité des données des utilisateurs. La législation durcit les lois existantes en matière de failles de sécurité de la data, et rend l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
  • Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.

Autant d’éléments qui influencent la manière de créer et de gérer un site web.

Note : Le cabinet que nous avons consulté a d’ailleurs mis en place un site pour vous aider à y voir plus clair.

Qui est concerné ?

Le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle.

Petit rappel de géographie, l’UE en 2021 correspond à tous les pays en bleu :

Union européenne en 2021

Merci à Pascal Orcier pour cette superbe carte.

Si vous collectez, utilisez ou stockez ce type de données, surprise : vous êtes pile dans la cible de cette législation (et potentiellement dans le viseur de la CNIL) ! Et ce, quels que soient le secteur d’activité ou la taille de votre structure.

À noter que le RGPD s’applique également aux données internes aux entreprises : celles que vous récoltez sur vos employés, dans des fichiers du personnel, par exemple.

Autre point très important : même si votre entreprise ou vous-même êtes basés, ou que vous stockez vos données, en-dehors de l’Union Européenne, le RGPD s’applique à votre activité.

La législation se place en effet du point de vue de l’internaute : si vous traitez des données d’un individu résidant dans l’un des 28 membres de l’UE, vous êtes concerné.

Et les développeurs et agences WordPress, alors ?

Bon nombre de lecteurs de WPMarmite, et notamment les développeurs ou agences WordPress, se diront : “ok, mais moi, je ne fais que traiter les données de seconde main que mes clients récoltent”.

Minute papillon ! Vous êtes également concernés, en tant que sous-traitants. Grosso modo, si le traitement que vous faites des données de vos clients ne rentre pas en conformité avec le GDPR, vous risquez également de vous faire taper sur les doigts.

Et surtout, si vous n’êtes pas conformes au RGPD, vous risquez de voir certains clients refuser de faire affaire avec vous désormais !

Il s’agit donc pour vous de prévoir la manière dont vous abordez cette utilisation des données dans vos contrats clients, actuels et futurs. En recherchant des informations à ce sujet, je suis tombée sur une infographie bien ficelée, dont la seconde partie traite des questions à aborder avec vos clients en tant que prestataire.

Voici quelques éléments à mentionner dans vos contrats, dans une partie spécifique à l’utilisation que vous faites de vos données, pour être dans les clous :

  • Le nom et les coordonnées de votre Délégué à la Protection des Données (DPO) (pas besoin d’en nommer un si vous ne brassez pas une masse de data quotidiennement) ;
  • La méthode que vous utilisez pour récolter, stocker et utiliser vos données ;
  • Vos méthodes de sécurisation des données ;
  • Vos éventuelles relations à d’autres sous-traitants, qui utiliseraient ces mêmes données ;
  • Votre méthode de notification de faille de sécurité, et éventuellement votre processus de rectification ou suppression des données à la demande des utilisateurs (direction la partie 4 de ce tutoriel : tout le monde est concerné !).

Quelles sanctions risque-t-on ?

Avant même le RGPD, le droit français prévoyait déjà des sanctions pénales en cas d’infractions portant sur des données personnelles. Certes, dans les faits, celles-ci étaient rarement appliquées, ou par des amendes relativement faibles.

On se rappelle notamment de OUICAR qui n’a écopé que d’un avertissement alors que les données personnelles des utilisateurs de son site sont restées librement accessibles pendant près de trois ans…

Mais le RGPD est venu renforcer le système de sanctions déjà mis en place. Et les amendes administratives détaillées dans la législation sont beaucoup plus dissuasives ! Il est prévu qu’elles puissent atteindre 2 % à 4 % du chiffre d’affaires de la personne ou entreprise concernée, et jusqu’à 20 millions d’euros pour les infractions les plus graves.

RGPD guide WordPress
Il y a 99% de chances pour que vous ayez cette tête en lisant cet article.

C’est pourquoi nous allons maintenant vous guider pas à pas dans la mise en conformité de votre site face à ces nouvelles obligations.

Que devez-vous prévoir sur votre site WordPress ?

