Le guide ultime de WordPress et de la conformité au RGPD

Le RGPD et l’impact qu’il aura sur votre site WordPress vous laissent perplexe ?

Le RGPD, abréviation de Règlement général sur la protection des données, est une loi de l’Union européenne dont vous avez probablement entendu parler. Nous avons reçu des dizaines d’e-mails d’utilisateurs/utilisatrices nous demandant d’expliquer le RGPD en langage clair et de partager des astuces pour rendre votre site WordPress conforme au RGPD.

Dans cet article, nous allons vous expliquer tout ce que vous devez savoir sur le RGPD et WordPress (sans les aspects juridiques complexes).

Pour vous aider à naviguer facilement dans notre guide ultime sur WordPress et la conformité au RGPD, nous avons créé une table des matières ci-dessous :

Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) est une loi de l’Union européenne (UE) qui est entrée en vigueur le 25 mai 2018. L’objectif du RGPD est de donner aux citoyens de l’UE le contrôle de leurs données personnelles et de modifier l’approche de la confidentialité des données des organisations à travers le monde.

Au fil des ans, vous avez probablement reçu des dizaines d’e-mails de la part d’entreprises comme Google au sujet du RGPD, de leurs nouvelles politiques de confidentialité et d’un tas d’autres questions juridiques. En effet, l’Union européenne a prévu de lourdes sanctions pour les personnes qui ne se conforment pas à la réglementation.

Les entreprises qui ne respectent pas les prérequis du RGPD s’exposent à de lourdes amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu). C’est une raison suffisante pour provoquer une panique généralisée parmi les entreprises du monde entier.

Qu’est-ce que le CCPA ?

L’État de Californie a introduit une législation similaire sur la confidentialité le 1er janvier 2020, bien que les amendes potentielles soient beaucoup plus faibles.

La loi californienne sur la confidentialité des consommateurs (CCPA) vise à protéger les informations personnelles des résidents californiens. Elle leur donne le droit de savoir quelles informations personnelles sont collectées à leur sujet, d’en demander la suppression et de refuser la vente de leurs données.

Dans cet article, nous nous concentrerons sur le RGPD, mais bon nombre des étapes que nous énumérons dans cet article vous aideront également à vous mettre en conformité avec le CCPA.

Cela nous amène à la grande question que vous vous posez peut-être :

Le RGPD s’applique-t-il à mon site WordPress ?

La réponse est OUI. Elle s’applique à toutes les entreprises, grandes et petites, dans le monde entier (et pas seulement dans l’Union européenne).

Si votre site WordPress a des internautes en provenance de pays de l’Union européenne, cette loi s’applique à vous.

Mais pas de panique. Ce n’est pas la fin du monde.

Si le RGPD peut monter jusqu’à ces niveaux élevés d’amendes, il commencera par un avertissement, puis un blâme, et enfin une suspension du traitement des données.

Et c’est uniquement si vous continuez à enfreindre la loi que les amendes importantes tomberont.

L’Union européenne n’est pas un gouvernement maléfique qui vous veut du mal. Son objectif est de protéger les consommateurs innocents contre une manipulation imprudente des données qui pourrait entraîner une violation de leur vie privée.

L’amende maximale, à notre avis, est en grande partie pour attirer l’attention des grandes entreprises comme Facebook et Google afin que cette réglementation ne soit PAS ignorée. En outre, cela encourage les entreprises à réellement mettre l’accent sur la protection des droits des personnes.

Une fois que vous aurez compris ce qui est nécessaire en vertu du RGPD et l’esprit de la loi, alors vous réaliserez que rien de tout cela n’est trop fou.

Nous partagerons également des outils et des astuces pour rendre votre site WordPress conforme au RGPD.

Qu’est-ce qui est nécessaire aux propriétaires de sites web en vertu du RGPD ?

L’objectif du RGPD est de protéger les informations d’identification personnelle (IPI) des utilisateurs/utilisatrices et d’obliger les entreprises à respecter des normes plus strictes lorsqu’il s’agit de la manière dont elles collectent, stockent et utilisent ces données.

Ces données personnelles comprennent les noms, les adresses e-mail, les adresses physiques, les adresses IP, les informations sur la santé, les revenus, etc. de vos utilisateurs/utilisatrices.

