De nombreux changements sont survenus sur WordPress ces dernières années, et pas des moindres : le règlement général sur la protection des données (RGPD) que l’Union européenne a mis en place le 25 mai 2018.
Le RGPD dit que les utilisateurs doivent avoir un contrôle total sur leurs données, et que vous devez leur dire pourquoi vous en avez besoin. À ce moment-là, ils peuvent donner le feu vert ou non. Cependant, c’est un peu plus compliqué que cela.
WordPress et le RGPD
Puisque WordPress représente plus de 30 % des sites internet, il y a beaucoup de nettoyage à faire.
Les données circulent entre les sites et les utilisateurs, et le RGPD stipule que c’est à vous de gérer vos sites suffisamment bien pour que les utilisateurs puissent avoir accès à leurs données personnelles.
Même s’il s’agit d’un règlement adopté par l’UE, il concerne pratiquement le monde entier.
En effet, si vous collectez un bit ou un octet de données d’une personne dans l’UE (indépendamment de votre propre localisation), vous êtes soumis à cette loi car vous disposez alors d’informations appartenant à un citoyen de l’UE.
Et s’il s’avère que vous n’avez pas respecté la loi, vous pouvez être condamné à une amende pouvant atteindre 20 millions d’euros.
C’est effrayant pour beaucoup de gens. Mais ce n’est pas une fatalité.
La bonne nouvelle, c’est qu’une équipe dédiée de contributeurs de WordPress a travaillé à rendre le code conforme au RGPD.
Ils ont mis en place un site Web où vous pouvez voir ce que vous devez faire pour vous mettre en conformité. Voici la répartition des responsabilités qui vous incombent :
- Expliquer qui vous êtes, combien de temps vous conservez les données, pourquoi vous en avez besoin et qui, dans votre équipe ou à l’extérieur, y a accès.
- Obtenir un consentement explicite et clair pour collecter des données par le biais d’un bouton “Accepter ».
- Donner aux utilisateurs l’accès à leurs propres données, la possibilité de les télécharger et de les supprimer complètement de vos dossiers.
- En cas de piratage ou de violation de la sécurité, informez vos utilisateurs.
Tout cela étant dit, vous devez savoir ce que vous devez faire pour vous conformer au GDPR. Voici donc quelques mesures spécifiques et réalisables que vous pouvez prendre pour assurer votre sécurité (et celle des données de vos utilisateurs).
L’accord RGPD
L’aspect le plus important de tout ceci est l’accord des règles RGPD.
Permettez-moi d’être clair sur ce point. Vous devez obtenir leur consentement clair pour traiter les données! Cela signifie que les utilisateurs doivent explicitement dire oui, et pas seulement avoir la possibilité de dire non.
Voici un exemple : vous avez une entreprise de vente en ligne, et vous utilisez peut-être WooCommerce. Lorsque les utilisateurs arrivent sur votre page de paiement, vous avez une case à cocher qui dit : » Oui, je veux m’inscrire à votre incroyable liste d’adresses électroniques ! »
Les visiteurs doivent dire explicitement qu’ils choisissent de partager leurs informations avec vous.
Il en va de même pour les sections de commentaires qui inscrivent automatiquement les personnes concernées au fil des commentaires, ou pour tout autre type de contact automatisé qui n’est pas directement initié par l’utilisateur.
Mais votre objectif n°1 est de ne rien prendre par défaut. Et honnêtement, prenez le moins de données possible lorsque vous obtenez une permission explicite.
Demandez le strict minimum d’informations
De nombreux sites web, formulaires, plugins et boutique demandent des informations dont ils n’ont pas vraiment besoin.
En général, une bonne règle de base est de demander le moins d’informations possible à vos utilisateurs.
Si vous n’avez pas besoin de leurs noms, ne le prenez pas. Ou peut-être seulement de leurs prénoms. Parfois, il suffit de leur adresse électronique pour que votre travail soit terminé.
Cela ne veut pas dire que vous ne pouvez pas demander d’autres informations. Le RGPD stipule simplement que vous devez dire aux gens pourquoi vous en avez besoin.
Si vous demandez leurs noms et leurs prénoms, dites-leur pourquoi. Si vous demandez leur date d’anniversaire, précisez que vous envoyez des coupons comme cadeaux d’anniversaire par exemple.
Grâce au RGPD, il n’est plus possible de demander des informations « au cas où » ou « pour des projets futurs et indéterminés ».
En outre, lorsque vous demandez des informations, l’UE stipule que vous devez divulguer « qui vous êtes, combien de temps seront stockées les données et qui les reçoit. »
En d’autres termes, votre formulaire de contact, votre formulaire d’inscription, vos pages de paiement, tout ce que les utilisateurs peuvent vous donner comme informations doit clairement vous identifier et identifier les vôtres.
Vos conditions générales de vente et votre politique de confidentialité
Comme pour les autres parties des clauses de conservation des informations du RGPD, vous pouvez inclure les détails sur le pourquoi, le comment et le qui des données dans vos conditions d’utilisation ou votre politique de confidentialité.
Et c’est une bonne idée de le faire, car cela fait partie de l’option de participation explicite au RGPD.
L’étape à suivre ici est double :
Premièrement, assurez-vous que vos conditions d’utilisation et votre politique de confidentialité sont elles-mêmes conformes au RGPD.
Ensuite, créez des champs obligatoires explicites sur chaque formulaire indiquant l’acceptation des deux documents avant de traiter quoi que ce soit.
Les cases à cocher sont bien, mais les champs de texte où les utilisateurs peuvent taper « J’accepte » sont encore mieux (mais sont vraiment odieux).
Je vous suggère d’ajouter un paragraphe dans vos conditions d’utilisation concernant l’acceptation de la politique de confidentialité en tant que condition et de créer un lien vers celle-ci directement à partir des conditions d’utilisation.
Ensuite, dans la politique de confidentialité, ajoutez un paragraphe discutant de son rôle dans les conditions d’utilisation, ainsi que de la manière exacte dont votre site gère les données en conformité avec le GDPR.
Plus précisément, vous devrez fournir des instructions détaillées dans votre politique de confidentialité expliquant chacun des points suivants .
- Comment accéder et télécharger un enregistrement complet de toutes les données que vous avez sur eux.
- Le processus par lequel les utilisateurs peuvent supprimer complètement leurs données de vos dossiers (et non pas simplement se désabonner, etc.) dans le cadre des lois sur le « droit à l’oubli » adoptées précédemment dans l’UE.
- La manière exacte dont vous informez les utilisateurs des violations de données, le cas échéant.
- Des explications détaillées sur votre identité, l’usage que vous faites des données, les personnes qui y ont accès et la durée de conservation des données.
Il est aujourd’hui plus important que jamais de mettre en place une politique de confidentialité. C’était déjà le cas auparavant, car Google voulait que vous en ayez une. Cette importance vient de monter en flèche.
Cela semble beaucoup, non?
Et c’est le cas. Heureusement, vous utilisez probablement WordPress. Grâce à notre fantastique communauté, les développeurs ont travaillé d’arrache-pied sur de nombreux moyens de faciliter l’acceptation et la conformité au RGPD.
Fondamentalement, pour rendre votre site conforme au RGPD, il faut s’assurer que vous êtes transparent avec les gens. Faites-leur savoir ce que vous faites, ne demandez pas d’informations superflues et laissez-les choisir de vous les donner plutôt que de vous les demander par défaut.
Quelles mesures avez-vous prises jusqu’à présent pour vous conformer au GDPR ? Si vous avez des conseils à partager dans les commentaires, nous vous en remercions !
0 commentaires