Comment appliquer le RGPD à WordPress

Allez, c’est parti : penchons-nous sur les bonnes pratiques que vous devez appliquer sur votre site WordPress.

1. Disposer d’une politique de confidentialité

Premier point essentiel du RGPD : la nécessité d’apposer, à même son site web, des mentions d’information claires et transparentes pour les utilisateurs.

Il vous faut donc plancher sérieusement sur la politique de confidentialité de votre site et revoir vos conditions générales de vente (si vous avez une boutique).

Votre page de politique de confidentialité, généralement située dans votre pied de page, doit expliquer concrètement ce que vous faites avec ces données.

Faites-y donc apparaître :

  • Vos coordonnées, ainsi que l’éditeur du site, et son hébergeur.
  • Quel type de données vous récoltez lors de l’inscription ou de la commande sur votre site web : nom, prénom, email, téléphone, adresse postale, adresse IP…
  • Pourquoi vous collectez ces données : communication par newsletters, facturation, suivi du comportement de l’utilisateur sur le site…
  • Combien de temps vous stockez ces données : vous pouvez garder les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
  • Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données. C’est ce qui nous intéressera dans l’étape 5 de cet article.

Ces éléments doivent apparaître dans une page intégrée à votre pied de page.

Et bonne nouvelle : depuis la version 4.9.6 de WordPress, vous pouvez créer votre page de Politique de Confidentialité directement depuis l’onglet Réglages > Confidentialité de votre interface WordPress.

Les réglages de WordPress liés au RGPD et à la politique de confidentialité

Même si cette fonctionnalité est pratique, nous vous conseillons tout de même de passer par un professionnel pour la concevoir comme CaptainContrat.

Vous pouvez vous baser sur une page comportant des paragraphes pré-rédigés, ou bien créer votre propre page personnalisée de manière simple.

Attention : votre page de Politique de Confidentialité doit aussi apparaître à chaque moment où vos utilisateurs partageront leurs données (typiquement, dans les formulaires de contact ou de téléchargement), afin de les informer sur l’usage de leurs données.

Mettre en place ces éléments sur votre site WordPress, c’est avant tout vous éviter des soucis avec eux (signalements à la CNIL et autres menaces…), et installer une aura de confiance.

Simplifiez vos tâches juridiques

Captain Contrat vous permet de gérer simplement vos besoins juridiques en ligne et d’avoir accès à un accompagnement complet.

2. Revoir tous les formulaires de son site WordPress

Les éléments qui sont les plus impactés par le RGPD sur le web sont les formulaires. Il s’agit en effet d’un point de contact-clé entre vous et vos visiteurs, où ils partagent avec vous leurs données à caractère personnel.

Et sur un site, il y en a, des formulaires ! Voyons donc voir comment les optimiser pour être conforme à la législation.

Nombreux sont les sites qui mettent en place des formulaires, notamment pour proposer l’inscription à une newsletter ou le téléchargement de documents. Or, à ce point de contact, vos utilisateurs vous partagent des données personnelles : leur email a minima, et pourquoi pas leur prénom et leur nom.

Les créateurs de sites WordPress gèrent généralement ces formulaires, dits “d’opt-in”, via des plugins comme OptinMonster couplé à un MailChimp ou encore MailPoet (il en existe beaucoup d’autres).

Nous voici ici dans le cas de figure où la mise en conformité de votre site web dépend donc d’un tiers, dont nous parlons dans la partie “Faire le point sur ses plugins WordPress”.

Que vous déléguiez cette tâche à un plugin, ou que vous ayez construit vos formulaires vous-même, il vous faut en tous cas vérifier que vous pouvez :

  • Ajouter une mention de transparence indiquant qui est le responsable de traitement ;
  • Spécifier la raison de la récolte des données (par exemple : “Entrez votre adresse email pour recevoir notre newsletter”) ;
  • Préciser les droits associés c’est-à-dire comment accéder à leurs données, mais aussi les rectifier et les effacer à tout moment (donc se désabonner) ;
  • Renvoyer vers la politique de confidentialité pour fournir davantage de précisions sur les diverses modalités.