Alors que le règlement RGPD fait 200 pages, voici les piliers les plus importants à connaître :

Vous devez obtenir un consentement explicite pour collecter des informations personnelles

Si vous collectez des données à caractère personnel auprès d’un résident de l’UE, vous devez obtenir un consentement explicite ou un droit spécifique et sans ambiguïté.

En d’autres termes, vous ne pouvez pas envoyer des e-mails non sollicités à une personne qui vous a donné sa carte de visite ou qui a rempli le formulaire de contact de votre site. Il s’agit là d’un indésirable. Vous devez au contraire permettre à cette personne d’accepter de recevoir votre lettre d’information marketing.

Pour qu’il soit considéré comme un consentement explicite, vous devez exiger un accord positif. La case à cocher ne doit pas être cochée par défaut, doit contenir un libellé clair (pas de jargon juridique) et doit être distincte des autres termes et conditions.

Vos utilisateurs/utilisatrices ont droit à leurs données personnelles

Vous devez informer les individus où, pourquoi et comment leurs données sont traitées et stockées.

Une personne a le droit de télécharger ses données personnelles et le droit d’être oubliée.

Cela signifie qu’ils ont le droit d’exiger que vous supprimiez leurs données à caractère personnel. Lorsqu’un compte clique sur un lien de désinscription ou vous demande de supprimer son profil, vous devez effectivement le faire.

Vous devez notifier rapidement les violations de données

Les auteurs/autrices doivent signaler certains types de violations de données aux autorités compétentes dans les 72 heures, sauf si la violation est considérée comme inoffensive et ne présente aucun risque pour les données individuelles.

Toutefois, si une violation présente un risque élevé, l’entreprise doit également informer immédiatement les personnes concernées.

Cela permettra, espérons-le, d’éviter les dissimulations comme celles de Yahoo qui n’ont été révélées qu’au moment de l’acquisition.

Vous devrez peut-être désigner un délégué à la protection des données

Si vous êtes une entreprise publique ou si vous traitez de gros montants d’informations personnelles, vous devez désigner un délégué à la protection des données.

Cela n’est pas nécessaire pour les petites entreprises. En cas de doute, consultez un avocat.

Résumé en langage clair de ce qui est nécessaire

En clair, le RGPD empêche les entreprises de spammer les gens en leur envoyant des e-mails qu’ils n’ont pas demandés. Les entreprises ne peuvent pas non plus vendre les données des personnes sans leur consentement explicite.

Les entreprises doivent supprimer les comptes des utilisateurs/utilisatrices et les désinscrire des listes d’e-mails lorsque cela leur est demandé. Elles doivent également signaler les violations de données et, d’une manière générale, améliorer la protection des données.

Cela semble plutôt bien, du moins en théorie.

Mais vous vous demandez probablement ce que vous devez faire pour vous assurer que votre site WordPress est conforme au RGPD.

Cela dépend en fait de votre site (nous y reviendrons ultérieurement).

Commençons par répondre à la plus grande question que nous ont posée les utilisateurs/utilisatrices :

WordPress est-il conforme au RGPD ?

Oui, le logiciel cœur de WordPress est conforme au RGPD depuis WordPress 4.9.6, qui a été publié le 17 mai 2018. Plusieurs améliorations liées au RGPD ont été ajoutées pour y parvenir.

Il est important de noter que lorsque nous parlons de WordPress, nous parlons de WordPress.org auto-hébergé. Ce dernier est différent de WordPress.com, et vous pouvez apprendre la différence dans notre guide sur WordPress.com vs. WordPress.org.

Cela dit, en raison de la nature dynamique des sites, aucune plateforme, extension ou solution unique ne peut offrir une conformité RGPD à 100 %. Le processus de conformité au RGPD variera en fonction du type de site que vous avez, des données que vous stockez et de la façon dont vous traitez les données sur votre site.

D’accord, vous vous demandez peut-être ce que cela signifie en termes simples ?

Eh bien, par défaut, WordPress est livré avec les outils d’amélioration du RGPD suivants :

Case à cocher pour le consentement aux commentaires

Avant mai 2018, WordPress stockait par défaut le nom, l’e-mail et le site Web du commentateur sous forme de cookie sur le navigateur de l’utilisateur. Cela permettait aux utilisateurs/utilisatrices de laisser plus facilement des commentaires sur leurs blogs préférés, car ces champs étaient pré-remplis.

En raison de l’obligation de consentement prévue par le RGPD, WordPress a ajouté une case à cocher de consentement au formulaire de commentaire.

