WordPress a apporté des changements importants en rapport avec le RGPD. Ces changements font partie des efforts de WordPress pour faciliter la conformité de ses utilisateurs au RGPD, cependant la simple utilisation de ces outils en soi ne garantit pas la conformité au RGPD.
Ci-dessous, nous allons passer en revue les fonctionnalités importantes du RGPD, comment elles peuvent vous être utiles, leurs limites et comment les aborder. Penchons-nous sur le sujet.
Page de la politique de confidentialité de WordPress
WordPress permet maintenant aux propriétaires de sites Web de définir plus facilement une page dédiée à la politique de confidentialité en sélectionnant simplement Paramètres > Confidentialité dans votre tableau de bord WordPress. Une fois là, vous pouvez soit sélectionner une page existante, soit créer une nouvelle page qui sera désignée comme votre page de politique de confidentialité.
Si cette fonctionnalité facilite la désignation d’une page, elle ne fournit pas le texte complet et applicable, ce qui est tout à fait compréhensible car, pour être conforme, le texte de votre politique de confidentialité doit s’appliquer spécifiquement à votre cas et inclure des divulgations pertinentes pour les données que vous traitez. Ce qu’il fournit, si vous cliquez sur le bouton « Créer une nouvelle page », c’est un texte de départ et un modèle de base.
Quels sont les avantages de cette fonctionnalité ?
Cette fonctionnalité permet d’intégrer plus rapidement et plus facilement votre politique de confidentialité à votre site Web, de manière native et cohérente avec votre marque.
Le texte de départ vous aide à commencer à réfléchir aux types de données que vous traitez et à certaines des divulgations que vous devez faire.
La page de confidentialité désignée est automatiquement ajoutée à toutes vos pages de connexion et d’enregistrement sous forme de lien.
Quelles sont les principales limites ?
Comme indiqué, l’outil ne génère pas réellement une politique de confidentialité utilisable et conforme. Le texte du modèle, bien qu’il constitue un point de départ utile pour vous aider à réfléchir au type d’informations que vous devriez inclure dans votre politique de confidentialité, est, en soi, loin d’être conforme.
Dans le guide de la politique de confidentialité qui l’accompagne, WordPress en informe les utilisateurs comme suit :
Veuillez modifier le contenu de votre politique de confidentialité, en vous assurant de supprimer les résumés, et en ajoutant toute information provenant de votre thème et de vos plugins. . . Il est de votre responsabilité de rédiger une politique de confidentialité complète, de vous assurer qu’elle reflète toutes les exigences légales nationales et internationales en matière de confidentialité, et de maintenir votre politique à jour et précise.
Bien qu’une analyse complète du texte de départ fourni puisse nécessiter un article séparé, un coup d’œil rapide montre clairement que certaines sections (par exemple, celle concernant les droits de l’utilisateur sur ses données) sont soit incorrectes, soit incomplètes, si vous traitez des données personnelles conformément aux dispositions du GDPR.
En vertu du GDPR, et de la plupart des lois similaires relatives à la protection de la vie privée, il est nécessaire que votre politique de confidentialité soit disponible sur chaque page de votre site web, le nouvel outil de confidentialité ne le fait pas automatiquement.
Traitement des données
Les nouvelles fonctionnalités de gestion des données vous permettent d’exporter facilement un fichier ZIP contenant les données personnelles d’un utilisateur particulier, et d’effacer complètement les données d’un utilisateur particulier, y compris les données collectées par les plugins participants.
La fonction d’exportation envoie un dossier zip contenant un « mini-site » avec une page HTML d’index contenant les données personnelles de l’utilisateur segmentées en groupes. Les deux fonctions mettent également à la disposition des propriétaires de sites une nouvelle méthode basée sur le courrier électronique pour confirmer les demandes de données personnelles des utilisateurs enregistrés et des commentateurs.
Quels sont les avantages de cette fonctionnalité ?
- Cette fonctionnalité vous permet de répondre plus facilement aux exigences du droit d’accès (article 15) du GDPR en vous permettant d’exporter et de fournir les données des utilisateurs dans un format conforme et pratique.
- Cette fonctionnalité vous permet de répondre plus facilement aux exigences du droit à l’effacement (article 17) du GDPR.
- Vous pouvez facilement demander la confirmation d’actions critiques comme les demandes d’effacement par e-mail.
Quelles sont les principales limites ?