Concernant les fameuses cases à cocher, il n’est pas indispensable d’en ajouter pour obtenir le consentement des utilisateurs dans le cas où il n’y a qu’une seule raison de collecte (en l’occurrence, recevoir une newsletter).

Par contre, si vous prévoyez de partager ces données à des partenaires et de faire de la prospection, l’utilisateur doit donner son consentement pour chacun de ces usages. Dans ce cas de figure, un formulaire devrait être accompagné de la mention de transparence ainsi que de deux cases à cocher (une par consentement supplémentaire).

Notez également que vous ne pouvez pas demander à un client de vous laisser des données qui n’ont aucun rapport avec ce pour quoi ils s’inscrivent.

Si vous leur demandez par exemple de s’inscrire à une newsletter, inutile de leur demander leur sexe ou encore leur âge.

Fini le Big Data, passage imminent au Smart Data !

Je vous invite donc à faire le point sur l’usage des données que vous comptez récolter et à créer des formulaires avec les bonnes mentions (et les éventuelles cases à cocher si nécessaire)

Les formulaires, c’est plié : récolte du consentement assurée. Allez hop, on enchaîne.

3. Faire un point sur ses extensions WordPress

Pour savoir si vos extensions restent dans les clous du RGPD, il va vous falloir mener votre petite enquête personnelle.

Plugins WordPress conformes au RGPD
Oui, ça va prendre un peu de temps…

Commencez par lister toutes vos extensions qui pourraient avoir un rapport avec :

  • La récolte du consentement et des données de vos utilisateurs : plugins de formulaires, de commentaires, de retargeting, etc.
  • L’utilisation de vos données utilisateurs : plugins de personnalisation de contenus, de suivi du comportement des visiteurs, de newsletters, de marketing automatisé, etc.

Ensuite, cherchez sur les sites officiels de ces plugins ou dans leur documentation ce qu’ont fait leurs développeurs pour s’aligner avec le RGPD.

Pour la plupart, étant donné que leur site sera en anglais, recherchez GDPR directement sur leur site ou faites une recherche Google de ce type : site:woocommerce.com GDPR

Bon nombre d’entre elles, parmi les plus utilisées, se sont bien mises en conformité depuis 2018.

Dans le cas où une extension n’est pas apte à respecter le RGPD, il est conseillé de trouver une alternative pour la remplacer. Pas aisé, on vous le concède… mais absolument nécessaire.

Toutes les API que vous avez autorisées (Facebook, Twitter, ou Mailchimp, pour ne prendre que ces exemples célèbres) sont également concernées. Mais évitez de trop vous casser la tête : tant que vous savez quelles API votre site utilise, quelles données elles traitent, et que vous consignez tout ça dans votre registre (voir la partie dédiée à ce point) : pas besoin de les éliminer de votre site WordPress.

4. Mettre en place un processus de sécurité des données ultra béton

Il est plus que jamais de la responsabilité de celui qui détient des données de les bichonner, notamment en les protégeant contre toute faille de sécurité, mais aussi en permettant aux individus d’avoir un droit de regard dessus.

4.1 Créer un process d’effacement ou de modification des données

Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez pas le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser, juste “au cas où”.

Par exemple, Google Analytics avait rapidement intégré cela à sa solution après la mise en application de la législation, sans pour autant faire perdre l’historique des visites à ses utilisateurs.

Le RGPD vous oblige ainsi à…

  • Conserver 36 mois maximum des contacts inactifs (qui n’ouvrent pas vos e-mails donc) dans votre base de données ;
  • Réafficher au bout de 13 mois le bandeau d’acceptation des cookies pour l’utilisateur.

Mais le RGPD prévoit aussi que vous devez informer tout utilisateur, avant qu’il ne vous partage ses données, qu’il est en droit de retirer à tout moment son consentement. Et par-dessus le marché, la législation spécifie que cela doit se faire aisément pour l’utilisateur !

