Guide de conformité WordPress RGPD et CCPA pour les débutants

Si vous avez un site web WordPress, en particulier un site qui utilise des plugins, vous devez vous assurer que vous êtes en conformité avec les lois mondiales sur la confidentialité des données. Les deux plus importantes sont le règlement général sur la protection des données (RGPD) et la loi californienne sur la protection des consommateurs (CCPA).

Dans ce guide, nous verrons quelles sont les réglementations en matière de protection des données auxquelles vous devez vous conformer si vous êtes propriétaire d'un site web WordPress.

Exigences de WordPress RGPD

Le RGPD prévoit une série de droits pour les utilisateurs. Ces droits visent à garantir que toutes les entreprises prennent des mesures pour protéger les données personnelles des utilisateurs. Les principaux droits dont jouissent les utilisateurs en vertu du RGPD sont les suivants :

• Compétence : Le RGPD ne s'applique pas seulement aux entreprises qui opèrent dans l'Espace économique européen (Union européenne, Norvège, Islande, Liechtenstein), au Royaume-Uni et en Suisse - il s'applique également à toute entreprise qui stocke et traite les données personnelles de personnes vivant dans ces pays. Les utilisateurs et les visiteurs de sites web (utilisateurs) ont le droit d'être couverts, quel que soit l'endroit où se trouve un site web.
• Consentement valable ou autre raison légale pour le traitement : Tout utilisateur dont les données sont stockées doit donner son consentement clair et explicite par une action positive. Le consentement d'un utilisateur ne peut pas être implicite simplement parce qu'il navigue continuellement sur un site web - il doit pouvoir cocher une case ou cliquer sur un bouton pour donner son consentement explicite au stockage de ses données. Les entreprises doivent traiter les données des utilisateurs d'une manière licite qui repose sur l'un des motifs légitimes de traitement énoncés à l'article 6 du RGPD.
• Droits d'accès : Les utilisateurs ont le droit d'accéder à toutes leurs données personnelles stockées par une entreprise. Ils peuvent également demander des informations sur l'utilisation de ces données.
• Droit à l'effacement : Les utilisateurs ont le droit de demander aux entreprises de supprimer leurs données personnelles. Ils peuvent également restreindre toute utilisation ou vente ultérieure de ces données.

Lignes directrices du Conseil européen de la protection des données pour un consentement valable

Le Comité européen de protection des données est un organisme indépendant chargé de veiller à l'application cohérente du RGPD. Il a adopté des lignes directrices précisant ce qui constitue un consentement valable pour collecter des données. Ces lignes directrices sont les suivantes :

• Pas de cases pré-cochées : Il ne doit pas y avoir de cases pré-cochées dans la bannière cookies de votre site WordPress. En dehors des cookies strictement nécessaires, les options de consentement pour tous les autres types de cookies doivent être décochées afin que les utilisateurs puissent donner leur consentement explicite.
• Libre choix : Restreindre l'accès à certaines parties de votre site web si un utilisateur rejette vos cookies ne constitue pas un consentement valable. Les utilisateurs doivent être libres de faire connaître leurs préférences pour toutes les catégories de cookies Internet et de choisir ceux qu'ils souhaitent activer ou désactiver.
• Action positive : Le consentement doit être explicite et positif. Un consentement implicite par une navigation continue sur le site web ne constitue pas un consentement valable. L'utilisateur doit donner son accord de manière active en cochant une case, en cliquant sur un bouton ou en effectuant une autre action positive.

La conformité au RGPD intégrée à WordPress

La version 4.9.6 de WordPress, publiée après l'entrée en vigueur du RGPD , a rendu WordPress conforme à la loi. Pour ce faire, l'équipe de WordPress a apporté diverses améliorations, dont les suivantes :

• Commentaires opt-in : En général, WordPress stocke les informations de l'utilisateur pour valider un commentaire. Pour commenter, les utilisateurs doivent généralement s'inscrire et fournir une adresse électronique. La nouvelle version a ajouté une zone de texte "opt-in" qui permet d'obtenir le consentement de l'utilisateur pour stocker ces informations à l'aide de cookies.
• Page WordPress sur la politique de confidentialité : WordPress comprend désormais une page de politique de confidentialité prédéfinie qui est essentiellement une série de modèles fournissant les informations essentielles que vous devez fournir aux utilisateurs pour vous conformer au RGPD. Les administrateurs ont la possibilité de modifier ces modèles pour s'assurer que leurs sites web sont entièrement conformes.
• Stockage des données : WordPress a ajouté une fonction "Exporter les données personnelles" qui permet aux utilisateurs de télécharger ou de supprimer toutes leurs données stockées par votre site web. Cette fonction est accessible à partir de l'onglet Outils du tableau de bord d'administration de WordPress.