Bien que les mises à jour du traitement des données soient facilement l’une des mises à jour les plus précieuses et qui font gagner du temps, elles présentent certaines limites critiques dont vous devez être conscient. La première est qu’elle n’exporte automatiquement que les données collectées par les plugins participants. Cela signifie que leur fonctionnement dépend entièrement de la connexion des plugins que vous utilisez à la nouvelle fonction d’exportation/effacement. Cela signifie que cette fonctionnalité ne fonctionnera pas avec les plugins qui n’ont pas été modifiés pour le faire, ou avec les anciennes versions (non mises à jour) des plugins qui pourraient être utilisés sur votre site (dans ce cas bien sûr, vous pouvez simplement mettre à jour ces plugins particuliers à la dernière version).
Ce qui est vraiment problématique ici, c’est que (au moment de la rédaction de cet article) il n’existe pas de référentiel central indiquant spécifiquement quels plugins ont cette fonctionnalité intégrée. De plus, aucune incitation n’a été créée pour encourager les créateurs de plugins à mettre en œuvre cette fonctionnalité, ce qui signifie que très peu de plugins ont probablement pris la peine de retravailler leur code et d’ajouter ces fonctionnalités.
Il convient toutefois de noter que, même si tous les plugins du site WordPress prenaient en charge ces fonctionnalités, toutes les données utilisateur que vous traitez ne sont pas nécessairement gérées par les plugins. Par exemple, si vous utilisez un service en nuage ou un système externe de gestion de listes de diffusion, les données traitées par ces derniers ne seront pas automatiquement intégrées dans le nouveau système de gestion des données de WordPress. C’est un point très important à noter car les droits d’accès et d’effacement s’appliquent à TOUTES les données de l’utilisateur, et non à certaines d’entre elles. Ainsi, le fait de s’appuyer sur un mécanisme incomplet ou de ne fournir qu’une partie des données signifie simplement que vous n’êtes pas conforme.
Cela dit, ces nouvelles fonctionnalités seront probablement suffisantes si vous êtes le seul à traiter les données personnelles des utilisateurs via les fonctionnalités intégrées à la plateforme WordPress elle-même, car de cette façon, votre conformité ne dépendra pas de l’intégration ou non de divers plugins tiers avec la nouvelle fonctionnalité.
Mesures préliminaires
- Choisissez des partenaires sensibilisés au RGPD : Assurez-vous que les responsables du traitement des données avec lesquels vous travaillez sont conformes au GDPR/ont les moyens en place pour faciliter les demandes des utilisateurs telles que les demandes d’effacement ou d’accès. Ces informations doivent être indiquées dans l’accord de traitement des données que vous concluez avec eux.
- Soyez conscient de vos processus : Évaluez votre cycle et vos systèmes de traitement des données et efforcez-vous de les mettre en place de manière à faciliter ces demandes. Voici quelques questions à vous poser ici, par exemple
- comment puis-je facilement exporter les données d’un utilisateur particulier de mes bases de données (cette question est quelque peu réglée par la mise à jour de WordPress, car elle concerne les données stockées sur vos propres bases de données) ?
- comment puis-je accéder facilement aux données d’un utilisateur particulier et les effacer complètement (ce qui est également facilité par la nouvelle fonction de traitement des données) ?
- quelles sont les données spécifiques que je transmets à des tiers pour qu’ils les traitent et sont-elles considérées comme des données personnelles
- Soyez conscient des données que vous traitez : Prenez vraiment note du principe de minimisation des données du RGPD et mettez-le en œuvre. Voici quelques questions à vous poser ici, par exemple ,
- quelles sont les données que je traite ?
- sont-elles considérées comme des données personnelles ?
- sont-elles strictement nécessaires à la fourniture du service ?
Effort manuel
Dans le cadre du système actuel, si vous utilisez des services tiers pour traiter des données personnelles, en dehors de ce qui est couvert par les outils de traitement des données de WordPress, vous devrez fournir un effort manuel pour identifier, exporter depuis les bases de données pertinentes et mettre les données à disposition, ou effacer les données si l’utilisateur le demande. En général, vous disposez d’un mois en moyenne pour vous mettre en conformité (avec quelques exceptions).
Notez que si vous répondez à une demande d’accès, les données devront être fournies à l’utilisateur dans un format commun et facile d’accès (par exemple, une feuille de calcul).
En outre, si vous répondez à une demande d’effacement, il est utile d’informer de manière préventive l’utilisateur que l’effacement complet de ses données ne peut se faire que dans un délai de deux mois.