Il va donc vous falloir mettre en place une procédure simple qui permettra à vos utilisateurs de :

  • Retirer leur consentement
  • Accéder à leurs données
  • Les modifier
  • Demander à les effacer
  • Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)

Vous pourriez créer une page spécifique dédiée à cette procédure sur votre site, contenant un formulaire de demande précis. Mais votre formulaire de contact est tout à fait convenable (vous n’allez pas recevoir ce genre de demande tous les jours après tout).

Pensez donc à faire de même sur vos newsletters (normalement, un lien de désinscription est présent).

Mon conseil : refaites vous-même le parcours utilisateur de votre visiteur, pour détecter tous les moments où il pourrait avoir envie d’exercer son droit de retrait ou d’effacement. Un véritable travail d’orfèvre, qui vous permettra de mettre en place un processus vraiment clair.

RGPD protection des données

En cas de réception d’une demande d’effacement, rendez-vous dans l’onglet Outils > Effacer les données de votre administration.

Effacer les données d'un utilisateur sur demande pour être conforme au RGPD sur WordPress

Vous pourrez ensuite effacer manuellement les données de l’utilisateur qui vous l’aura demandé, en rentrant son adresse e-mail.

On vous a demandé d’avoir accès à toutes les données personnelles laissées sur votre site ? Facile : rendez-vous dans Outils > Exporter les données, et procédez de la même manière. Vous pouvez ensuite envoyer un fichier .zip contenant toutes les données de l’utilisateur en question.

Bye bye data !

Envie de laisser vos utilisateurs gérer de manière autonome l’effacement ou la modification de leurs données ? Mettez en place le plugin GDPR Data Request Form. Simple et efficace !

4.2 Se préparer à une éventuelle faille de sécurité

Il vous faut également vous assurer que vous garantissez efficacement la sécurité des données à caractère personnel de vos internautes.

Voici quelques éléments qu’il vous faut donc prendre en compte :

  • Il est nécessaire de mettre en place des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la données, pseudonymisation… Vos process internes doivent être clairs à ce sujet.
  • Il vous faut informer la CNIL dans les 72 heures en cas de faille de sécurité. Dans certains cas, il vous faut même informer l’utilisateur concerné, notamment si la faille est susceptible d’engendrer un risque élevé pour ses droits et libertés.

Bonne nouvelle ! Si vous suivez déjà les points Sécu d’Alex et Julio, vous devriez déjà être prêts à affronter ces problématiques de sécurité 🙂

5. Instaurer un registre interne de traitement des données

Avant le RGPD, toute entreprise traitant des données utilisateurs à caractère personnel devait le signaler par le biais d’un système de déclaration ou d’autorisation.

Depuis le 25 mai 2018, cette procédure n’est plus nécessaire, et est remplacée par une autre obligation : celle de tenir un registre de traitement des données.

L’idée ? Mettre en place, en interne, une documentation complète qui atteste que vous êtes en conformité avec le RGPD. Une cartographie des données pour montrer patte blanche, en somme.

Pour créer ce document, vous pouvez, si vous agissez en qualité de responsable de traitement, vous inspirer du modèle de registre que la CNIL a diffusé sur son site web. Votre registre doit répondre à trois questions-phares au sujet de votre traitement des données :

  • QUI ? Listez les personnes en interne amenées à traiter des données et le cas échéant, vos sous-traitants en vous assurant qu’ils sont également dans une démarche de mise en conformité au RGPD et en prévoyant de réviser vos contrats ;
  • QUOI ? Cartographiez les traitements de données personnelles réalisées par votre structure (type de données collectées, finalités des traitements, preuve des consentements recueillis, informations portées à la connaissance des personnes concernées, etc.) ;
  • COMMENT ? Vérifiez comment ces données sont traitées (transfert à l’étranger ou non, hébergement ou non, archivage ou suppression de données, etc.) et quelles mesures de sécurité sont mises en place en interne.

Ce registre doit être perpétuellement tenu à jour.

Eh oui, ce n’est pas une mince affaire, pour ceux qui manient quotidiennement de la donnée ! Mais c’est le rôle de votre Délégué à la Protection des données, de son doux petit nom anglais DPO.

