Le Règlement Général sur la Protection des Données (RGPD) est un texte réglementaire européen entré en application le 25 mai 2018. Il encadre le traitement des données personnelles sur tout le territoire de l’Union européenne.
Quels sites Web sont concernés par le RGPD ?
Un site Web rentre dans le champ d’application du RGPD si les 3 conditions suivantes sont réunies :
- Le site est édité par une organisation (association, entreprise individuelle, société commerciale…).
- Son siège social est en Europe – ou situé hors d’Europe mais l’organisation cible directement les résidents européens à travers son offre de produits ou de services.
- Le site présente un ou plusieurs traitements de données personnelles.
Il y a donc fort à parier que 99% des sites de vos clients sont soumis au RGPD.
Le RGPD et les professionnels du Web
Les professionnels du Web peuvent être concernés doublement par le RGPD :
- Par l’obligation de conseil et de moyens : vous devez livrer à vos clients des sites qui permettent des traitements de données conformes au RGPD.
- Parce que le RGPD encadre les relations de sous-traitance de données personnelles.
1. Livrer des sites WordPress conformes au RGPD
La conformité RGPD d’un site WordPress implique l’inspection de tous les traitements de données personnelles mis en oeuvre sur celui-ci. Ils peuvent être nombreux. Par exemple :
- Le dépôt de cookies provoqué par la navigation (cookies techniques ou fonctionnels), la mesure de l’audience (cookies statistiques), ou des services tiers comme Google, Meta, X… (cookies marketing ou de suivi),
- Le remplissage d’un formulaire de contact,
- L’abonnement à une newsletter,
- La création d’un compte client,
- La finalisation d’une commande en ligne,
- La rédaction d’un commentaire sur votre blog.
Plus vous aurez de traitements de données sur un site WordPress, plus vous aurez de travail pour le mettre en conformité avec le RGPD !
2. La sous-traitance de données personnelles
Que vous soyez agence ou freelance, il faut identifier si vous êtes sous-traitant de données personnelles pour le compte de vos clients, donc pas au sens commercial mais bien au sens du RGPD. Sachez reconnaître les cas de sous-traitance de données personnelles les plus courants :
- Vous hébergez les sites WordPress de vos clients, que ce soit sur votre propre serveur ou via un abonnement avec une société d’hébergement.
- Vous procédez à l’analyse de statistiques d’audience basées sur des données personnelles.
- Vous vous occupez de la maintenance des sites de vos clients.
La sous-traitance implique des obligations RGPD, notamment administratives.
Pourquoi améliorer la conformité RGPD de vos sites WordPress ?
Il est important de soigner la conformité RGPD de vos sites, pour plusieurs raisons :
- C’est obligatoire, depuis l’entrée en application du RGPD le 25 mai 2018.
- Un site conforme au RGPD offre une meilleure protection des données personnelles, un plus grand respect de la vie privée des personnes.
- La non conformité peut entrainer une sanction de la CNIL.
- Enfin, un site Web témoigne de la maturité RGPD de l’entreprise. Un site qui présente de nombreux points de non conformité RGPD, c’est un gros red flag, qui indique qu’au sein de l’entreprise, c’est sûrement pire…
Supprimez les red flags !
En attendant d’améliorer la conformité RGPD de vos sites, évitez absolument les manquements les plus fréquents au RGPD rencontrés en ligne :
- La bannière de consentement aux cookies doit rester accessible lors de la navigation. Le but est de permettre le retrait du consentement à tout moment.
- Portez une grande attention au design de la bannière, dont les options proposées doivent être neutres (ne pas inciter à l’acceptation, ni dans leur couleur, ni dans leur formulation).
- Chaque envoi de newsletter doit proposer un lien de désinscription.
- Présentez les droits des personnes au sein de la politique de confidentialité, et offrez à vos internautes un moyen facile de les exercer.
Ces défauts de conformité courants peuvent entrainer une perte de confiance de la part de vos visiteurs avertis (et les internautes sont de plus en plus nombreux à être avertis).
