/ Conseils en réglementation et RGPD / Par

article mis à jour en janvier 2023

banniere categorie seo scaled

RGPD et WordPress : des extensions pour vous aider

RGPD et WordPress : des extensions pour vous aider à mettre votre site web en conformité avec la loi sur la protection des données personnelles

Rappel : « RGPD » signifie Règlement Général pour la Protection des Données. Cette réglementation est en vigueur depuis mai 2018. Son objectif est de permettre à chaque internaute de contrôler et de protéger ses données à caractère personnel.

Voici une sélection d’extensions qui vous aideront à mettre votre site internet en conformité avec la nouvelle loi sur le traitement des données personnelles.

WP Forms et Ninja Form pour la conformité RGPD des consentements et du stockage des données de vos formulaires de contact et d’inscription

RGPD case à cocher consentement formulaire

Ces 2 extensions pour la création de formulaire avec version gratuit et premium, très populaires et faciles à installer, permettent de créer des formulaire web et de stocker des données, le tout en conformité RGPD. WP Forms et Ninja Forms permettent de créer des cases à cocher (nommées Acceptance Checkbox) pour recueillir le consentement (obligatoire) des internautes et stockent de manière native les preuves de consentement.

Pensez à supprimer les données personnelles de vos contact de façon régulière, pour être totalement conforme au RGPD :

Pour les formulaires de contact en provenance de prospects, une durée de conservation maximale de 13 mois est à respecter.

Le délai de conservation dépend de la finalité de la demande de contact initiale et de sa suite (prospect, client, candidat…) : pour savoir quelles sont les délais exacts il convient de se reporter au directives de la CNIL.

GDPR data request form

Cette extension permet aux internautes de faire une demande d’exportation ou de suppression de leurs données personnelles sous forme de formulaire de demande, par exemple, au niveau de votre page de politique de confidentialité. Le formulaire s’intègre par l’intermédiaire d’un widget ou d’un shortcode. Mais vous pouvez, bien entendu, mettre en place un formulaire avec votre extension habituelle.

Tarteaucitron.js pour la conformité des cookies

cookies et traceurs internet - dernières recommandations de la CNIL

Tarteaucitron.js est un programme informatique permettant d’afficher un bandeau d’acceptation ou de refus des cookies. Cette extension, préconisé par la CNIL permet aux internautes de personnaliser leurs consentements à tout moment et de manière ciblée. Une version open source gratuite de Tarteaucitron est disponible. Toutefois l’extension vous permettant de gérer son installation sur votre site est facturé 15 € par mois.

NB. Avant d’installer un bandeau pour les cookies sur votre site internet, pensez à vérifier si vous y êtes légalement obligé. En effet, à la suite des travaux de mise en conformité RGPD des géants de l’internet, de nombreux sites web n’ont désormais plus besoin du bandeau d’information de l’existence de cookies. Cependant, si vous pratiquez le retargeting publicitaire, le bandeau reste obligatoire.

Cookiebot en alternative simple et gratuite à Tarteaucitron.js

Une alternative simple et gratuite à Tarteaucitron.js : Cookiebot

L’extension pour la gestion des cookies Cookiebot fait également parti des recommandations de la CNIL, et cette dernière est parfaitement conforme au RGPD. Totalement gratuite pour les sites internet de moins de 100 pages elle s’installe très facilement.

Je vous conseille de bien lire la documentation de l’extension (compatible site vitrine ou e-commerce) avant de vous lancer. Un attribut de balise html appelé « data-cookieconsent » est ajouté à chaque script Javascript traquant via des cookies classiques ou cookies venant de tiers.

Complianz (utilisé sur ce site)

L’extension Complianz vous permettra une conformité RGPD au niveau des fonctionnalités suivantes :

Affichage d’un bandeau avec les options Accepter, Rejeter et paramétrer,  ajout des détails des cookies depuis le backend. Vous pourrez afficher la liste des cookies sur votre page de politique de confidentialité à l’aide d’un shortcode (code court) ou mettre en place la page généré par le plugin « Politique de cookies EU » dans votre menu des pages légales obligatoires.

Alternatives : https://fr.wordpress.org . Conseil : choisissez toujours une extension en fonction de sa mise à jour qui doit être récente et correspondre à la version WordPress que vous utilisez.