Véritable chef d’orchestre des données personnelles, le DPO a vocation à remplacer l’ancien Correspondant Informatique et Libertés (CIL), et a pour mission, notamment de contrôler le respect du RGPD par l’entité et de coopérer avec la CNIL.

Il peut s’agir d’une personne en interne (poste technique, juridique…) ou en externe (avocats, consultants…). Les petites structures peuvent se partager un DPO entre elles.

Les avocats que nous avons interrogés nous ont toutefois mis en garde à propos des conflits d’intérêt en interne. Si vous nommez par exemple le responsable marketing de votre agence, il y a fort à parier que son avis sera biaisé sur l’utilisation des données pour ses newsletters…

Nommez donc un fanatique de data, qui se penchera précisément sur le droit et vos pratiques en matière de données personnelles, et qui tiendra à jour votre registre.

Mise en conformité RGPD

Pfiou, y’a du boulot, hein ? Si vous avez un site e-commerce, restez dans le coin : on vous rajoute quelques éléments à ne pas négliger. Sinon, vous pouvez directement passer à la partie sur les leviers marketing à éradiquer de vos pratiques.

Accélérez votre site internet avec WP Rocket

Transformez votre site en fusée grâce au plugin de cache reconnu le plus performant par les experts WordPress.

Logo WP Rocket

Comment rendre une boutique WooCommerce conforme au RGPD ?

Le RGPD pour WooCommerce

Parce qu’un site-vitrine ou un blog et un site e-commerce ne brassent pas le même type de données, il est essentiel de faire un point spécial sur ce qu’il advient des sites qui utilisent WooCommerce.

Vous découvrirez ici quelques spécificités à ne pas négliger dans votre mise en conformité. Bien sûr, cela ne vous dispense pas de mettre en place tout ce dont nous venons de parler (une boutique en ligne sous WooCommerce reste un site WordPress).

1. Des Conditions Générales de Vente adaptées

Les Conditions Générales de Vente s’apparentent à des Conditions Générales d’Utilisation, à cela près qu’elles supposent un rapport marchand entre l’utilisateur et le site web. Il est absolument obligatoire de les apposer sur une page dédiée, dans le pied de page de votre site WordPress.

Si vous n’avez pas encore cette page, il est grand temps de la créer ! (Sérieusement, vous vendez sans CGV ?!)

Rendez-vous ensuite dans L’onglet “Réglages” de votre plugin WooCommerce, puis dans “Commande”. Dans la partie “Page commande”, vous trouverez un champ “Conditions générales de vente”.

Optimiser la page commande de WooCommerce pour le RGPD

Comme l’indique bien WooCommerce, une fois cette page sélectionnée, une case supplémentaire apparaîtra lorsqu’un utilisateur atterrira sur votre page de commande. Il devra alors cocher cette case pour attester qu’il a bien lu ces Conditions Générales de Vente, et accepte de les suivre.

2. Une page de commande où apparaît votre Politique de Confidentialité

Dans le cas d’un site e-commerce, votre Politique de Confidentialité doit apparaître clairement dans les formulaires de commande.

Depuis la version 3.4 de WooCommerce, vous pouvez ajouter automatiquement la mention de transparence nécessaire pour être dans les clous du RGPD, avec la possibilité de personnaliser le texte à y apposer.

Tout se passe dans l’onglet Réglages > Comptes et Confidentialité du plugin.

Politique de confidentialité adaptée au RGPD sur WooCommerce

3. Des formulaires WooCommerce d’inscription nickel

Vous le savez sans doute : dans les réglages de WooCommerce, il existe plusieurs moyens pour l’utilisateur de vous partager (ou non) ses données. Il peut…

  • Créer un compte au cours de la validation de la commande
  • Créer un compte depuis la page “Mon compte”
  • Ne pas créer de compte pour commander sur votre site

Mais qu’en est-il côté RGPD ?

C’est simple : que votre visiteur créé un compte ou non, il devra entrer des informations liées à sa commande (adresse de livraison, nom et prénom…) ainsi que son adresse email pour lui permettre de suivre sa commande.
Or, si vous avez bien suivi jusque-là, vous savez qu’il s’agit bien de données personnelles !