Que dois-je faire pour me conformer au RGPD?

Pour que votre site WordPress soit conforme au RGPD, vous devrez faire les choses suivantes :

• Notifier les utilisateurs au sujet des cookies : Les utilisateurs doivent recevoir un message de notification des cookies qui comprend un lien vers un site politique de cookies complet indiquant des informations claires sur les différents cookies utilisés par votre site web WordPress. Cela inclut le type de données qu'ils stockent et traitent, le but du stockage et la destination de ces données. En outre, les informations relatives à la protection de la vie privée doivent être faciles d'accès.
• Prévoir un plan pour l'utilisation des cookies et le consentement : Avant d'activer ou de permettre l'utilisation de cookies non essentiels, vous devez mettre en place un moyen pour votre site WordPress d'obtenir consentement aux cookies.
• Tenir un registre des données : Les sites doivent conserver une trace de tous les consentements obtenus auprès des utilisateurs. La pratique courante consiste à supprimer toutes les sauvegardes au bout de trois mois et tous les documents financiers au bout d'un certain nombre d'années.
• Offrir un véritable choix : Les utilisateurs doivent pouvoir consulter une liste de tous les cookies utilisés sur votre site WordPress et choisir ceux qu'ils acceptent ou rejettent. Bien entendu, le site doit rester fonctionnel même si l'utilisateur refuse les cookies.
• Permettre aux utilisateurs de modifier leurs préférences : Les utilisateurs doivent pouvoir modifier leurs paramètres et préférences en matière de cookies à tout moment.
• Protéger les données : Toutes les données personnelles stockées par l'entreprise doivent être sécurisées.
• Fournir des alertes en cas de violation : Les entreprises doivent informer les autorités de toute violation de données, à moins qu'elle ne soit pas considérée comme un risque pour les données personnelles. Les violations de données les plus courantes sont les cyberattaques, le vol de données par des employés, les erreurs humaines et la perte d'actifs. La mise en place d'un plan de protection contre les violations de données est essentielle pour assurer la conformité. Ce plan doit comprendre une liste régulièrement mise à jour des courriels des utilisateurs et un plan visant à informer les autorités concernées et les utilisateurs dans les 72 heures suivant une violation.

Le non-respect du RGPD est passible d'une lourde amende pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel de votre entreprise, le montant le plus élevé étant retenu.

Exigences de l'ACCP WordPress

La CCPA est la loi californienne sur la protection de la vie privée qui régit les entreprises qui stockent et traitent des données à caractère personnel. Elle a été promulguée pour protéger la vie privée des citoyens californiens et leur accorde les droits suivants :

• Le droit de savoir quelles données personnelles sont stockées
• le droit de savoir si les informations personnelles sont vendues ou envoyées à des tiers et, le cas échéant, à qui
• Le droit de refuser la vente de données personnelles
• Le droit de demander la suppression de données à caractère personnel
• Le droit d'accès aux données personnelles stockées par le site web

Selon la CCPA, les organisations n'ont pas besoin d'obtenir un consentement explicite pour utiliser des cookies. Toutefois, elles sont tenues de fournir un avertissement sur les cookies qui informe les utilisateurs des données collectées par les cookies utilisés sur leur site web - et de la manière dont ces données peuvent être diffusées ultérieurement. Les entreprises sont également tenues de fournir aux utilisateurs un moyen facile de refuser l'utilisation de cookies non essentiels et la vente de leurs données.