All in One WP Security & Firewall pour la conformité en matière de cybersécurité

La nouvelle loi sur le traitement des données personnelles du 25 mai 2018 oblige de sécuriser les données personnelles et notamment celles que vous récoltez par l’intermédiaire de votre site internet. Il s’agit du concept « Privacy by default ».

L’extension All in One WP Security répond en grande partie à cette obligation légale. Il permet de mettre en place de multiples processus de défense au niveau de votre site WordPress : anti-piratage par force brute, restriction de l’accès à certaines plages IP à votre backoffice, obligation de reconnexion toutes les 30 minutes, anti injection SQL, anti attaque XSS, blocage des intrusions visant à lire les fichiers sensibles et plus encore.

securite site internet securite ordinateur

En prime, All in One WP Security tient de manière automatique un registre des accès aux données, obligatoire et conforme au RGPD. En cas de contrôle par la CNIL, il vous suffira de fournir la copie de la table MySQL nommée « login activity ». Celle-ci témoignera que vous n’avez pas fait l’objet de violations par des hackers, pour éviter une amende. Pour rappel, les amendes suite à une non-conformité au RGPD peuvent aller jusqu’à 20 millions d’euros ou 4% du CA si le chiffre est supérieur.

Des alternatives comme, entre autres, Itheme Security et Defender sont tout aussi efficaces. A vous de choisir l’extension qui vous convient et qui offre les fonctionnalités nécessaires, en complément de la sécurité mise en place sur votre hébergement.

Forcer le HTTPS pour la conformité du cryptage des données

Depuis la mise en application du GRPD, le protocole non sécurisé http est devenu illégal en matière de collecte de données personnelles. De ce fait, il faut donc obligatoirement mettre en place un protocole HTTPS pour crypter les informations personnelles (nom, adresse, courriel…) récoltés par l’intermédiaire de vos divers formulaires (devis, contact, inscription…). Par ailleurs, l’HTTPS permet également de protéger vos identifiants d’accès à votre administration et aux comptes clients/abonnés, contre d’éventuelles tentatives de hacking. Beaucoup d’hébergeur proposent la fonctionnalité permettant de forcer le site en https, ce qui permet d’interdire les requêtes non sécurisées sur votre site WordPress.

Il faudra bien entendu activer le protocole HTTPS sur votre site internet avant d’activer la fonctionnalité, en installant un certificat SSL. Vous pouvez le faire vous-même sur l’interface de votre hébergement ou en contactant votre hébergeur en cas de difficultés.

Advanced Access Manager (AMM) pour la conformité des restrictions d’accès

L’extension AMM de gestion de rôles, compatible WooCommerce vous permettra de restreindre l’accès de vos collaborateurs aux seules données qui leurs sont nécessaires pour mener à bien leur travail au sein de votre entreprise. Il s’agit du concept « Privacy by Design », mesure préventive ayant pour but de limiter les risques d’abus et de violation des données, contrainte légale au cœur du GRPD, expliquée au niveau de l’article 25. Ce concept est une réponse à l’automatisation du traitement des données personnelles et à la quantité de plus en plus importante de données manipulées par les entreprises. Par exemple, un salarié qui a pour mission exclusive d’écrire des articles sur le blog de votre site internet ne doit pas avoir accès aux commandes des clients ou aux données récoltés par vos formulaires de contact qui contiennent des données personnelles.

RGPD acces restreint aux données personnelles

Important : Les extensions présentées ci-dessus sont susceptibles d’évoluer et ne garantissent pas votre conformité légale aux normes RGPD à eux seuls. Je vous conseille de faire vérifier et compléter les informations ci-dessus par un professionnel qualifié.

La conformité au RGPD s’étend au-delà de votre site internet et comporte des volets techniques, juridiques et marketing : tenu des registres, consentements spécifiques, adaptation des méthodes de publicité et de prospection commercial, mentions légales, politique de confidentialité, traitement des données par vos sous-traitants, sécurisation des données, données RH, stockage des dossiers papier etc…

D’où l’importance de bien se renseigner sur les mesures à mettre en place et d’engager un professionnel dès l’instant où vous avez un doute ou une question.

Publications similaires

Accessibility by WAH
Retour en haut