WordPress & RGPD : la loi et le code

Quelles sont les obligations RGPD à respecter lorsque l’on a un site Internet ? Comment mettre en conformité votre WordPress avec la loi ?

Le RGPD vient de fêter ses 2 ans d’application. Malgré cela, il reste compliqué de s’y retrouver…. Rédigé en étroite collaboration avec une avocate experte en protection des données, Élise Guilhaudis, fondatrice de NUMETIK AVOCATS, cet article vous éclairera sur l’essentiel à retenir.

C’est quoi le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR) en anglais, est un règlement européen très important, entré en application le 25 mai 2018.

Le RGPD a un objectif : protéger les données personnelles, ou plus exactement renforcer cette protection car, en France, il existait déjà une loi sur le sujet depuis près de 40 ans : la Loi Informatique et Libertés. Cette loi existe toujours. Elle a été mise à jour et vient désormais compléter le RGPD.

Ces 2 textes prévoient de très nombreuses obligations à la charge de toute personne qui traite des données personnelles dans un cadre professionnel.

En France, une autorité est chargée de veiller au bon respect de la règlementation : la Commission Nationale de l’Informatique et des Libertés (CNIL).
Son rôle est d’informer, protéger mais aussi de réaliser des contrôles et notamment des contrôles à distance.

La CNIL peut prononcer de lourdes sanctions en cas de manquements constatés.
 Parmi les sanctions qui ont déjà eu lieu, on retiendra surtout l’amende de 50 millions d’euros prononcée par la CNIL à l’encontre de Google !

Le propriétaire d’un site Internet est-il concerné par le RGPD ?

Oui, le propriétaire d’un site Internet doit respecter le RGPD car, à travers les activités de son site Internet, il réalise très souvent des traitements de données personnelles.

De quels traitements s’agit-il exactement ?

Un site Internet peut collecter et stocker de nombreuses données personnelles :

  • Celles des internautes qui naviguent sur le site Internet : pour enregistrer leurs préférences ou encore mesurer l’audience du site ;
  • Les données des personnes qui entrent en contact avec l’éditeur du site Internet : pour demander des informations par le formulaire de contact ou un tchat en ligne par exemple ;
  • De nombreuses autres hypothèses de collecte sont possibles : inscription à une newsletter, création d’un compte, e-commerce, dépôt de commentaires, candidatures, etc. ;

Au plan juridique, le propriétaire du site Internet a la qualité de responsable de traitement car c’est lui qui décide des activités de son site Internet et donc des finalités des traitements de données personnelles.

Quelles sont les principales obligations du propriétaire d’un site Web ?

En tant que responsable de traitement, les obligations du propriétaire d’un site Internet sont nombreuses.

Voici les 5 règles principales à retenir pour le site Internet :

  1. Informer les personnes concernées des traitements de données ;
  2. Dans certains cas, obtenir le consentement des personnes ;
  3. Respecter les droits des personnes concernées (droit d’opposition, portabilité, etc.) ;
  4. Sécuriser le site et les données qu’il contient ;
  5. Signer un accord écrit de sous-traitance RGPD avec le webmaster et l’hébergeur du site ;

Avant de détailler ces 5 règles, rappelons que les obligations du responsable de traitement s’étendent bien au-delà de la seule gestion du site Internet et que d’autres obligations peuvent s’imposer à lui comme la désignation d’un DPO, la tenue d’un registre, l’analyse d’impact et plus encore.

Règle n°1 – Informer les personnes concernées des traitements de données qui sont réalisés

Cette première règle est essentielle. Le responsable du traitement doit informer la personne concernée des traitements de données qu’il réalise (quelles données, pourquoi, comment).

Cette information doit en principe se faire au moment de la collecte des données. Pour des questions de preuve, cette information sera donnée par écrit.

La plupart du temps, cette information se retrouve dans un document que l’on appelle politique de confidentialité ou politique de traitement des données personnelles.

Quelles sont les informations à donner ?

Les informations à fournir sont prévues par les textes : l’identité et les coordonnées du responsable, les finalités des traitements, les bases légales des traitements, les destinataires éventuels des données, les transferts de données hors UE, les durées de conservation, l’origine de la collecte, les droits dont disposent les personnes, ou encore l’existence ou non d’une prise de décision entièrement automatisée.

Attention : il faudra que l’information donnée soit la plus claire, complète et intelligible possible. À défaut, la CNIL estime que l’information donnée n’est pas valable, ce qui rend le traitement illicite. La politique de confidentialité doit donc être rédigée par une personne compétente.