Conformité avec la CCPA

Pour garantir le respect de la CCPA lors de l'utilisation de WordPress, vous devez faire ce qui suit :

• Permettre la non-participation : vous devez offrir à vos utilisateurs une possibilité de non-participation par le biais d'une option "Ne pas vendre mes informations personnelles" sur votre site web. En vertu de la loi californienne sur les droits à la vie privée (CPRA), qui modifie la CCPA, les utilisateurs ont désormais le droit de refuser non seulement la vente, mais aussi le partage de leurs données personnelles à des fins telles que la publicité comportementale inter-contexte.
• Informer les utilisateurs des données personnelles que vous collectez et vendez : Avant ou pendant la collecte, vous devez informer l'utilisateur des types d'informations personnelles que votre entreprise stocke et des raisons pour lesquelles elle les stocke.
• Cesser de vendre à des tiers sur demande : si un utilisateur demande à ce que ses données personnelles ne soient plus vendues, vous devez y donner suite dans un délai de 15 jours. Vous devez également informer tous les tiers auxquels vous avez vendu des données au cours des 90 derniers jours que ces données doivent être supprimées.
• Permettre aux mineurs de donner leur accord : Pour les utilisateurs de moins de 16 ans, les entreprises doivent obtenir leur consentement pour vendre leurs données personnelles. En outre, le consentement d'un parent ou d'un tuteur légal est requis pour tout utilisateur âgé de moins de 13 ans.

Le non-respect des exigences de la CCPA peut entraîner une amende de 2 500 dollars par infraction ou de 7 500 dollars par infraction intentionnelle.

Autres exigences de conformité de WordPress

D'autres lois sur la protection de la vie privée, telles que le PECR, ont également une incidence sur la manière dont vous devez concevoir et gérer votre site WordPress et sur la manière dont vous devez gérer les cookies sur votre site WordPress.

En outre, bien que ce ne soit pas une obligation stricte, il est utile de procéder à un audit régulier de votre collecte de données et de vos performances en matière de cookies WordPress pour rester en conformité avec la législation.

PECR (Règlement relatif à la protection de la vie privée et aux communications électroniques)

Le Règlement relatif à la protection de la vie privée et aux communications électroniques(PECR) s'articule avec le RGPD. Il met en œuvre la directive européenne 2002/58/CE, qui vise à fournir des réglementations spécifiques relatives à la communication et à la vie privée.

Alors que le RGPD régit le traitement des données personnelles collectées par votre site web, le PECR régit le moment où vous pouvez activer certains cookies.

Si vous êtes basé au Royaume-Uni, le règlement PECR a la priorité sur le RGPD. Cela signifie que pour garantir la conformité de WordPress en matière de cookies, vous devez confirmer la conformité à la fois au PECR et au RGPD.

Heureusement, le PECR tire la plupart de ses règles essentielles du RGPD.

Par exemple, la norme pour le consentement dans le cadre du PECR est identique à celle du RGPD - action positive à l'aide d'une case à cocher ou d'un bouton. Comme dans le RGPD, l'utilisation de cases pré-cochées pour l'autorisation n'est pas considérée comme valide.

Le PECR exige également l'approbation des cookies non essentiels, y compris ceux de tiers utilisés pour la publicité ciblée ou l'analyse.

Audits

L'une des façons de vous assurer que vous restez en conformité avec le RGPD et d'autres lois est de mener des audits réguliers sur la façon dont votre site WordPress - et ses cookies - collectent et traitent les données personnelles.

Vos audits devraient permettre de déterminer

• L'objectif du traitement des données personnelles par votre site
• Le type de données stockées et traitées
• Les garanties mises en place pour assurer la protection des données
• la durée de conservation des données personnelles d'un utilisateur et le moment où ces données sont supprimées
• Le processus par lequel les utilisateurs sont informés et mis à jour sur le stockage et l'utilisation de vos données.
• Quels sont les tiers qui ont accès aux données à caractère personnel collectées ?

Garantir la conformité n'est pas une lutte ponctuelle. Elle nécessite une évaluation, un examen, une planification et une mise en œuvre continus. Toutes les personnes impliquées dans votre entreprise doivent être au courant des lois pertinentes et de la manière dont elles affectent votre entreprise, afin que rien ne soit modifié sur votre site qui pourrait le rendre non conforme.

Éléments à prendre en compte lors de la planification d'un site web

La création et la conception d'un site web WordPress conforme au RGPD, au CCPA et au PECR exigent que vous travailliez sur les aspects suivants au cours de la phase de planification du site web :

Mon site WordPress est-il conforme au RGPD?

