Ton site est quasi fini et il ne te reste « plus que » la partie légale… tu repousses le moment où tu t’y mets car tu appréhendes ce pan-là du projet. Allez, aujourd’hui, on s’attaque au morceau ensemble. À la fin de cet article, tu seras capable de mettre ton site en conformité avec le RGPD tout.e seul.e.
Avertissement : Cet article est basé sur des sources fiables, des connaissances juridiques ainsi que mon expérience, mais se substitue pas aux conseils juridiques d’un expert.
Qu’est-ce que le RGPD ?
Avant de commencer, permets-moi de te présenter rapidement le contexte. RGPD est l’acronyme pour Réglement Général sur la Protection des Données. Ce texte a été voté par le parlement européen en 2016 et est entré en vigueur le 25 Mai 2018. Le RGPD vise à réglementer le traitement et la circulation des données à caractère personnel. Les données… on en a toutes et tous entendu parler, mais qu’est-ce que c’est concrètement ?
Le point sur la législation
Une donnée à caractère personnel, c’est toute information qui permet d’identifier directement ou indirectement une personne.
Il peut donc s’agir :
- d’un nom
- d’une adresse
- d’une date de naissance
- d’une adresse IP
- d’un numéro de sécurité sociale
- …
De manière générale, il est possible de trier ces données dans trois grandes catégories :
- les données socio-démographiques : localisation, genre, âge, centres d’intérêts…
- les données transactionnelles : historique d’achat, prise de rdv…
- les données comportementales : clics, conversion, ouverture de mail, visites…
D’ailleurs, je me focaliserai dans cet article sur les données personnelles recueillies via ton site internet WordPress, mais le RGPD est en fait beaucoup plus large que cela puisqu’il encadre la collecte et le traitement des données dans toute ton activité. Ton site web n’est donc qu’un volet parmi d’autres impacté par ce règlement.
Le point central du RGPD, c’est qu’il cadre la collecte, le traitement et la circulation des données personnelles des citoyens européens, suivant deux grands axes :
- le consentement explicite de l’utilisateur pour stocker ses données personnelles
- la sécurisation des données une fois qu’elles ont été collectées
Les risques encourus
Le RGPD est venu renforcer les sanctions qui pouvaient déjà exister pour une utilisation illégale des données personnelles. Et en toute franchise, la note peut être très salée : jusqu’à 4% du chiffre d’affaire annuel de l’entreprise ! De quoi donner envie de se pencher d’un peu plus près sur le sujet, non ?
L’organisme en charge de contrôler que le RGPD est bien respecté en France s’appelle la CNIL. Certes, ils alignent lorsqu’on est hors-la-loi, mais ils ont aussi et surtout une mission de prévention et d’information, je t’encourage donc à aller faire un tour sur leur site si tu recherches des informations sur le sujet.
Pourquoi on ne devrait pas en avoir peur
Avant, quand j’entendais RGPD, j’avais des sueurs froides. Mais depuis que je m’y suis penchée plus sérieusement, lorsque j’ai lancé mon activité d’éco-conception de site internet WordPress, je t’avoue que je l’aime pas mal, ce RGPD. Voilà pourquoi :
Le RGPD permet de mieux respecter le droit des personnes
Ça, c’est vraiment un bon point ! Il n’y a encore pas trop longtemps, Internet, c’était le far-west : beaucoup y ont vu une opportunité, s’y sont rués… et, en l’absence de règles, ont fait ce qu’ils voulaient ou ont créé les leurs. Il faut dire qu’il était très simple de récupérer des informations des utilisateurs sans même le leur dire, et le résultat, c’est qu’il y avait pas mal de dérives. Est-ce que tu t’imagines aller au supermarché, payer avec ta carte bancaire, et que l’employé en profite pour en faire une photo sans te demander ton avis ? Ou alors que tu montres ta carte d’identité à l’entrée d’un bar et que le personnel de sécurité note ta date de naissance et ton adresse dans son registre par la même occasion ? Et bien sur Internet, c’est ce qui se passait parfois. Et en plus, certains petits malins revendaient ces données par la suite. Mais comme c’est du « virtuel », les non-avertis n’y voyaient que du feu.