Là encore, quels que soient les réglages que vous choisissez, il faudra donc assortir vos formulaires WooCommerce d’une mention de transparence menant vers votre politique de confidentialité.

4. Des avis clients en conformité avec la législation

Sur les sites WooCommerce, rien de tel pour accroître la crédibilité de son produit que les avis clients. Le RGPD vient également changer la donne sur ces éléments, qui demandent eux aussi une récolte préalable du consentement de l’utilisateur pour les publier.

Pour vous assurer que vous êtes en règle de ce point de vue, c’est simple : il vous suffit de n’autoriser leur publication que lorsque le visiteur a acheté le produit (et a donc préalablement accepté votre politique de confidentialité, et donné son consentement).

Rendez-vous dans l’onglet “Produits” de votre plugin WooCommerce, et cochez la case “Permettre les avis uniquement aux acheteurs certifiés”.

Avis clients WooCommerce RGPD

Si les acheteurs sont certifiés, c’est qu’ils ont passé commande et ont accepté votre politique de confidentialité. CQFD.

RGPD guide complet WordPress

5. Le souci avec votre plugin d’abandon de panier

Si vous avez un site WooCommerce, il y a fort à parier que vous utilisez un plugin WooCommerce d’abandon de panier, pour rattraper les petits étourdis qui n’auraient pas finalisé leur commande.

Le problème, vous le voyez sans doute venir de loin, maintenant que vous êtes des experts du RGPD : eh oui, encore la récolte du consentement !

Car, lorsqu’un utilisateur abandonne son panier, des plugins comme YITH Recover Abandoned Cart, Jilt ou AutomateWoo collectent quand même des données, et ce sans qu’il ait eu le temps de cocher la case sur les Conditions Générales de Vente. Aïe. Totalement anti-RGPD.

La solution, qui contourne un peu le problème mais le résout temporairement : rajouter un petit texte invitant l’utilisateur à consulter votre Politique de Confidentialité, juste en-dessous du champ où il doit laisser son adresse email.

Pour ce faire, vous reprendrez bien un petit snippet de code, adapté à partir de la documentation (en Anglais) de WooCommerce.

/* Notification RGPD Abandon de panier */
add_filter( 'woocommerce_checkout_fields' , 'wpm_override_checkout_fields' );

function wpm_override_checkout_fields( $fields ) {
     $fields['order']['billing_email']['label'] = 'Pour en savoir plus sur la manière dont nous traitons vos données à caractère personnel, consultez notre Politique de Confidentialité.';
     return $fields;
}

L’extension d’abandon de panier Jilt fait partie des bons élèves dans sa catégorie en ajoutant un message de transparence et un lien pour s’opposer à cette pratique.

L’exemple de Jilt sur le site de WP Rocket
L’exemple de Jilt sur le site de WP Rocket

6. Et pour l’effacement et la modification des données sur WooCommerce ?

Si vos clients vous demandent de supprimer ou d’avoir accès aux données personnelles qu’ils vous ont transmises par le passé, comment procéder ?

Là encore, WooCommerce pense à tout pour vous, dans l’onglet Réglages > Comptes & Confidentialité. Vous y trouverez deux cases à cocher :

Effacer les données des utilisateurs sur WooCommerce

Celles-ci ajouteront aux réglages des comptes de vos utilisateurs les options liées à la suppression et la mobilité de leurs données, pour une boutique totalement en accord avec la législation.

Dès qu’une demande est faite, le plugin se charge de procéder aux manipulations demandées automatiquement. Les doigts dans le nez !

Je vous entends d’ici soupirer : “C’est pas bientôt fini, ces histoires de consentement et de données” !?

Si, si, rassurez-vous : reste à vérifier que vous ne fassiez pas de faux-pas marketing vis-à-vis du RGPD.

Quelles pratiques marketing sont interdites par le RGPD ?

Le Marketing et le RGPD

Dans votre quotidien pour trouver ou convertir des clients, vous maniez de la data, en veux-tu, en voilà.

