L’application du RGPD reste toujours un peu de flou quant à l’application pour les « blogueurs », mais même si le risque est faible de se prendre l’amende qui fait mal, autant faire un minimum d’efforts pour montrer que vous avez tenté d’appliquer le RGPD notamment pour ceux qui se sont professionnalisés et qui ont une association ou une autoentreprise (ou mieux) en lien avec leur blog. Prudence est mère de sûreté … 😉
RGPD (GDPR en anglais) c’est quoi ??
C’est le Règlement général sur la protection des données (personnelles) … un truc bien contraignant pondu par les institutions européennes pour essayer d’emmerder les Facebook, Google & co (genre les gros sites ecommerce qui se vendent les fichiers de clients) qui eux s’en branlent total (ça va juste leur coûter plus cher en frais d’avocats), mais qui du coup va donner beaucoup de boulot à toutes les autres entreprises puisque toute entité qui manipule des données personnelles est concernée (un nom + email c’est une donnée personnelle). Cette réglementation entre en vigueur le 25/05/2018 !
Il faut retenir plusieurs points pour nos blogs :
- Sécurité des données
- Fini les « je fais ce que je veux avec les données que j’ai en stock » et plus d’opt-in forcé …
- J’indique clairement sur mon site les informations devenues nécessaires pour respecter le règlement
Todo List du blogueur pour être à peu près dans les clous
Ce qu’il faudrait faire si ce n’est pas déjà le cas :
1- sécuriser son site avec un certificat SSL (HTTPS)
Première étape, je vous conseille de passer votre site en HTTPS, ce qui sécurise l’envoi d’informations au sein de votre site… en plus Google va sanctionner toujours plus ceux qui restent en http, donc il est important de vous en préoccuper.
Il est donc plus que temps de vous connecter à l’interface de votre hébergeur pour activer un certificat SSL. Un hébergeur comme OVH propose gratuitement (mais tous ne le font pas hélas) le certificat « Let’s encrypt » qui est largement suffisant pour nos blogs.
2- Un plugin de sécurité pour votre CMS
Pour les utilisateurs de WordPress notamment, un plugin de sécurité serait le bienvenu pour renforcer votre site (surtout pour ceux qui ne sont pas à cheval sur les mises à jour de WP et de ses plugins…). Mais la recommandation reste valable pour bon nombre de CMS pour lesquels des failles de sécurité peuvent survenir.
Pour ma part sur WordPress, je recommande Wordfence en mode gratuit (qui fait firewall, scan les vulnérabilités et protège des attaques connues…). Il en existe d’autres comme Sucuri, après chacun à ses préférences dans les modules, beaucoup d’entre vous utilisent Jetpack qui propose également de sécuriser le site (perso je ne suis pas fan).
3- Plus de récupération et exploitation sauvages des données personnelles
Avec RGPD on oubli l’opt-out : le fait de récupérer l’email d’un visiteur et de l’exploiter pour divers envois parce qu’il ne s’est pas opposé à cela en décochant une case.
Tous les formulaires de contact, de participation à un concours, d’inscription à la newsletter et même normalement l’envoi de commentaires (même si la feature n’est pas encore arrivée en natif sur la version FR de wordpress, mais ça va venir et il faudra l’activer) nécessite la présence d’une case d’acceptation. Le visiteur doit cocher la case qui indique qu’il accepte que ses données soient transmises et ce dans un cadre très précis (et j’insiste sur le précis, fini les magouilles de données).
Exemple : on n’ajoute pas manuellement dans la liste des inscrits à la newsletter quelqu’un qui nous a contacté via le formulaire « contactez nous » pour vous féliciter de votre travail … Vous ne pouvez utiliser son email que pour le remercier de ses encouragements, point !
Autre exemple : une marque veut faire un concours avec votre site en récupérant la liste (nom+email) des participants… pour être dans les clous il faudra à la fin de votre formulaire de participation (ça va être plus compliqué pour faire jouer via commentaires en respectant RGPD) avoir deux cases à cocher une « en cochant cette case j’accepte d’envoyer mes données dans le cadre du concours xxx, données qui seront supprimée xx temps plus tard » et une deuxième « en cochant cette case j’accepte que mes données de participation au concours soit transmises à la marque XXX partenaire du jeu pour intégrer leur newsletter »
Pensez à mettre à jour votre formulaire de contact en ajoutant avant le bouton « envoyer » une case d’acceptation à cocher (attention à ne pas la cocher par défaut, ce n’est pas RGPD compliant). Les outils de création de formulaire comme Contact Form 7 ont intégré cette fameuse case de « confirmation/ acceptation » à vous d’ajouter le libellé qui va avec … quelque chose du genre « En cochant cette case, j’accepte de transmettre mes données personnelles à l’éditeur du site **** (voir la politique de confidentialité) »
4- Le bandeau Cookie …
Normalement on est déjà tous censés l’avoir (oui j’avais volontairement fait l’impasse jusqu’à maintenant) … Oui je sais, c’est moche et relou, mais hélas cela devient encore plus incontournable avec RGPD.