Le RGPD permet de développer une relation de confiance avec ses utilisateurs
On ne va pas se mentir, ceux qui ont le plus de souci à se faire avec le RGPD sont ceux qui utilisent des méthodes pas toujours très éthiques pour gagner de nouveaux clients. Je vais te prendre un exemple : si tu vas dans un magasin et que tu regardes les aspirateurs (premier objet qui m’est venu à l’esprit, ne me demande pas pourquoi ^^). Trouves-tu correct de la part du personnel qu’il te coure après dans la rue avec ce fameux aspirateur, et qu’il le fasse à chaque fois que tu passes dans cette rue par la suite ? Franchement, je trouverais cela assez déplacé et harcelant. Si j’ai envie d’en entendre parler de nouveau, c’est plutôt moi qui demande une plaquette sur ce produit. Sur Internet, c’est ce qui se passeait quand tu recevais des publicités ciblées sans avoir donné ton accord au préalable.
Le RGPD permet de comprendre le fonctionnement de ton site web
Bref, en pratique, si tu développes ton business avec une certaine éthique, tu n’as pas vraiment à redouter la CNIL. En fait, le RGPD impose simplement une certaine transparence, qui n’est pas sans me déplaîre car ce sont les bases sur lesquelles je souhaite développer mon activité. Il amène par contre chaque propriétaire de site internet à se poser des questions plus pointues là où il avait l’habitude de survoler le sujet. En creusant un peu ces points-là, il est alors à même de décider d’avoir un site éthique et responsable… ou pas… car des actions en ce sens auront potentiellement un impact sur ses stratégies marketing.
Les cookies
Pour être conforme au RGPD, il va falloir porter ton attention sur deux volets de ton site internet : les cookies et la politique de confidentialité. On a donc commencer par passer au crible la partie Cookies.
Cookie web : définition
D’après le site de la CNIL, les cookies sont de petits fichiers stockés sur ton ordinateur ou ton smartphone. Ils sont déposés sur ton terminal lorsque tu visites un site et peuvent avoir des objectifs différents.
On les classe dans quatre catégories :
- Les cookies nécessaires
- Les cookies de préférences
- Les cookies de statistiques
- Les cookies marketing
Les cookies nécessaires au bon fonctionnement du site sont les indispensables. Sans eux, le site ne va pas fonctionner correctement et cela va directement impacter l’expérience du visiteur qui viendra sur ce site. Ceux-là doivent donc toujours être autorisés sur ton site et le visiteur sera simplement informés qu’ils existent. Dans la pratique, ils vont permettre par exemple le bon fonctionnement du panier d’un site de e-commerce : lorsque tu ajoutes un nouveau produit au panier, il faut que cette information soit écrite quelque part jusqu’au moment du paiement… sinon, comment fait le site marchand pour savoir quel produit tu souhaites acheter ? Sans ce cookie, ton panier serait toujours vide !
Les trois autres catégories de cookies ne sont pas indispensables, et c’est pour cela que le RGPD demande un consentement explicite du visiteur pour pouvoir les déposer sur son ordinateur. Concrètement, il va s’agir par exemple des cookies permettant de connaître plus précisément le profil de celles et ceux qui viennent sur ton site, ou encore les cookies qui retiennent tes identifiants d’une fois sur l’autre pour ne pas avoir à te re-connecter à ton profil à chaque fois.
Certains sites ont un business model basé sur la publicité. Ils ont des partenariats avec des annonceurs publicitaires et te montrent des publicités ciblées en fonction de ton profil. Depuis la mise en application du RGPD, ces sites ont perdu de leurs revenus, car les utilisateurs peuvent désormais refuser les cookies. Tu as sûrement remarqué que certains de ses sites proposent désormais un abonnement payant si tu refuses les cookies (cookie wall): en gros, c’est soit tu paies avec tes données, soit tu sors le porte-monnaie. Qui a parlé d’éthique…
Comment savoir quels cookies a son site
En fait, ton site peux avoir deux types de cookies :
- des cookies internes (first-party)
- des cookies tiers (third-party)
Les cookies internes viennent directement de ton site, tandis que les cookies externes proviennent d’autres noms de domaine.
En général, les développeurs ont conscience des cookies nécessaires à telle ou telle fonctionnalité, et ils savent donc quels cookies sont présents sur leurs sites. Mais créer son site sur WordPress ne veut pas dire être développeur.e ! La modularité de ce CMS (Content Management System) permet d’ajouter rapidement des fonctionnalités en installant des extensions (plugins) et ceux-ci utilisent parfois les cookies.
Voici quelques noms de plugins utilisant des Cookies :
- WooCommerce : pour gérer le panier et les commandes, WooCommerce utilise des cookies indispensables
- WooCommerce Stripe Gateway : toujours pour les sites e-commerce, pour gérer la partie paiement des commandes
- Polylang : pour déterminer la langue d’affichage par défaut, lorsqu’on a un site multilingue
- Jetpack : extension tout-en-un développée par Auttomatic (qui gère le site WordPress.com) visant à améliorer la sécurité et les performances des sites… mais avec des fonctionnalités marketing également
- Site Kit by Google : pour lier ton site à ton compte Google Analytics
- YITH WooCommerce Affiliates Premium : pour les programmes d’affiliation
- …
LE DÉTAIL QUI FAIT LA DIFF’ :
Si tu utilises des Google Fonts comme polices sur ton site, tu dois demander à l’utilisateur son consentement car Google enregistre l’adresse IP du visiteur (donc une donnée personnelle) au moment de délivrer la police en question…
… sauf si tu héberges cette police sur ton serveur !
Pour savoir exactement quels cookies sont sur ton site, tu peux regarder dans ton navigateur :
- Sous Chrome, en cliquant sur le petit cadenas près de l’adresse de ton site puis en regardant la partie « Cookies »
- Sous Firefox, Internet Explorer ou encore Safari, il est nécessaire d’ouvrir les outils de développeur et d’aller ensuite dans l’onglet « Stockage » pour voir la liste des cookies utilisés par un site internet.
Et ensuite, ton travail d’éthique commence… Souhaites-tu utiliser tel ou tel outil tout en sachant qu’il utilise à des fins personnelles les données qu’il collecte sur ton site ? Quel traceur utiliser pour avoir des statistiques sur tes visiteurs tout en respectant leur vie privée (fin du suspens : des alternatives à Google Analytics existent !!) ?
Comment créer son bandeau de cookies WordPress
Maintenant que tu es calé.e sur les cookies et que tu as choisi en toute conscience ceux que tu allais utiliser, il te reste une chose à faire : rendre ton site conforme au RGPD en ajoutant un bandeau de cookies sur ton site !
Plusieurs extensions WordPress te permettent de le faire, et je ne vais pas partir dans un comparatif des extensions possibles (Cookiebot, GRPD Cookie Consent, Beautiful Cookie Content Banner, Cookie Compliance, Complianz…), il y en a pléthore.
Je vais simplement te détailler la démarche à suivre avec un que j’utilise régulièrement lorsque je conçois des sites : Cookiebot. J’aime bien cette extension car elle est gratuite pour les petits sites, simple à configurer et régulièrement mise à jour :
- Te créer un compte sur Cookiebot.com
- Dans la partie « Paramètres / Domaines », ajouter le nom de domaine de ton site
- Dans la partie « Paramètres / Vos scripts », copier le groupe de domaines ID (ensemble de chiffres et de lettres séparés par des tirets)
- Facultatif : aller faire un tour dans les autres paramètres pour affiner le visuel de ton bandeau
- Dans la partie « Cookies », cliquer sur « Analyser le domaine maintenant »
- Installer l’extension WordPress Cookiebot depuis ton tableau de bord WordPress
- Activer l’extension
- Dans le menu « Réglages » de l’extension, coller le groupe de domaines ID précédemment copié dans le champs « ID Cookiebot »
- Facultatif : regarder les différents réglages possibles pour affiner ton paramétrage
- D’ici maximum 24h, ton bandeau de réglage comprendra tous les cookies de ton site
LE SAIS-TU ?
Quand on clique sur Accepter ou Refuser dans un bandeau de cookie… on reçoit en fait un cookie sur son ordinateur !
Sinon, comment le site pourrait-il savoir qu’on a dit oui ou non la prochaine fois qu’on se rendra dessus ?!
Et comme tout cookie doit avoir une date d’expiration, un même site te redemandera régulièrement ton consentement. De manière générale, la CNIL recommande une durée de vie maximale de 13 mois pour les cookies.
La politique de confidentialité
Les cookies n’ont plus de secret pour toi, et ton site internet est conforme de ce côté-là. La seconde étape est de te pencher sur ta politique de confidentialité.
C’est un document rapidement accessible en un seul clic via toutes les pages de ton site (c’est pour cela qu’on trouve généralement un lien dans le pied de page) qui détaille à tes visiteurs comment tu gères leurs données personnelles.
Les questions à se poser
La politique de confidentialité doit contenir quelques informations indispensables que je vais te détailler ici car une fois qu’on les a bien compris, on se rend compte qu’elles tombent sous le sens.
Qui est responsable de la protection des données ?
Tu vas donc devoir citer la personne responsable du traitement des données. Dans les petites structures, c’est le fondateur la plupart du temps. Dans les plus grandes entreprises, tu trouveras une personne morale incarnée par son représentant légal ou encore un DPO (Délégué à la Protection des Données).