Les utilisateurs/utilisatrices peuvent laisser un commentaire sans cocher cette case. Cela signifie simplement qu’il devra saisir manuellement son nom, son e-mail et son site à chaque fois qu’il laissera un commentaire.

Si la case à cocher ne s’affiche toujours pas, il est probable que votre thème surcharge le formulaire de commentaire WordPress par défaut. Voici un guide étape par étape sur la façon d’ajouter une case à cocher de confidentialité des commentaires RGPD dans votre thème WordPress.

Fonctions d’exportation et d’effacement des données personnelles

WordPress offre aux propriétaires de sites les outils dont ils ont besoin pour se conformer aux exigences du RGPD en matière de traitement des données et honorer les demandes d’exportation de données personnelles des utilisateurs ainsi que leur retrait.

Les fonctionnalités de traitement des données se trouvent dans le menu Outils de l’interface d’administration de WordPress. De là, vous pouvez aller à Exporter les données personnelles ou Effacer les données personnelles.

Générateur de politique de confidentialité

WordPress dispose d’un générateur de politique de confidentialité intégré. Il dispose d’un modèle de politique de confidentialité prédéfini et vous offre des conseils sur ce qu’il faut ajouter. Cela vous aide à être plus transparent avec les utilisateurs/utilisatrices en termes de données que vous stockez et comment vous traitez leurs données.

Vous pouvez en savoir plus dans notre guide sur la création d’une politique de confidentialité dans WordPress.

Ces trois fonctionnalités sont suffisantes pour rendre un blog WordPress par défaut conforme au RGPD. Cependant, votre site comportera probablement des zones supplémentaires qui devront également être en conformité.

Zones supplémentaires sur votre site à vérifier pour la conformité au RGPD.

En tant que propriétaire de site, vous utilisez peut-être diverses extensions WordPress qui stockent ou traitent des données, et celles-ci peuvent avoir une incidence sur votre conformité au RGPD. Les exemples les plus courants sont les suivants :

• Formulaires de contact
• Statistiques
• Marketing expéditeur
• Magasins en ligne
• Sites d’adhésion
• Et plus encore

Selon les extensions WordPress que vous utilisez sur votre site web, vous devrez agir en conséquence pour vous assurer que votre site est conforme au RGPD.

Un grand nombre des meilleures extensions WordPress ont ajouté des fonctionnalités d’amélioration du RGPD. Jetons un coup d’œil à quelques-uns des domaines les plus courants que vous devrez prendre en compte.

Google Analytics

Comme la plupart des propriétaires de sites web, vous utilisez probablement Google Analytics pour obtenir des statistiques sur votre site. Cela signifie que vous pourriez collecter ou suivre des données personnelles telles que des adresses IP, des identifiants d’utilisateurs, des cookies et d’autres données pour le profilage du comportement.

Pour être en conformité avec le RGPD, vous devez effectuer l’une des opérations suivantes :

1. Anonymiser les données avant le début du stockage et du traitement.
2. Ajouter une superposition qui donne une notification sur les Cookie et demande aux utilisateurs/utilisatrices leur consentement avant le suivi.

Ces deux points sont assez difficiles à réaliser si vous vous contentez de coller manuellement le code de Google Analytics sur votre site. Cependant, si vous utilisez MonsterInsights, l’extension Google Analytics la plus populaire pour WordPress, vous avez de la chance.

Ils ont publié un module de conformité avec l’UE qui aide à automatiser le processus ci-dessus.

MonsterInsights a également publié un excellent article de blog sur le RGPD et Google Analytics. C’est une lecture indispensable si vous utilisez Google Analytics sur votre site.

Formulaires de contact

Si vous utilisez un formulaire de contact dans WordPress, vous devrez peut-être ajouter des mesures de transparence supplémentaires. Cela est particulièrement vrai si vous stockez les entrées du formulaire ou si vous utilisez les données à des fins de marketing.

Voici quelques éléments à prendre en compte pour rendre vos formulaires WordPress conformes au RGPD :

• Obtenir le consentement explicite des utilisateurs/utilisatrices pour stocker leurs informations.
• Obtenez le consentement explicite des utilisateurs/utilisatrices si vous envisagez d’utiliser leurs données à des fins de marketing par e-mail, par exemple en les ajoutant à votre liste d’e-mails.
• Désactiver les cookies, les agents utilisateurs et le suivi des adresses IP pour les formulaires.
• Respecter les demandes de suppression des données.
• Confirmez que vous avez conclu un accord de traitement des données avec vos fournisseurs de formulaires si vous utilisez une solution de formulaires SaaS.