En pratique, et pour ce que cette obligation d’information soit pleinement remplie, la politique de confidentialité devra être publiée sur le site Internet et accessible depuis toutes les pages du site, au même titre que les mentions légales.

Règle n°2 – Dans certains cas, obtenir le consentement des personnes concernées

Certaines activités de traitement de données nécessitent l’accord préalable de la personne.
En pratique, sur un site Internet, le consentement s’obtient le plus souvent par la case à cocher, communément appelée l’opt-in.

Mais, le consentement n’est pas toujours obligatoire. Tout dépend en réalité de l’objectif poursuivi par le responsable de traitement (la finalité).

En pratique, comment savoir si le consentement est nécessaire ou pas ?

Lorsque le propriétaire du site Internet réalise un traitement de données personnelles, il doit s’interroger sur la base légale, c’est-à-dire sur ce qui l’autorise à faire ce traitement.

Le consentement est l’une des 5 bases légales possibles pour les données personnelles non sensibles.

Les autres bases légales sont le respect d’une obligation légale, l’exécution d’un contrat ou de mesures avant contrat (par exemple un devis), la mission de service public et l’intérêt légitime.

Dans le cadre des activités d’un site, voici comment ces bases légales pourraient être appliquées.

La base légale « Exécution d’un contrat » pourrait permettre :

  • La vente en ligne (le fait de traiter les données d’un client pour lui livrer sa commande) ;
  • La gestion du service support ou service après-vente ;

La base légale « Exécution de mesures avant contrat » pourrait être utilisée pour :

  • Répondre aux demandes de renseignement ou de devis faites via le formulaire de contact du site
  • L’envoi d’un devis à la demande d’un internaute

La base légale de « l’intérêt légitime » pourrait permettre :

  • Les traitements de données réalisés dans le cadre de la gestion technique du site Internet (maintenance, hébergement, sécurité), l’envoi d’une newsletter commerciale en B2B, ainsi qu’aux clients actuels (et anciens clients de moins de 3 ans) ;

La base légale du « consentement » serait en revanche nécessaire dans les cas suivants :

  • L’envoi d’une newsletter commerciale en B2C (et à des anciens clients de plus de 3 ans) ;
  • La gestion de candidatures (recrutement en ligne) ;
  • La gestion d’avis et commentaires en ligne ;
  • L’utilisation de la plupart des cookies (et autres traceurs), par exemple à des fins de marketing ciblé ;
  • Le transfert des données en dehors de l’UE ;
  • Le transfert des données à un partenaire à des fins de prospection commerciale ;

Pour ces traitements, le consentement de la personne devra être donné pour chaque finalité et de manière expresse et préalable (pas de case pré-cochée).

De plus, le consentement ne sera valable que si l’information précisée à la règle n°1 a été donnée de manière claire, complète et intelligible.

Règle n°3 – Respecter les droits des personnes concernées (droit d’opposition, portabilité, etc.)

Le responsable de traitement doit respecter les droits des personnes, prévus par le RGPD.

Ces droits sont les suivants :

  • Le droit d’être informé ;
  • Le droit d’obtenir une copie des données traitées ;
  • Le droit de demander à ce que ces données soient mises à jour si elles ne sont pas exactes ;
  • Le droit de s’opposer à un traitement si la personne justifie d’un motif légitime ;
  • Le droit de demander l’effacement des données traitées si la personne justifie d’un motif légitime ;
  • Le droit de demander la portabilité des données (la possibilité de récupérer une partie de ses données dans un format lisible par une machine) ;

La personne concernée doit également être informée du fait qu’elle peut saisir la CNIL en cas de contestation.

Règle n°4 – Sécuriser le site et les données qu’il contient

Le responsable du traitement doit protéger les données personnelles contre les risques d’accès non autorisés, l’altération et la perte de données.

Pour cela, il doit mettre en place des mesures techniques et organisationnelles adaptées.

Ainsi, pour sécuriser un site Web, les précautions élémentaires suivantes devront être prévues :

  • Mise en place du protocole TLS dans sa dernière version ;
  • Limiter les ports de communication. Si l’accès à un serveur Web passe uniquement par HTTPS, il faudra autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 en bloquant tous les autres ports ;
  • Limiter l’accès aux interfaces d’administration aux seules personnes autorisées ;

Pour en savoir plus, vous pouvez consulter les recommandations de l’ANSSI pour sécuriser un site Web.