Vous prospectez pour trouver de nouveaux clients, vous envoyez des emails pour fidéliser ceux qui vous suivent, vous faites du retargeting (reciblage) pour récupérer les visiteurs que vous n’avez pas convertis…

Bref, vous jonglez avec des données à caractère personnel.

Mais bon nombre de ces pratiques sont désormais passées du côté obscur de la force… tout du moins si vous n’en informez pas au préalable vos utilisateurs, dans votre Politique de Confidentialité.

Voici donc une rapide checklist des leviers marketing pour lesquels vous devez récolter le consentement de vos utilisateurs :

  • L’envoi d’emails (newsletters marketing ou emails de prospection : même combat)
  • Le profilage (soit le suivi des comportements de vos utilisateurs sur votre site web, comme leur historique d’achat ou le temps qu’ils passent sur une page)
  • Le reciblage (soit le fait de re-présenter une publicité à un prospect)

Bon, question profilage et retargeting, la marketeuse que je suis se gratte la tête devant cette obligation de récolte de consentement…

Pour l’heure, l’objectif premier est de montrer sa bonne volonté à la CNIL face au RGPD, malgré le flou artistique qui règne toujours autour de ces pratiques. La législation e-Privacy (qui devait venir augmenter les directives RGPD à l’horizon 2021, mais dont la date de mise en application a été décalée), nous en dira sans doute plus, notamment sur l’utilisation des cookies…

Interdictions marketing RGPD sur WordPress

Mais non, séchez vos larmes, chers lecteurs. De mon point de vue de webmarketeuse, le RGPD est une belle occasion de repenser sa stratégie marketing, pour laisser plus de liberté aux clients dans les choix qu’ils peuvent faire.

Finis les push mails débilitants, les bannières publicitaires qui ne convertissent pas, et les propositions de produits annexes peu pertinentes. Place à la toute-puissance du SEO et du bon contenu bien ficelé !

Besoin d’un hébergeur pour votre site ?

Faites comme WPMarmite, choisissez o2switch. Non seulement les performances sont au rendez-vous mais le support est exceptionnel.

Que doit-on penser du RGPD ?

Si le RGPD semble être une législation contraignante, j’avais envie de finir cet article sur une tonalité un peu critique, et surtout positive. Restez branchés, vous allez voir qu’il y a du bon dans toute cette pagaille législative !

Les points de vigilance

  • Notons le côté assez peu limpide de la législation. Dans le texte du RGPD, il y a de nombreux renvois aux lois nationales de chacun des pays… En France, la loi informatique et libertés a été revue courant 2019 pour intégrer les dispositions sur le RGPD : il vous faut donc lire le texte européen sur le RGPD en association avec le texte de loi national français. Pas évident, n’est-ce pas ? N’oubliez donc pas, si vous traitez les données d’utilisateurs résidant dans d’autres pays de l’UE, de vous renseigner sur l’application de la législation là-bas. Vous pouvez notamment trouver des informations à ce sujet sur le site de CNIL.

Les points positifs

  • Les entreprises, ainsi que les agences et développeurs WordPress, qui adaptent leurs pratiques au RGPD bénéficient désormais d’une véritable image d’expert, et d’une crédibilité accrue. En mettant en place des Conditions Générales d’Utilisation claires, et en montrant vos efforts à même votre site web, vous créez une véritable relation de confiance avec vos utilisateurs.
  • Le RGPD a également été l’occasion de vous pencher un peu plus sur l’expérience que vous proposez à vos utilisateurs sur votre site web, ainsi que sur la sécurité de votre site et des données qu’il récolte.
  • Au-delà de toute considération d’ordre professionnel, on peut être heureux qu’une législation nous permette de reprendre enfin la main sur les données personnelles que nous égrainons sur Internet (nous sommes tous des internautes après tout).

L’astuce finale : La CNIL a développé un MOOC (formation en ligne) qui permet de vous initier au RGPD et débuter ainsi la mise en conformité de votre site. C’est par ici que ça se passe, si ça vous intéresse !

Dites-nous donc en commentaire ce que vous inspire cette législation, et si vous avez trouvé de bonnes pratiques pour rester dans les clous du RGPD !