DÉFINITION ET CONTEXTE DU RGPD :
Le Règlement Général de Protection de Données (RGPD) ou (GDPR) en anglais sera applicable le 25 mai 2018 dans toute l’Union Européenne.
A QUI S’ADRESSE LE RGPD :
- Toutes les entreprises
- Les organisations possédant des données RH
- Aux utilisateurs de votre site web !
- Ces internautes sont placés au cœur du dispositif RGPD qui voient ainsi leurs droits sécurisés:
- obligations d’information de la part des entreprise
- restrictions en termes de recueil de consentement
- droit à la portabilité des données
- droit à l’effacement
QUELS SONT LES OBJECTIF DU RGPD :
- Avoir des règles communes dans tous les pays de l’Union européenne sur la réglementation sur la protection des données.
- Responsabiliser davantage les entreprises en développant l’auto-contrôle.
- Renforcer le droit des personnes concernant :
- l’accès
- l’oubli
- la portabilité…
1 – LE REGISTRE INTERNE DE TRAITEMENT DES DONNÉES
En interne, vous devez disposer d’une documentation complète qui atteste que vous êtes en conformité avec le RGPD. Une cartographie des données pour montrer votre rigueur et votre bonne fois.
Vous pouvez vous inspirer du modèle de registre que la CNIL. Votre registre devra répondre à trois questions-phares au sujet de votre traitement des données :
- QUI ? Listez les personnes en interne amenées à traiter des données et le cas échéant, vos sous-traitants en vous assurant qu’ils sont également dans une démarche de mise en conformité au RGPD et en prévoyant de réviser vos contrats.
- QUOI ? Cartographier les traitements de données personnelles réalisées par votre structure (type de données collectées, finalités des traitements, preuve des consentements recueillis, informations portées à la connaissance des personnes concernées, etc.).
- COMMENT ? Vérifier comment ces données sont traitées (transfert à l’étranger ou non, hébergement ou non, archivage ou suppression de données, etc.) et quelles mesures de sécurité sont mises en place en interne ;
Ce registre interne de traitement des données doit être perpétuellement tenu à jour.
2 – LA PAGE « POLITIQUE DE CONFIDENTIALITÉ »
Dans vos mentions légales, la politique de confidentialité souvent située dans le pied de page, doit expliquer concrètement ce que vous faites avec les données.
VOICI CE QUI DOIT APPARAÎTRE :
- Vos coordonnées,
- L’éditeur du site,
- L’hébergeur.
Quels types de données vous récoltez dans vos formulaires, que ce soit : de contact, d’inscription ou de commande sur votre site web :
- noms
- prénoms
- téléphone,
- adresse postale,
- adresse IP…
Pourquoi vous collectez ces données : communication par newsletters, facturation, comportement et statistiques de fréquentation des internautes
Combien de temps vous stockez ces données : vous pouvez conserver les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données.
L’ensemble de ces éléments doivent apparaître dans une page intégrée à votre pied de page, mais aussi à chaque moment où vos utilisateurs partageront leurs données (typiquement, dans les formulaires).
3 – OBTENIR UN CONSENTEMENT EXPLICITE AVEC LE BANDEAU DES COOKIES :
Ces anciens message “En poursuivant votre navigation, vous acceptez…”. ne sont plus valable. L’internaute doit avoir la possibilité de refuser ou d’accepter la collecte de données avec des actions tels :
Tant que l’internaute n’à pas cliqué sur “J’accepte” ou à cliqué sur « Je refuse, Tous les services concernées doivent être désactivés. Exemples :
- Google Analytics
- Une intégration Facebook, Twitter, Instagram…
- Une carte Google Map
- ….
LES FORMULAIRES WORDPRESS ET LE RGPD :
En rajouter une ou plusieurs case(s) à cocher supplémentaire dans vos formulaires. Par exemples :
- Rajouter des cases à cocher indiquant que l’utilisateur consent à partager ses données “J’autorise l’entreprise X à enregistrer mes données” et/ou “J’ai lu et accepte la politique de confidentialité de ce site” (en incluant un lien URL vers le menu « Politique de confidentialité » dans vos mentions légales).
- Spécifier la raison de la récolte des données (“Entrez votre adresse email pour recevoir notre newsletter”)
- Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment
Attention, ces cases à cocher ne devront pas être pré-cochées !
LES COMMENTAIRES DE WORDPRESS ET LE RGPD
Soit un utilisateur doit être enregistré et connecté pour publier des commentaires, soit vous ajouter un message de consentement “J’ai lu et accepte la politique de confidentialité de ce site”.
- L’extension : WP Comment Policy Checkbox, qui rajoutera une case à cocher près du bouton “Envoyer”, et diffusera un message d’erreur si ce n’est pas fait. Cette extension n’étant pas traduite en Français, vous pouvez utilisez Loco Translate, pour la traduire facilement
LA SÉCURISATION ET L’EFFACEMENT DES DONNÉES
Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez plus le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser.
Vos utilisateurs sont en droit de retirer à tout moment leurs consentements d’une façon très simple pour :
- Accéder à leurs données
- Les modifier
- Demander à les effacer
- Demander à les transférer vers un tiers (“droit à la portabilité”)
Une page et une boîte email spécifique permettra de centraliser les demandes d’exercice du droit des personnes. Puis, à réception des demandes :
- De retrait de consentement, il faudra supprimer ou modifier les données personnelles de l’utilisateur au plus vite et sur l’ensemble des lieux de stockage (y compris dans les sauvegardes de votre site WordPress).
- De portabilité des données, vous devrez exporter toutes les données que vous possédez dans un format informatique (privilégier le format CSV).