En cas de violation de données, le propriétaire du site Internet devra informer la CNIL de cette violation, sous 72 heures maximum. En cas de manquement, il s’expose à des sanctions.

Règle n°5 – Signer un accord écrit de sous-traitance RGPD avec le webmaster et l’hébergeur du site

Le webmaster et l’hébergeur du site Internet ont un rôle important puisqu’ils assurent la maintenance et l’hébergement du site Internet.

Dans le cadre de leurs missions, Ils ont accès aux données personnelles du site Internet et/ou du serveur et peuvent être amenés à réaliser certains traitements.

C’est pourquoi le webmaster et l’hébergeur doivent également respecter le RGPD. Ils doivent notamment mettre en place les mesures de sécurité appropriées pour protéger les données personnelles contre tout risque de violation.

A l’égard du propriétaire du site, le webmaster et l’hébergeur interviennent en général comme sous-traitant des données, c’est-à-dire uniquement sur instructions du client. En effet, un sous-traitant ne peut pas décider d’exploiter les données de son client, pour son propre compte — ou alors il devient responsable de traitement à son tour.

Lorsqu’un sous-traitant intervient, le RGPD impose un écrit (un contrat) avec le responsable de traitement (article 28 du RGPD). Cet écrit devra notamment prévoir l’objet du traitement, la durée, la nature et la finalité de ce traitement, le type de données personnelles et les catégories de personnes concernées. Ce document écrit devra également prévoir les obligations et les droits du responsable du traitement.

Nous venons de passer en revue les 5 principales règles RGPD en matière de site Internet mais sachez qu’il existe d’autres obligations : traitement licite, loyal et transparent des données, minimisation, durée de conservation limitée, etc.

Pour en savoir plus sur les obligations RGPD, n’hésitez pas à visionner la web-série RGPD de 6 vidéos gratuites conçue par NUMETIK AVOCATS, ainsi que sa rubrique d’information dédiée.

Quelles sont les sanctions en cas de non-respect des règles RGPD ?

Les sanctions possibles sont importantes et peuvent être infligées, tant à l’égard du responsable de traitement (le propriétaire du site) que du sous-traitant (le webmaster et l’hébergeur).

La CNIL peut d’abord prononcer des sanctions administratives. La nature et l’importance des sanctions varieront selon la gravité de la violation. Les amendes maximums sont les suivantes :

  • 10 à 20 millions d’euros pour les personnes physiques ;
  • 2 à 4 % du chiffre d’affaires mondial pour les sociétés / administrations ;

Des sanctions civiles sont également possibles en cas de poursuites devant les juridictions administratives ou judiciaires (actions individuelles et collectives).

Enfin des sanctions pénales sont prévues dans certains cas.

Par exemple en cas de sécurité des données insuffisante ou encore en cas de non-respect du droit d’opposition exercée par une personne.

Quelles solutions RGPD au plan juridique ?

S’informer et s’entourer sont les deux conseils que nous vous donnons pour vous aider à vous mettre en conformité.

S’informer pour comprendre ses obligations RGPD

Lorsque l’on est un professionnel et que l’on traite des données personnelles, il est essentiel de s’informer pour comprendre quels sont ses droits et ses obligations. La CNIL publie régulièrement sur son site des conseils, recommandations et fiches pratiques.

S’entourer pour se faire aider

Compte tenu de la complexité de la matière, notre second conseil est de vous entourer, si cela est nécessaire, de professionnels qui maîtrisent la règlementation RGPD et qui sauront vous aider.
2 types de profils sont intéressants : les profils juridiques (avocat / juriste) et les profils orientés sécurité informatique.

Les offres d’accompagnement disponibles sur Internet sont nombreuses et il est parfois difficiles de s’y retrouver. Dans tous les cas, nous vous conseillons de vérifier, avant de vous engager, les qualifications et expériences des prestataires qui vous proposent leurs services.

Le cabinet NUMETIK AVOCATS intervient quotidiennement sur le RGPD et propose pour sa part 2 types de solutions en fonction des besoins de ses clients :

  • Un accompagnement sur mesure et sur devis (audit, formation, conseil, rédaction) ;
  • Des documents et packs juridiques disponibles directement sur son site (depuis sa solution NUMEDOC) ;

Le Pack juridique du site Internet permet d’obtenir en ligne 3 documents juridiques d’avocats fiables et personnalisés, dont 2 sur le RGPD :

  • Les mentions légales ;
  • La politique de confidentialité (RGPD) ;
  • La charte d’utilisation des cookies (RGPD) ;

Vous commandez et personnalisez vos documents en ligne. Ils peuvent ensuite être vérifiés par le cabinet sur option.