Adoptez les bonnes pratiques de la conformité RGPD
Avant d’améliorer la conformité RGPD de vos sites WordPress, il faut bien comprendre les grands principes du RGPD :
- Base légale du traitement,
- Finalité du traitement,
- Minimisation de la collecte,
- Durée de conservation des données,
- Obligation de transparence,
- Obligation de sécurité,
- Protection particulière des données sensibles,
- Droits des personnes.
Vous devez vérifier que chaque traitement de données sur vos sites WordPress respecte ces grands principes.
Comment rendre un site WordPress conforme au RGPD ?
Vous ne savez pas par où commencer ? Voici une méthodologie en 5 étapes pour vous guider :
- Mettez en place la sécurité du site WordPress,
- Répertoriez chaque traitement de données,
- Vérifiez la conformité des traitements de données identifiés (c’est-à-dire, vérifiez qu’ils respectent les grands principes du RGPD énoncés dans le paragraphe précédent),
- Inspectez la conformité de vos extensions WordPress,
- Enfin, sachez faire la preuve de votre conformité RGPD (en cas de contrôle).
La conformité RGPD au-delà du site Web
Les obligations RGPD d’une entreprise ne s’arrêtent pas à la conformité de son site Web. En effet, le RGPD concerne beaucoup d’autres aspects d’une entreprise (RH, service commercial, marketing, sécurité des biens et des personnes…).
Vous souhaitez en découvrir davantage sur le RGPD ? Je vous recommande le MOOC de la CNIL : L’Atelier RGPD.
Pour en savoir plus sur la conformité RGPD, vous pouvez consulter le blog WP RGPD.
Questions fréquentes des clients sur la conformité RGPD de leur site Web
C’est bien, mais la seule présence de la bannière est insuffisante.
D’une part, il convient de vérifier que la bannière respecte toutes les bonnes pratiques (neutralité du design, granularité et spécificité du consentement, mentions d’information, accessibilité pendant la navigation…) et de vérifier la bonne configuration de votre CMP (Consent Management Platform).
D’autre part, vos obligations RGPD liées à votre site WordPress vont bien plus loin que la seule présence de la bannière de recueil de consentement.
Peut-être… Pour le savoir, il convient de vérifier si le consentement est bien la base légale la plus appropriée pour votre traitement de données.
En effet, le RGPD prévoit 6 bases légales permettant de rendre un traitement de données licite.
Êtes-vous sûr(e) que le contrat n’est pas une meilleure base légale pour le traitement entrepris via votre formulaire de contact ? Sachez que c’est souvent le cas.
Eh non ! Vous devez recueillir le consentement préalable des abonnés, lequel doit être valablement recueilli (pas de case pré-cochée), et chaque envoi de votre newsletter doit proposer un lien de désinscription.
De plus, sachez que la procédure de désinscription doit être aisée. Vos abonnés ne doivent pas aller farfouiller dans votre politique de confidentialité pour savoir comment s’y prendre.
Pas nécessairement.
Certains éditeurs suppriment tous les traitements de données personnelles de leur site Web. Cette démarche respecte la vie privée des internautes et évite les contraintes de mise en conformité du site. Mais attention : un site débarrassé de tout traitement de données personnelles devient purement consultatif. C’est une situation qui convient rarement à une entreprise !
La mise en conformité RGPD d’un site Web passe par le choix des traitements de données nécessaires (on fonctionne a minima) puis par la mise en conformité de chacun d’entre eux (leur respect des grands principes du RGPD), sans forcément chercher à les supprimer.
Dans la majorité des cas, un site va présenter des points de conformité ainsi que des points de non conformité au RGPD. Sa conformité RGPD est donc souvent perfectible.
Il est important de bien comprendre le RGPD et ses implications sur un site Web, pour pouvoir ensuite apporter au site des améliorations qui vont le faire tendre vers une meilleure conformité RGPD.
Devant la CNIL, c’est le responsable de traitement, incarné par son dirigeant.
Lorsqu’un client vous confie la création de son site, en tant que prestataire, vous avez obligation de l’aider à mettre son site Web en conformité. Vous devez vous assurer que les sous-traitants que vous recommandez (hébergeur, extensions…) sont également conformes.