Attention en prime les règles ont changé donc tous les outils ne sont pas valables (beaucoup vont ceci dit se mettre à jour dans les prochaines semaines). Si vous avez déjà un « Cookie Notice » pour WordPress (simple et gratuit) vous pouvez déjà le paramétrer pour qu’il s’approche des besoins RGPD.
L’acceptation du cookie ne peut plus être forcée, il faut que le bandeau ne disparaisse que si le visiteur a cliqué sur « j’accepte » ou « je refuse » (fini le simple « ok » qui vaut acceptation sans choix alternatif). Un « en savoir plus » vers une page d’information est recommandé (voir point suivant).
Le problème c’est que les plugins de cookie gratuit généralement ne bloquent pas les cookies tiers (Google Analytics, traceurs de pub, Cookie de contenus embarqués Twitter/FB ou Youtube) donc même si on met « je refuse » cela peut charger quand même certains cookies pour lesquels on n’a pas bloqué les scripts (ça demande une manipulation technique qui n’est pas forcément évidente)… Ceux qui le font correctement pour le moment sont payants. De mon côté j’ai opté pour la solution « ça ressemble à quelque chose en règle, mais ça ne l’est pas si on regarde de près » avec Cookie Notice, à voir plus tard comment cela va évoluer.
Si vous voulez un bandeau de cookie plus pro, la CNIL recommande Tarteaucitron.js (oui le nom est loufoque mais le service est bien mais nécessite soit des sous soit des compétences techniques pour sa mise en place).
5- charte ou politique de confidentialité
Il vous est fortement recommandé d’ajouter une page avec la politique de confidentialité ou d’éditer la page de conditions qui s’en approche. Si vous avez la dernière version de wordpress 4.9.6, il y a un outil dans le menu « réglages > confidentialité » qui est apparu pour vous aider en vous donnant une base à compléter en fonction de votre site. Si vous n’avez pas encore fait la mise à jour vers cette dernière version, celle-ci propose d’autres outils qui vont aider à se mettre en conformité alors vérifiez la compatibilité de votre thème et faites la MAJ.
Si vous n’avez pas de mentions légales (je le vois quand même souvent sur les blogs) je vous invite également à avoir le minimum d’informations en ligne (en plus ça fait plus pro), qui est l’éditeur du site, qui est l’hébergeur, qui est responsable du contenu et des médias diffusés…
6- Droit d’accès aux données personnelles et à leur suppression
L’utilisateur de votre site doit pouvoir obtenir les informations collectées à son propos sur votre site et en demander l’effacement. Si vous avez la dernière version de WP 4.9.6, ces outils sont maintenant intégrés pour faire l’extraction des données rattachées à un email (notamment les commentaires laissés sur le blog) et la même chose pour la suppression des dites données. Pour les versions plus anciennes pour le moment il n’y a pas de MAJ dans ce sens.
Il faut par contre rajouter des formulaires (pour ma part je les ai mis dans la page de la politique de confidentialité) ou d’éditer votre formulaire de contact principal pour que l’utilisateur puisse en faire la demande clairement (et j’insiste sur le « clairement »).
7- En cas de piratage
Si votre site se faisait pirater (on touche du bois que non) vous êtes censé avertir les utilisateurs que leurs données personnelles pourraient avoir été accessibles par un tiers indésirable…
Mais globalement ça touche plus les gros sites avec des données plus sensibles qu’un simple blog qui n’a que des commentaires avec pseudo+email, mais bon je transmets les bons usages jusqu’au bout.
Pour conclure sur le sujet
Voilà maintenant vous êtes un peu informés de mes recherches sur le sujet du RGPD et vous voyez ce que j’ai mis en place sur mes 4 blogs avant ce 25 mai 2018. J’ai essayé de simplifier et d’adapter pour les blogs (pour un site vitrine ou un e-commerce il peut y avoir des différences), je ne garantie pas que tous les conseils vous couvrent complètement, mais en suivant ces indications vous pourrez montrer que vous avez fait des efforts pour vous mettre en conformité… j’espère que cela vous sera utile.
Par contre il ne s’agit encore que la partie visible de l’iceberg, mais c’est à mon sens le plus urgent à mettre en place, si on veut professionnaliser son blog, il reste encore tout le reste (désignation du DPO, registre des documents contenant des données personnelles… ) si vous voulez vraiment être 100% raccord.