Au-delà de la conformité juridique, le site Internet devra intégrer des solutions techniques conformes au RGPD.

Quelles solutions RGPD au plan technique ?

Le choix des solutions techniques relève d’abord de la responsabilité du développeur du site Internet, ainsi que de celle du webmaster.
Lorsqu’ils créent et administrent un site Internet pour un client, le développeur et le webmaster doivent s’assurer qu’ils utilisent des outils et extensions qui respectent le RGPD, notamment le principe du Privacy by design (protection des données personnelles dès la conception).

Attention car les outils et extensions qui prétendent être « conformes RGPD » sont nombreux. Mais ce n’est parce qu’ils prétendent l’être qu’ils le sont pour autant.

Il faut être vigilant et vérifier systématiquement que les solutions techniques utilisées sont conformes à la règlementation sur la protection des données personnelles.

Passons à présent en revue quelques exemples de solutions techniques (bandeau cookies, export et suppression des données, politique de confidentialité et recueil de consentement).

La gestion des cookies avec le fameux bandeau

Rappelons rapidement les 2 règles juridiques à connaître en matière de cookies. L’éditeur du site doit :

  1. Informer l’internaute qui navigue sur son site qu’il utilise des cookies ;
  2. Obtenir son consentement express et préalable avant de déposer des cookies (sauf pour les cookies nécessaires au fonctionnement du site) ;

Cette information et ce consentement doivent se faire avant tout dépôt de cookie.

L’information devra être donnée de manière claire, lisible et complète sur les finalités des cookies utilisés et l’identité de leurs responsables (notamment pour les cookies tiers de type Facebook Pixel).

Par ailleurs, pour chaque finalité de cookie, l’internaute devra pouvoir accepter, refuser, ne pas choisir (ce qui équivaut à un refus) et changer d’avis à tout moment.

Le choix de l’internaute devra être conservé par l’éditeur du site à des fins de preuve.

Sur la base des dernières recommandations de la CNIL, NUMETIK AVOCATS conseille de prévoir un bandeau cookies adapté, ainsi qu’une charte d’information sur les cookies utilisés.

À noter que dans une récente décision du 19 juin 2020, le Conseil d’État a estimé que la pratique des cookies walls est possible (contrairement à la position de la CNIL). Il serait donc possible d’empêcher l’accès du site, tant que l’internaute n’a pas accepté les cookies.

Au plan technique, la mise en place du bandeau des cookies passe nécessairement par l’ajout d’une extension additionnelle. Prenez garde toutefois car la plupart d’entre elles ne semblent pas conformes à la règlementation, alors qu’elles prétendent le contraire.

Par exemple, certaines extensions apposent un bandeau, sans pour autant que cela ne bloque le dépôt de cookies. Il faut aussi relever que la plupart des extensions ne permettent pas de scanner tous les cookies mis en place sur le site et donc de proposer un blocage complet.

Et puis, n’oublions pas que les webmaster et développeurs sont responsables des réglages qu’ils opèrent. Une erreur ou négligence de leur part peut potentiellement invalider la mise en conformité.

Comme toujours, il existe des extensions gratuites et d’autres premium qui vont notamment être capables de scanner le site pour en lister les cookies. Car il faut bien l’avouer, l’obtention de cette liste puis leur classification par type (cookies obligatoires, cookies publicitaires, etc.)sont bien souvent complexes et requièrent de bonnes compétences en matière de développement Web.

Passons en revue quelques extensions qui ont attirés notre attention, sans pour autant nous convaincre totalement.

Cookiebot

Cookiebot affirme être l’extension capable de mettre en conformité votre site Web. Par défaut, les réglages les plus stricts s’appliquent si vous optez pour l’implémentation automatique. En revanche, une implémentation manuelle est directement liée à vos connaissances techniques et juridiques pour assurer le respect de la règlementation.

Gratuit pour un domaine et un maximum de 100 pages, Cookiebot dispose d’offres payantes démarrant à 9 € / mois / domaine pour moins de 500 pages. Autant dire que la facture peut vite grimper !

Autre point positif et non des moindres : le stockage du consentement utilisateur de manière sécurisée avec la possibilité pour l’utilisateur de le supprimer à sa convenance.

Cookiebot | GDPR/CCPA Compliant Cookie Consent and Control

Extension de mise en conformité RGPD pour WordPress.

