Comment mettre son site WordPress ou Prestashop en conformité avec le RGPD ?

Comme vous le savez certainement, le nouveau règlement européen sur la protection des données, le RGPD, est pleinement entré en vigueur le 25 mai 2018. Si vous êtes un marketeur ou un chef d’entreprise qui visite régulièrement les réseaux sociaux professionnels, vous avez dû entendre que cette nouvelle législation impose de nombreuses nouvelles obligations. Le respect de ces nouvelles obligations vous conduira certainement à revoir quelques points-clés de votre site internet. Pour vous aider dans votre démarche de mise en conformité de votre site, DPMS fait le point sur les éléments à revoir pour mettre votre site WordPress ou Prestashop en conformité avec les normes du RGPD.

Site WordPress : ce qu’il faut changer pour se mettre en conformité avec le RGPD

Si vous voulez que votre site WordPress soit conforme avec les normes du RGPD, vous devez y apporter quelques modifications plus ou moins importantes :

  1. Revoir les conditions d’utilisation et la politique de confidentialité

    Le RGPD vous oblige à communiquer aux internautes des informations claires et transparentes sur les conditions d’utilisation et la politique de confidentialité de votre site.

    Politique de confidentialité : les informations qui doivent y figurer

    Votre politique confidentialité (en bas de page) doit maintenant informer les utilisateurs sur l’usage qui sera fait de leurs données. Elle doit en outre contenir les informations telles que : vos coordonnées, les types de données que vous collectez, les raisons de la collecte, la durée de conservation des données (3 ans pour les données marketing et 10 ans pour les données liées à la facturation des commandes) et les mesures de sécurité mise en œuvre pour protéger les données. La page où se trouve votre politique de confidentialité doit également apparaître à chaque moment où vos utilisateurs vous communiqueront leurs données. Pour ce faire, rajoutez une case à cocher à vos formulaires (j’ai lu et accepte la politique de confidentialité de ce site).

    Conditions générales d’utilisation : n’oubliez pas les nouveaux droits prévus par le RGPD

    Les conditions générales d’utilisation sont en quelque sorte le contrat qui vous lie avec l’internaute. Elles vont renseigner les visiteurs sur les modalités d’utilisation de votre site. Vos conditions générales d’utilisation doivent être révisées pour ne pas aller à l’encontre des nouvelles normes du RGPD.

  2. Revoir les formulaires de son site

    Le consentement est l’un des points clés du RGPD. Il faut veiller à ce que les utilisateurs aient donné leur consentement de manière éclairée. Cette importance donnée au consentement vous oblige à revoir tous les formulaires de votre site.
    À partir de maintenant, ils doivent avoir une case indiquant que l’internaute désire bien partager ses données. Ils doivent également contenir des informations sur les raisons de la collecte des données. Enfin, ils doivent proposer aux internautes un moyen de se désinscrire ou d’accéder à leurs données facilement. Ces conditions sont également valables pour les formulaires de contact.
    Il faut préciser qu’en raison du principe de la minimisation des données, il n’est plus possible aujourd’hui de demander à l’internaute une information sans aucun rapport avec les raisons qui les poussent à s’inscrire. Pour illustration, si vous demandez à un internaute de s’inscrire à votre newsletter, vous ne pourrez plus lui demander son sexe ou encore son état civil.

  3. Bien encadrer les commentaires

    Le RGPD vous oblige à bien encadrer les commentaires qui apparaissent sur votre site. Ici encore, il faut veiller à ce que chaque utilisateur ait bien donné son consentement. Il y a 2 méthodes qui permettent de déduire qu’un utilisateur a bien consenti à écrire un commentaire sur votre site. D’une part, n’autorisez pas la publication de commentaires lorsque l’utilisateur n’est pas connecté. Pour régler votre site, rendez-vous à la rubrique « Discussions » dans les réglages de WordPresse et cochez la case « Un utilisateur doit être enregistré et connecté pour publier des commentaires ». Si l’utilisateur s’est connecté, on peut déduire qu’il a accepté votre politique de confidentialité.
    D’autre part, vous pouvez rajouter des messages du genre « j’ai lu et accepté la politique de confidentialité de ce site » sur l’espace des commentaires. Pour insérer ce message à vos formulaires, vous pouvez utiliser le plugin WP Comment Policy Checkbox. Précisons que les plugins de gestion des commentaires doivent également respecter les normes imposées par le RGPD.