Pour savoir si votre site WordPress est conforme ou non aux lois sur la protection de la vie privée, vous devez connaître les parties de votre site web susceptibles d'être concernées.

Les éléments de votre site WordPress impactés par le RGPD

En ce qui concerne le RGPD, en tant que propriétaire d'un site web WordPress, vous devez être conscient des points suivants :

• Comment vous collectez et traitez les données des utilisateurs
• Les différentes façons dont les cookies sont utilisés sur votre site web

En plus de les garder à l'esprit, les zones suivantes de votre site web sont également concernées par le RGPD:

Analyse

Si vous utilisez un outil d'analyse tel que Google Analytics, votre site web peut stocker des données telles que les adresses IP des utilisateurs, les cookies, les identifiants, etc. Si vous utilisez des plugins tiers pour l'analyse, vous devez en informer vos utilisateurs. En tant que bonne pratique, évitez d'utiliser des outils d'analyse pour suivre les adresses IP des utilisateurs.

Formulaires d'information sur les contacts

Presque tous les sites web utilisent des formulaires de contact. Par conséquent, si votre site web utilise des données personnelles stockées à des fins de publicité ciblée, vos utilisateurs doivent en être informés. Une case à cocher de consentement accompagnée d'une simple explication est souvent suffisante en vertu du RGPD. Cette explication doit préciser pourquoi vous demandez des données et comment vous les utiliserez.

Formulaires de marketing Opt-in

À l'instar des formulaires de contact, les formulaires opt-in de marketing par courriel exigent que vous obteniez le consentement de l'utilisateur avant d'utiliser ses données personnelles à des fins de marketing. Vous pouvez obtenir ce consentement soit en exigeant un double consentement - en envoyant un courriel de validation avec un lien sur lequel l'utilisateur doit cliquer pour autoriser l'utilisation de ses données personnelles après avoir reçu son adresse électronique - soit en ajoutant une case à cocher.

Adhésion et commerce électronique

Si votre site web est un site de commerce électronique ou d'adhésion, vous devez garder certaines choses à l'esprit. Si votre site utilise les données personnelles obtenues lors des ventes à des fins de marketing par courrier électronique ou de publicité, vous devez en informer vos utilisateurs et leur donner la possibilité de se désinscrire. Si vous collectez des données financières, il est préférable de les obtenir par l'intermédiaire de services tiers tels que PayPal. En cas de violation de votre site web et de perte ou de vol de données personnelles, la situation est plus grave lorsqu'il s'agit de données financières.

Les médias

L'intégration de contenus tels que des images peut permettre à des tiers de collecter les données personnelles des utilisateurs de votre site web - y compris leur adresse IP - et de récupérer les cookies qui stockent leurs données. En outre, cela peut également permettre à des tiers d'intégrer des cookies ou des logiciels de suivi supplémentaires dans les navigateurs de vos utilisateurs. Cela signifie que si vous intégrez du contenu de tiers, ces informations doivent être incluses dans votre politique de confidentialité.

Publicité

Si votre site web utilise la publicité ciblée qui repose sur la collecte des données personnelles de vos utilisateurs, ces derniers doivent en être informés.

Les éléments de votre site WordPress concernés par l'ACCP

La CCPA a principalement un impact sur la politique de confidentialité de votre site WordPress.

Elle exige que votre politique de protection de la vie privée fournisse des informations sur le contenu, les raisons et les modalités de la collecte et du traitement des données à caractère personnel. Cette politique doit également contenir des informations sur la manière dont les utilisateurs peuvent modifier, supprimer ou demander l'accès aux données collectées par votre site web.

Vous devez également disposer d'une méthode permettant de vérifier l'identité de la personne qui fait la demande.

Autres éléments à prendre en compte

Les cookies, thèmes et plugins que vous utilisez sur votre site WordPress peuvent devoir se conformer au RGPD, à la CCPA ou à d'autres lois sur la protection de la vie privée. Vous devez donc savoir comment ces lois affectent l'utilisation des cookies sur votre site WordPress.

Étant donné qu'il existe de nombreuses considérations et complications pour s'assurer que l'utilisation des cookies sur WordPress respecte les lois, vous pouvez utiliser des plugins qui automatisent certains aspects de la conformité au RGPD et à la CCPA.

Voici quelques plugins WordPress recommandés pour la conformité avec le RGPD et la CCPA :

En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur