1. Disposer dʼune politique de confidentialité

Premier point essentiel du RGPD : la nécessité dʼapposer, à même son site web, des mentions dʼinformation claires et transparentes pour les utilisateurs. Il vous faut créer sur la politique de confidentialité de votre site et revoir vos conditions générales de vente (si vous avez une boutique). Votre page de politique de confidentialité, généralement située dans votre pied de page, doit expliquer concrètement ce que vous faites avec ces données. Faites-y donc apparaître :

• Vos coordonnées, ainsi que lʼéditeur du site, et son hébergeur.
• Quel type de données vous récoltez lors de lʼinscription ou de la commande sur votre site web : nom, prénom, email, téléphone, adresse postale, adresse IP…
• Pourquoi vous collectez ces données : communication par newsletters, facturation, suivi du comportement de lʼutilisateur sur le site…
• Combien de temps vous stockez ces données : vous pouvez garder les données marketing 3 ans maximum, et les données liées à la facturation des commandes 6 ans maximum.
• Les mesures de sécurité que vous avez mises en place pour assurer la protection de ces données, ainsi que la manière dont ils peuvent exercer leur droit de modification ou de suppression de ces données. 

Depuis la version 4.9.6 de WordPress, vous pouvez créer votre page de Politique de Confidentialité directement depuis lʼonglet Réglages > Confidentialité de votre interface WordPress.

2. Revoir tous les formulaires de son site WordPress

Les éléments qui sont les plus impactés par le RGPD sur le web sont les formulaires. Il sʼagit en effet dʼun point de contact-clé entre vous et vos visiteurs, où ils partagent avec vous leurs données à caractère personnel. Les créateurs de sites WordPress gèrent généralement ces formulaires, dits “dʼopt-in”, via des plugins comme OptinMonster couplé à un MailChimp ou encore MailPoet (il en existe beaucoup dʼautres).

Dans tous les cas, il faut :

• Ajouter une mention de transparence indiquant qui est le responsable de traitement ;
• Spécifier la raison de la récolte des données (par exemple : “Entrez votre adresse email pour recevoir notre newsletter”) ;
• Préciser les droits associés cʼest-à-dire comment accéder à leurs données, mais aussi les rectifier et les effacer à tout moment (donc se désabonner) ;
• Renvoyer vers la politique de confidentialité pour fournir davantage de précisions sur les diverses modalités.

Concernant les cases à cocher, il nʼest pas indispensable dʼen ajouter pour obtenir le consentement des utilisateurs dans le cas où il nʼy a quʼune seule raison de collecte (en lʼoccurrence, recevoir une newsletter). Par contre, si vous prévoyez de partager ces données à des partenaires et de faire de la prospection, lʼutilisateur doit donner son consentement pour chacun de ces usages. Dans ce cas de figure, un formulaire devrait être accompagné de la mention de transparence ainsi que de deux cases à cocher (une par consentement supplémentaire).

Notez également que vous ne pouvez pas demander à un client de vous laisser des données qui nʼont aucun rapport avec ce pour quoi ils sʼinscrivent. Si vous leur demandez par exemple de sʼinscrire à une newsletter, inutile de leur demander leur sexe ou encore leur âge. 

3. Faire un point sur ses extensions WordPress

Commencez par lister toutes vos extensions qui pourraient avoir un rapport avec :

• La récolte du consentement et des données de vos utilisateurs : plugins de formulaires, de commentaires, de retargeting, etc.
• Lʼutilisation de vos données utilisateurs : plugins de personnalisation de contenus, de suivi du comportement des visiteurs, de newsletters, de marketing automatisé, etc.

Cherchez sur les sites officiels de ces plugins ou dans leur documentation ce quʼont fait leurs développeurs pour sʼaligner avec le RGPD.

4. Créer un process d’effacement ou de modifications de données

Le RGPD vous oblige ainsi à…

• Conserver 36 mois maximum des contacts inactifs (qui nʼouvrent pas vos e-mails donc) dans votre base de données ;
• Réafficher au bout de 13 mois le bandeau dʼacceptation des cookies pour lʼutilisateur.

Il va donc vous falloir mettre en place une procédure simple qui permettra à vos utilisateurs de :

• Retirer leur consentement
• Accéder à leurs données
• Les modifier
• Demander à les effacer
• Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)

En cas de réception dʼune demande dʼeffacement, rendez-vous dans lʼonglet Outils > Effacer les données de votre administration.

On vous a demandé dʼavoir accès à toutes les données personnelles laissées sur votre site ?Outils > Exporter les données, et procédez de la même manière. Vous pouvez ensuite envoyer un fichier .zip contenant toutes les données de lʼutilisateur en question.

Envie de laisser vos utilisateurs gérer de manière autonome lʼeffacement ou la modification de leurs données ? Mettez en place le plugin GDPR Data Request Form. Simple et efficace !

4.  Se préparer à une éventuelle faille de sécurité

Il vous faut également vous assurer que vous garantissez efficacement la sécurité des données à caractère personnel de vos internautes. Voici quelques éléments quʼil vous faut donc prendre en compte :

• Il est nécessaire de mettre en place des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la données, pseudonymisation… Vos process internes doivent être clairs à ce sujet.
• Il vous faut informer la CNIL dans les 72 heures en cas de faille de sécurité. Dans certains cas, il vous faut même informer lʼutilisateur concerné, notamment si la faille est susceptible dʼengendrer un risque élevé pour ses droits et libertés.

5. Instaurer un registre interne de traitement des données

Depuis le 25 mai 2018, une obligation  de tenir un registre de traitement des données. Lʼidée ? Mettre en place, en interne, une documentation complète qui atteste que vous êtes en conformité avec le RGPD.