  4. Revoir les extensions WordPress

    Vérifier les extensions WordPress de votre site, elles doivent également répondre aux normes du RGPD. Pour ce faire, commencez par faire l’inventaire de toutes les extensions ayant un lien avec la récolte du consentement et des données des internautes ainsi que celles liées à l’utilisation des données utilisateurs (plugins de personnalisation de suivi du comportement, plugins de marketing automatisé…).
    Une fois l’inventaire réalisé, allez sur le site officiel de chaque plugin et vérifiez quelles mesures les développeurs ont prises pour se conformer au RGPD. S’il y a une extension non conforme, il est préférable de les remplacer par une autre aux normes.

  5. Concevoir un processus de sécurité performant

    Vous avez l’obligation de protéger efficacement les données que vous manipulez en limitant les risques de faille de sécurité, tout en permettant aux utilisateurs d’y avoir accès aisément. Pour ce faire, vous devez passer par plusieurs étapes :
    Mettre en place une procédure d’effacement ou de modification des données qui garantit le retrait du consentement, la mise à disposition, le transfert vers un autre responsable du traitement ;
    Concevoir une procédure pour garantir un plus haut niveau de sécurité des données et un protocole d’urgence en cas de faille de sécurité (informer la CNIL dans les 72 heures après la faille).

  6. Concevoir un registre de traitement des données

    Depuis le 25 mai 2018, les entreprises traitant des données à caractère personnel doivent tenir un registre de traitement des données. Cette obligation vient remplacer le système de déclaration. Ce registre prouve votre conformité avec le RGPD. Il doit contenir au moins les éléments suivants :

  • Les informations sur le responsable du traitement et le cas échéant sur les sous-traitants ;
  • Les informations sur les traitements : nature des données collectées, but des traitements, informations délivrées aux personnes concernées… ;
  • Les informations sur la manière dont elles sont traitées (transfert des données, hébergement…).Le registre de traitement doit être mis jour quotidiennement par le DPO. Ce dernier peut être un salarié de l’entreprise ou un prestataire externe. Les petites entreprises ont la possibilité de partager un DPO.

Site Prestashop : les solutions pour répondre aux exigences du RGPD

Depuis le 25 mai, votre site Prestashop doit répondre aux exigences du RGPD. Pour ce faire, il vous suffit d’installer un module RGPD. Si vous utilisez la version 1.7, l’installation du module RGPD se fait en 3 étapes :

  • Rendez-vous dans le back-office dans la page Modules : Modules et Services ;
  • Ensuite, dans la rubrique Sélection, tapez dans la barre de recherche un des mots suivants en fonction de la langue de votre site : RGPD (FR), GPDR (EN), RGPD (ES), GDPR (RU), RGPD (IT), DSGVO (DE), AVG (NL), RPGD (PT)… ;
  • Un module RGPD officiel qu’il vous suffit d’installer apparaîtra.

Si vous utilisez la version 1.5 ou 1.6 de Prestashop, vous pouvez vous procurer un module RGPD auprès de marketplace spécialisée.
Les modules RGPD vont vous permettre de gérer aisément les données à caractère personnel que vous collectez via le CMS Prestashop. Vous pourrez ainsi mieux garantir les droits octroyés par le RGPD aux internautes : droit d’accès, droit à la portabilité, droit d’effacement, droit à l’oubli…

En conclusion, le RGPD vous impose de nombreuses nouvelles obligations, d’autant plus qu’il a été surtout créé pour les annonceurs web. Veillez à prendre les mesures nécessaires pour vous conformer au RGPD pour éviter les sanctions.