Taille : inconnu  • Hits : 129

tarteaucitron.js

Le script tarteaucitron.js est disponible gratuitement dans le cas d’une installation manuelle. Si vous souhaitez l’installer via WordPress, il vous faudra créer un compte et débourser 15 € / mois, sans limites de sites ou de services pris en charge (95 à ce jour). Vous disposez également d’une période d’essai.

tarteaucitron.js – Cookies legislation & GDPR

Extension recommandée par la CNIL pour assurer la conformité avec le RGPD.

Taille : 21 o  • Hits : 90

Cookie Notice

Avec plus d’un million d’installations actives, Cookie Notice figure sur le podium des extensions de gestion du consentement. Simple d’utilisation, Cookie Notice affiche un bandeau élégant et facile à personnaliser.
Néanmoins, on pourra lui reprocher la présence d’options non conforme au RGPD comme le consentement automatique lors du défilement ou d’un clic sur la page. Par ailleurs, nous n’avons pas été en mesure de faire fonctionner correctement l’option de révocation du consentement par l’utilisateur lors de nos tests.

Cookie Notice

Extension de gestion du consentement pour WordPress.

Taille : 48 o  • Hits : 74

Axeptio

Cette solution offre sans doute la bannière cookie la plus présentable du marché au détriment toutefois des performances.

L’outil de configuration en ligne requiert la création d’un compte utilisateur sur la plateforme Axeptio. L’assistant de configuration, entièrement en français, est plutôt simple à prendre en main. Toutefois, il vous faudra gérer manuellement le blocage des cookies ce qui nécessitera obligatoirement l’aide d’un développeur.

L’export / suppression des données personnelles

Cette fonction est importante car elle permet à l’éditeur du site Internet de répondre à certaines obligations prévues par le RGPD : droit à la portabilité et droit à l’effacement des données en cas de demande légitime faite par la personne concernée.

WordPress dispose d’outils natifs pour gérer les demandes d’export et de suppression des données personnelles. La plupart des extensions reposent sur ces outils pour y rattacher leurs données. C’est par exemple le cas de WooCommerce.

L’opération s’opère en 5 étapes :

  1. La personne concernée contacte par e-mail ou un formulaire le responsable du traitement pour effectuer une demande d’export ou de suppression ;
  2. L’éditeur du site (le responsable du traitement) envoie une demande de confirmation depuis l’outil intégré à WordPress dans le menu Outils puis Exporter / Effacer les données. Cette étape permet de s’assurer que la demande est légitime. Pour les développeurs, notez que le lien redirige vers la page de connexion que vous avez peut être personnalisée — auquel cas, vérifiez que le rendu est correct ;
  3. La personne concernée confirme la demande en cliquant sur un lien unique reçu par e-mail ;
  4. Le responsable du traitement valide l’envoi d’un nouvel e-mail avec un lien unique de téléchargement des données personnelles. La durée de validité du lien est de 72 heures ;
  5. La personne concernée télécharge ses données et peut les consulter en local via un simple navigateur ;

En cas de besoin, le responsable du traitement peut forcer l’opération depuis le back-office.

Bien que simple d’utilisation, ces outils ne sont pas infaillibles et il appartient au responsable du traitement de s’assurer que les données personnelles ont bien été supprimées et / ou anonymisées pour la personne concernée.

L’ajout de la page de confidentialité

WordPress dispose d’une fonctionnalité permettant d’intégrer au site Internet une page de politique de confidentialité. La plupart des extensions connues feront le lien avec celle-ci lorsqu’il s’agira d’informer la personne concernée des traitements opérés sur ses données personnelles.

Pour la créer, ouvrez l’onglet Réglages puis Confidentialité. Choisissez une page déjà existante à l’aide de la liste déroulante ou bien créez-en une nouvelle.

Un guide est également disponible pour vous fournir des textes d’exemples à insérer dans cette page. Pour y accéder, cliquez simplement sur le lien Consulter notre guide.

De nombreuses extensions ajoutent d’ailleurs leurs propres exemples afin de vous éclairer dans sa rédaction.

Attention cependant : il ne s’agit là que d’un guide qui n’a aucune valeur juridique et qui reste à compléter par vos soins. D’ailleurs, comme rappelé à la Règle n°1, la politique de confidentialité devra systématiquement être adaptée en fonction de chaque traitement de données du site Internet et rédigée avec soin par une personne compétente en RGPD.

N’oubliez pas d’ajouter la politique de confidentialité dans un menu de navigation de votre pied de page.