Où faire ses demandes de modification ou de suppression des données ?
Chaque visiteur peut à tout moment demander au responsable du site (toi peut-être) la liste des données le concernant en sa possession. Ensuite, il peut demander de rectifier ou de supprimer tout ou partie de ces données. Pour cela, tu dois donc lui donner une adresse physique et email où il peut faire ces demandes.
Comment sont sécurisées les données recueillies ?
En général, on parle ici de https et de certificat SSL. Ces mots techniques informent en réalité les visiteurs du niveau de sécurisation du site internet sur lequel ils sont en train de naviguer car les informations sont chiffrées. C’est gage de sécurité pour effectuer des paiement en ligne par exemple, mais aussi pour tout partage de données.
Ces données sont-elles transmises à des prestataires ?
Une fois que tu récoltes des données personnelles, il faut bien les stocker quelque part. Ton visiteur est donc en droit de savoir où elles sont stockées. Il te suffit ici de donner le nom et l’adresse de ton hébergeur, puisque les données que tu récoltes sont sûrement stockées sur ton serveur. Le visiteur te confie des données… mais qu’est-ce que tu en fais ensuite ? Il est nécessaire de l’en informer aussi. Il faut donc lister toutes les entreprises qui auront accès à ces données : peut-être un CRM (Customer Relationship Manager), une solution d’emailing (marketing automation) ou encore Google par le biais de ses polices Google Fonts, comme je l’ai évoqué plus haut.
Les outils pour la réaliser
Tu as trois options pour écrire ta politique de confidentialité :
- le générateur WordPress
- les générateurs en ligne
- un.e juriste / avocat.e
Tous n’ont pas le même coût, la même exactitude, la même facilité. J’ai sciemment enlevé l’option « pomper sur un autre site », car c’est quelque chose à ne pas faire : il est très peu probable que deux sites collectent exactement les mêmes informations au même endroit… les risques légaux sont donc élevés.
Le générateur WordPress peut être activé en allant dans le backend de ton site, puis dans « Réglages » puis dans « Confidentialité ». WordPress te propose alors un modèle standard. Je ne l’utilise personnellement jamais car je le trouve beaucoup trop générique.
Les générateurs en ligne ont souvent une version gratuite et une version payante. Pour les sites français que je conçois, j’utilise le plus souvent le site Rocket Lawyer (le générateur de Shopify semble avoir de bon retours également). Tandis que pour les sites allemands, je m’appuie sur le générateur en ligne de e-recht24.de (comme je partage mon activité entre la France et l’Allemagne)
Enfin, passer par un.e professionnel.le devrait te coûter entre 1000 et 1500€, mais ta politique de confidentialité sera alors 100% adaptée à ton site internet.
Le cas des formulaires
Si tu as un formulaire de contact ou d’inscription à une newsletter, ce qui suit va sûrement t’intéresser.
Dans ces cas-là, tu récoltes les adresses mails de tes visiteurs. Le RGPD est alors clair : il te faut un consentement explicite pour pouvoir récupérer ces données-là. Dans la pratique, cela signifie que ton formulaire doit absolument avoir une petite coche (dans le jargon, un optin), décochée par défaut, pour que le visiteur la coche, symbole qu’il valide avoir lu et accepté ta politique de confidentialité (c’est le sens du mot « explicite »).
Fais donc bien attention à utiliser une extension compatible RGPD pour tes formulaires ! Contact Form 7 (gratuit) ou Elementor Pro (payant) font très bien l’affaire.
Et enfin… pense à nettoyer régulièrement ta base de contacts créée à partir des abonnements à ta newsletter : lorsqu’un contact est inactif pendant 36 mois (n’ouvre pas tes newsletters par exemple), il doit être exclu de ta base de contacts !
Il reste un élément dont je ne t’ai pas parlé dans cet article : les CGV (Conditions Générales de Vente). Si tu vends via ton site internet, il te faudra encore créer ce document pour être bien carré.e sur le plan légal. Des sites comme Legal Place peuvent te générer des CGV.
Sinon, on arrive à la fin de cet article. Si tu souhaites être tenu.e au courant des prochains, deux options s’offrent à toi : soit tu m’envoies un email pour me dire que tu souhaites être notifié.e des futurs billets qui seront publiés sur ce site, soit tu peux me suivre sur Linkedin, le seul réseau social que j’utilise.
Dernière mise à jour : 19 Mai 2022.