La bonne nouvelle est que vous n’avez pas besoin d’organiser un accord de traitement des données si vous utilisez une extension WordPress comme WPForms, Gravity Forms ou Ninja Forms.

Ces extensions stockent les entrées de vos formulaires dans votre base de données WordPress, il vous suffit donc d’ajouter une case à cocher de consentement avec une explication claire pour rester conforme au RGPD.

WPForms, l’extension de formulaire de contact que nous utilisons sur WPBeginner, dispose de plusieurs améliorations RGPD pour vous permettre d’ajouter facilement un champ de consentement RGPD, de désactiver les cookies des utilisateurs, de désactiver la collecte d’IP des utilisateurs et de désactiver les entrées en un seul clic.

Vous pouvez consulter notre guide étape par étape sur la création de formulaires conformes au RGPD sur WordPress.

Formulaires d’accord pour le marketing e-mail

Comme pour les formulaires de contact, si vous disposez de formulaires d’opt-in pour le marketing e-mail (fenêtres surgissantes, barres flottantes, formulaires en ligne, etc.), vous devez vous assurer d’obtenir l’accord explicite des utilisateurs/utilisatrices avant de les ajouter à votre liste.

Cela peut se faire de deux manières :

1. Ajout d’une case à cocher que l’utilisateur doit cliquer avant l’accord.
2. Il suffit de Prérequis double-optin à votre liste d’e-mail.

Les meilleures solutions de génération de prospects comme OptinMonster ont ajouté des cases à cocher de consentement RGPD et d’autres fonctionnalités nécessaires pour vous aider à rendre vos formulaires d’opt-in par e-mail conformes.

Vous pouvez en savoir plus sur les stratégies RGPD pour les marketeurs sur le blog d’OptinMonster.

Magasins e-commerce et WooCommerce

Si vous utilisez WooCommerce, l’extension e-commerce la plus populaire pour WordPress, alors vous devez vous assurer que votre site est en conformité avec le RGPD.

Heureusement, l’équipe de WooCommerce a préparé un guide complet pour les propriétaires de magasins afin de les aider à être en conformité avec le RGPD.

Annonces de reciblage

Si votre site utilise des pixels de reciblage ou des publicités de reciblage, vous devrez obtenir le consentement de l’utilisateur.

Vous pouvez le faire en utilisant une extension comme Cookie Notice. Vous trouverez des instructions détaillées dans notre guide sur l’ajout d’une fenêtre surgissante de cookies dans WordPress pour le RGPD/CCPA.

Polices de caractères Google

Les polices Google sont un excellent moyen de personnaliser la typographie de votre site WordPress.

Cependant, les polices de Google ont été trouvées en violation de la réglementation RGPD. En effet, Google connecte l’adresse IP de votre internaute à chaque fois qu’une police est chargée.

Heureusement, il existe quelques façons de gérer cela pour que votre site soit conforme au RGPD. Par exemple, vous pouvez charger vos polices localement, remplacer Google Fonts par une autre option ou les désactiver.

Vous pouvez apprendre comment faire dans notre guide sur la façon de rendre Google Fonts confidentiel.

Les meilleures extensions WordPress pour la mise en conformité avec le RGPD

Il existe plusieurs extensions WordPress qui peuvent vous aider à automatiser certaines parties de la mise en conformité avec le RGPD.

Cependant, aucune extension ne peut offrir une conformité à 100 % en raison de la nature dynamique des sites.

Méfiez-vous de toute extension WordPress qui prétend offrir une conformité RGPD à 100%. Ils ne savent probablement pas de quoi ils parlent, et il est préférable pour vous de les éviter complètement.