Le recueil du consentement sur le site Internet et notamment les formulaires

Comme rappelé à la Règle 2, certains traitements de données (mais pas tous) nécessitent le consentement express et préalable de la personne.

Ce consentement peut techniquement être obtenu par l’ajout d’une case à cocher ou encore d’un bouton « J’accepte » sur le site Internet.

Ce consentement sera recueilli au niveau de la collecte de données proposée.

Pour certains traitements, la case à cocher suffira : “J’accepte la politique de confidentialité”

Mais dans d’autres cas, l’éditeur devra prévoir une case à cocher spécifique dédiée au traitement de données en question, comme par exemple, pour le transfert des données à un partenaire à des fins de prospection commerciale.

Dans un telle hypothèse, un consentement spécifique devra être donné :

J’accepte que mes données soient communiquées au partenaire X, afin de recevoir des offres commerciales privilégiés de sa part. Pour en savoir plus, vous pouvez consulter notre politique de confidentialité”.

Les extensions de gestion des formulaires intègrent pour la plupart un champ spécifique pour le RGPD. C’est le cas notamment de Gravity Forms que nous recommandons depuis des années auprès de nos clients. Grâce à ce champ spécial, le recueil du consentement est enregistré de manière horodatée, dans les entrées de formulaires ce qui permet de prouver efficacement ce dernier.

Si l’éditeur du site stocke les entrées de formulaire en back-office, comme le propose Gravity Forms, il devra veiller à configurer les réglages sur les données personnelles au sein de chaque formulaire.

Il sera ainsi possible de :

  • Empêcher le stockage d’adresses IP pendant l’envoi du formulaire ;
  • Automatiser la suppression définitive des entrées de formulaires au bout d’un nombre de jours à définir.
  • Intégrer le formulaire avec les outils WordPress pour l’export et la suppression des données personnelles : l’éditeur peut alors choisir les champs concernés via des cases à cocher ;

Au travers de l’exemple de Gravity Forms, vous comprenez l’importance de choisir des extensions qui s’intègrent au sein d’un socle technique capable d’assurer une conformité exemplaire en matière de RGPD. Agissez par analogie en vérifiant vos installations WordPress respectives.

Conclusion

Il y aurait encore beaucoup à dire sur le RGPD mais nous allons nous arrêter là, car l’objectif de cet article était de vous dire l’essentiel sur les obligations RGPD en matière de site Internet. Et vous avez pu constater qu’elles sont nombreuses et pas toujours simples à comprendre !

D’où l’importance de s’informer et de se faire aider par des personnes sérieuses et compétentes. N’hésitez pas à nous faire part de vos commentaires si vous le souhaitez.

Par Élise Guilhaudis

Avocate conseil en droit du numérique, fondatrice et présidente du cabinet NUMETIK AVOCATS.

Par Aurélien Denis

Consultant & Développeur WordPress / WooCommerce. Un site à créer, à maintenir ou à débuguer ? Contactez-moi.

Des tutoriels et des bons plans en exclusivité !
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
7 commentaires
  1. Alexis

    Bonjour.
    Merci pour cet article très informatif. Je suis développeur Web WordPress et essaye toujours de guider mes clients qui sont souvent perdus sur les questions des RGPD.
    J’ai ainsi trois questions auxquels vous pourrez peut être répondre :
    1 – En tant que développeur / webmaster (donc sous-traitant), est-ce à mon client (le responsable de traitement) de rédiger et me faire signer un contrat relatif aux RGPD / traitement des données ou dois-je m’en occuper ?

    2 – Sur WooCommerce, il est nécessaire de définir la durée de conservation de certaines données clients, listées ci-dessous. Au delà de la durée définie, les données sont automatiquement effacées, mais en l’absence de durée explicitement renseignée, elles sont conservées indéfiniment (ce qui n’est pas légal si je ne m’abuse).
    • Comptes inactifs
    • Commandes en attente (impayés et peut être abandonnées par le client)
    • Commandes échouées (impayés et peut être abandonnées par le client)
    • Commandes annulées (impayés et peut être abandonnées par le client ou annulé par le gestionnaire de site)
    • Commande terminés

    J’ai fait de nombreuses recherches pour essayer de trouver des durées légales indiquées pour ce type de données mais en vain. Seriez-vous en mesure de me fournir des informations précises sur ces points ?

    3 – Ce n’est pas vraiment une question mais plutôt une remarque concernant les extensions pour l’affichage du bandeau / gestion des cookies : il semble vraiment compliqué de trouver LA solution qui soit réellement compatible RGPD. J’utilise également Cookie Notice mais votre remarque sur les tests non concluants concernant la révocation du consentement m’effraye un peu. Pouvez-vous apporter plus d’informations sur ce point ?

    Merci d’avance et bravo à nouveau pour votre article qui aidera les développeur à s’y retrouver un peu mieux dans cette jungle juridique !

    1. Élise Guilhaudis auteur de l’article

      Bonjour Alexis et merci pour vos retours positifs sur l’article !
      Je réponds à vos 3 questions :

      Question 1 – En tant que développeur / webmaster (donc sous-traitant), est-ce à mon client (le responsable de traitement) de rédiger et me faire signer un contrat relatif aux RGPD / traitement des données ou dois-je m’en occuper ?

      Réponse 1 : L’obligation concerne les 2 : vous et votre client.
      Cependant, votre client étant censé vous donner des instructions de traitement de données personnelles (puisque vous êtes sous-traitant et que vous ne pouvez pas traiter les données sans ses instructions), je dirais donc que c’est d’abord au client de se préoccuper de ce sujet !
      Mais, en tant donné que vous êtes développeur / webmaster professionnel, je vous conseille d’élaborer un accord RGPD type à faire signer à tous vos clients (et qui serait rédigé de manière à protéger d’abord et avant tout vos propres intérêts ;))

      Question 2 – Sur WooCommerce, il est nécessaire de définir la durée de conservation de certaines données clients, listées ci-dessous. Au-delà de la durée définie, les données sont automatiquement effacées, mais en l’absence de durée explicitement renseignée, elles sont conservées indéfiniment (ce qui n’est pas légal si je ne m’abuse).
      • Comptes inactifs
      • Commandes en attente (impayés et peut être abandonnées par le client)
      • Commandes échouées (impayés et peut être abandonnées par le client)
      • Commandes annulées (impayés et peut être abandonnées par le client ou annulé par le gestionnaire de site)
      • Commande terminés
      J’ai fait de nombreuses recherches pour essayer de trouver des durées légales indiquées pour ce type de données mais en vain. Seriez-vous en mesure de me fournir des informations précises sur ces points ?

      Réponse 2 : la suppression automatique des données n’est pas une obligation légale. C’est à votre client, le « responsable de traitement » et éditeur du site (et non à vous) de définir les durées de conservation, et de décider ou non de leur suppression après ces durées. Vous ne pouvez rien faire sans instructions précises de votre client sur ce sujet. Si ce dernier ne vous donne aucune instruction, je vous conseille de lui faire un mail pour l’inviter à définir ces durées de conservation, en l’informant du fait qu’à défaut de durée fixée, les données ne seront pas supprimées automatiquement par l’outil et qu’une suppression manuelle des données sera alors nécessaire.
      Je rappelle enfin que c’est au client de faire cette suppression, sauf à vous en donner instruction écrite 😉

      Question 3 : Ce n’est pas vraiment une question mais plutôt une remarque concernant les extensions pour l’affichage du bandeau / gestion des cookies : il semble vraiment compliqué de trouver LA solution qui soit réellement compatible RGPD. J’utilise également Cookie Notice mais votre remarque sur les tests non concluants concernant la révocation du consentement m’effraye un peu. Pouvez-vous apporter plus d’informations sur ce point ?

      Réponse 3 : je vous confirme qu’il n’est vraiment pas simple de trouver LA solution en matière de cookies.
      De mon côté, je cherche encore !
      Concernant Cookie Notice, Aurélien Denis, qui a testé la solution, saura peut-être vous en dire plus 🙂

      A bientôt Alexis !

      1. Alexis

        Merci Élise pour cette réponse très complète et éclairée ! Je vais m’atteler à la rédaction de ce document type pour être sûr d’être protégé et en maximum en conformité.