Vous trouverez ci-dessous notre liste d’extensions recommandées pour la mise en conformité avec le RGPD :

• Si vous utilisez Google Statistiques, nous vous recommandons alors d’utiliser MonsterInsights et d’activer leur module de conformité à l’UE.
• WPForms est l’extension de formulaire de contact WordPress la plus conviviale et propose des champs RGPD et d’autres fonctionnalités.
• Cookie Notice est un plugin gratuit populaire pour ajouter une notification de cookie de l’UE, et il s’intègre bien avec des extensions de premier plan comme MonsterInsights et d’autres.
• RGPD Cookie Consent vous permet de créer une barre d’alerte sur votre site afin que l’utilisateur puisse décider d’accepter ou de rejeter les cookies et couvre le CCPA ainsi que le RGPD.
• WP Frontend Delete Account est une extension gratuite qui permet aux utilisateurs/utilisatrices de supprimer automatiquement leur profil sur votre site.
• OptinMonster est un logiciel de génération de prospects avancé qui offre des fonctionnalités de ciblage astucieuses pour booster les conversions tout en étant conforme au RGPD.
• PushEngage vous permet d’envoyer des messages push ciblés aux internautes après qu’ils aient quitté votre site et est entièrement conforme au RGPD.
• Smash Balloon vous offre un moyen conforme au RGPD d’intégrer des flux en direct et d’afficher des publications provenant de Facebook, Twitter, Instagram, YouTube, TripAdvisor, et plus encore.
• Au lieu de charger les boutons de partage par défaut avec des cookies de suivi, l’extension Shared Counts charge des boutons de partage statiques tout en affichant le nombre de partages.

Vous trouverez plus d’options dans notre choix d’experts des meilleures extensions WordPress RGPD pour améliorer la conformité.

Nous continuerons à surveiller l’écosystème des extensions pour voir si une autre extension WordPress se démarque et offre des fonctionnalités substantielles de conformité au RGPD.

Réflexions finales

Le RGPD est entré en vigueur depuis mai 2018.

Peut-être avez-vous votre site WordPress depuis un certain temps et travaillez-vous à la mise en conformité avec le RGPD. Ou bien vous venez de vous lancer dans la création d’un nouveau site.

Quoi qu’il en soit, il n’y a pas lieu de paniquer. Il suffit de continuer à travailler pour se mettre en conformité et de le faire le plus rapidement possible.

Vous vous inquiétez peut-être des amendes élevées. Rappelez-vous que le risque d’être condamné à une amende est minime. Le site de l’Union européenne indique que vous recevrez d’abord un avertissement, puis un blâme, et que les amendes constituent la dernière étape si vous ne vous conformez pas à la loi et l’ignorez sciemment.

N’oubliez pas que l’Union européenne n’est pas à vos trousses. Elle agit pour protéger les données des utilisateurs et rétablir la confiance des gens dans les entreprises en ligne.

À l’heure où le monde devient numérique, nous avons besoin de ces normes. Avec les récentes violations de données de grandes entreprises, il est important que ces normes soient adaptées au niveau mondial.

Tout le monde y trouvera son compte. Ces nouvelles règles contribueront à renforcer la confiance des consommateurs et, partant, à favoriser la croissance de votre entreprise.

Nous espérons que ce tutoriel vous a aidé à apprendre comment devenir conforme au RGPD sur votre blog WordPress. Vous pourriez également aimer voir nos guides d’experts sur la façon de rendre votre site conforme au RGPD.

Guides d’experts sur la mise en conformité de votre site WordPress avec le RGPD

• Comment ajouter une case à cocher de confidentialité des commentaires RGPD dans WordPress.
• Comment ajouter une fenêtre surgissante sur les cookies dans WordPress pour le RGPD/CCPA.
• Comment savoir si votre site WordPress utilise des cookies ?
• Comment créer des formulaires conformes au RGPD dans WordPress ?
• Comment rendre les polices de Google plus confidentielles ?
• Comment désactiver Google Fonts sur votre site WordPress
• Comment ajouter une Politique de Confidentialité dans WordPress

Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.

Ressources complémentaires

• L’hystérie du RGPD Partie I et Partie II par Jacques Mattheij
• Infographie sur la protection des données par la Commission européenne
• Principes du RGPD par la Commission européenne
• Le RGPD et MonsterInsights – tout ce qu’il faut savoir sur la conformité au RGPD de Google Analytics.
• Fonctionnalités d’amélioration du RGPD pour WPForms – tout ce que vous devez savoir sur la conformité au RGPD de vos formulaires WordPress.
• WooCommerce et le RGPD – tout ce que vous devez savoir sur la conformité au RGPD de votre boutique en ligne.
• OptinMonster et le RGPD – tout ce que vous devez savoir sur la conformité au RGPD et les formulaires d’opt-in en marketing e-mail.