  2. Anthony

    Bonjour,
    Bravo et merci pour cet article.
    J’ai néanmoins quelques petites questions en suspens.
    1/ Concernant la preuve du consentement au dépôt de cookies, celle-ci est elle obligatoire ? si on utilise pour les mesures d’audience par exemple des données anonymisées, elle me paraît difficile à mettre en place ?
    2/ J’ai mis en place une application permettant la présence sur mon site de boutons de partage vers les réseaux sociaux. Cette pratique nécessite t-elle l’obtention d’un consentement via bannière de cookie ? Je m’interroge car si l’utilisateur utilise ces boutons pour partager, cela ouvre une fenêtre indépendante de mon site sur la page du réseau social en question. Ce n’est donc pas mon site qui dépose le ou les cookies mais le site du réseau en question. Je n’ai donc pas de moyen de bloquer le dépôt de ces cookies via mon site et ne suis pas responsable du dépôt. La question se pose également pour les boutons “me suivre” qui renvoi vers nos pages de réseaux sociaux ? Difficile de s’y retrouver avec les nouvelles préconisations de la CNIL…
    3/ Si vous avez testé cookiebot comme extension wordpress, je me pose la question de la sécurité des données, le service étant hébergé sur le cloud ?

    Merci pour votre retour, Cpordialement

    1. Elise Guilhaudis

      Bonjour Anthony,
      Merci pour votre commentaire !
      Je réponds avec plaisir à vos questions.

      1/ Lorsque le consentement est requis au dépôt de cookies, oui l’éditeur doit conserver la preuve de ce consentement.
      Si vous anonymisez la ou les données collectées, vous êtes alors libéré des contraintes de recueil de consentement. Mais l’anonymisation doit respecter certaines conditions (voici ce que dit la CNIL à ce sujet : https://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles
      J’ignore par exemple si l’anonymisation proposée par Google Analytics respecte les exigences de la CNIL…

      2/ Je vous confirme que le traceur qui permet le partage de contenus sur des réseaux sociaux nécessite un consentement express et préalable de la personne. Il s’agit d’un traceur tiers (Facebook, Linkedin, YouTube).
      Dans ce cas, il existe une coresponsabilité de traitement entre vous (l’éditeur du site qui permet le partage de contenu) et le fournisseur du traceur (le réseau social) qui est informé lorsque la personne partage un contenu provenant de votre site.

      3/ Cookiebot stocke a priori les données dans le cloud Azur de Microsoft.
      Le siège de Microsoft est en Ireland mais elle a une filiale aux US.
      Ce n’est pas tant la question de la sécurité des données, que celle du transfert de données hors UE qui se pose en réalité.
      En effet, Microsoft s’engage contractuellement à respecter le RGPD. En particulier, que les données restent stockées en Europe. Cependant, et compte tenu de la législation américaine en matière de sécurité nationale, des transferts de données vers les États-Unis à la demande du gouvernement américain ne peuvent être exclus.
      C’est pourquoi la Cour de Justice de l’Union Européenne vient de juger dans un arrêt très important du 16/07/20 que la législation américaine n’est pas aussi protectrice des données personnelles et des droits de recours, que la règlementation européenne (en invalidant le Privacy Shield).
      Compte tenu de cette récente décision européenne, il devient désormais nécessaire de passer par des solutions 100% française ou européenne (ce qui est loin d’être simple en pratique).

      A bientôt 🙂
      Elise

      1. Anthony

        Bonjour et merci grandement pour ces précisions.

        1/ J’utilise matomo (ex-piwik) pour la mesure d’audience qui du côté anonymisation respecte les préconisations CNIL.

        2/Arf, dure nouvelle, que j’avoue avoir du mal à saisir. Avec ce(s) bouton(s) de partage facebook, je ne trace personne personnellement, ne récolte aucune donnée et ne dépose aucun cookie via mon site. Par ailleurs pour que le visiteur partage sur Fb il faut qu’il soit détenteur d’un compte Fb, ce qui pour moi sous-entends qu’il à déjà souscrit au service et en accepte les conditions. Lors de la création de son compte Fb, il a par ailleurs déjà accepter ou refuser le dépôt des cookies. Bref cela me laisse perplexe. Cela sous entends par ailleurs que nombres de sites sont actuellement dans l’illégalité.

        3/ Pour les raisons que vous évoquez, je ne suis pas particulièrement fan de cookiebot. Je me posais juste la question car il propose gratuitement la preuve du consentement.

        Merci pour votre retour et bonne journée.

        1. Anthony

          Edit sur le point 2/ : je précise par ailleurs que je n’utilise pas une extension officielle de facebook pour le partage sur mon site mais une extension de type social warfare ou social rocket. Donc pas de pixel ou de traceurs particulier sur mon site, même si l’utilisateur n’a pas de compte FB. Je pensais par ailleurs que préciser dans la politique de confidentialité, le fait que l’utilisation de ces boutons de partage renvoie vers une page sur laquelle sa propre politique de gestion des cookies et de confidentialité s’applique suffisait.

Laisser un commentaire