Protection des données pour les agences et développeurs WordPress

Nils Möllers Dernière mise à jour le 21.10.2020
5 Min.
Protection des données pour les agences
Dernière mise à jour le 21.10.2020

Le développement du marché numérique n'est pas un sujet nouveau pour les entreprises et les travailleurs indépendants. Malheureusement, on ne peut pas nécessairement en dire autant de la protection des données des agences. Qu'est-ce que les agences et les indépendants doivent prendre en considération en termes de législation sur la protection des données ? Et qu'en est-il du traitement des commandes sur WordPress ? Une vue d'ensemble.

Le règlement général sur la protection des données (RGPD) est en vigueur depuis près de deux ans maintenant - il concerne également tous ceux qui travaillent dans l'environnement de WordPress . Cependant, le thème de la protection des données existe depuis 1971. Cependant, le thème de la protection des données existe depuis 1971, et une tension se développe de plus en plus entre la protection des données et la numérisation responsable des processus commerciaux. Il est donc d'autant plus important de connaître les règles centrales.

Note : Cet article de base ne remplace pas le conseil juridique. Pour revoir vos mesures et votre site web, vous devez toujours contacter un cabinet d'avocats professionnel pour le droit en ligne et la protection des données.

Quand une agence doit-elle désigner un délégué à la protection des données ?

Il y a eu de vives discussions à ce sujet dans le passé. Cependant, nous pouvons maintenant énoncer les points clés suivants pour les agences français :

  1. L'Agence emploie plus de 20 personnes qui traitent des données à caractère personnel.
  2. L'Agence effectue des opérations de traitement qui doivent être évaluées par une analyse d'impact sur la protection des données.
  3. L'agence est active dans le domaine des études de marché ou d'opinion 
  4. L'Agence traite les données à caractère personnelqui sont particulièrement sensibles

Dans un souci de réduction de la bureaucratie, les groupes parlementaires CDU/CSU avaient demandé que la limite de l'obligation de nomination d'un délégué à la protection des données des entreprises (article 38 BDSG) soit portée à 50 personnes. Finalement, un accord a été conclu à la mi-2019 sur une limite de 20 employés.

Au fond, la question se pose ici de savoir si le relèvement de la limite était judicieux, puisque la protection des données doit être respectée par chaque entreprise. Même par une entreprise d'une seule personne.

Que faut-il prendre en compte en matière de protection des données avec les logiciels des agences ?

De nombreuses agences travaillent avec des logiciels d'agence, des systèmes de tickets ou la gestion des flux de travail pour automatiser les processus et garder une vue d'ensemble. Généralement, les données personnelles des clients et des autres partenaires sont traitées dans ces solutions logicielles. C'est pourquoi les règles de protection des données s'appliquent également ici.

En principe, les agences doivent s'assurer qu'un niveau de protection approprié existe pour les produits logiciels introduits. En plus d'un concept d'autorisation et de suppression, d'autres mesures technico-organisationnelles (TOM) conformément à l'article 32 RGPD doivent être respectées afin d'utiliser le logiciel respectif dans le respect de la protection des données.

L'adéquation économique doit être prise en compte. Par exemple, le TOM d'une petite agence ne peut pas répondre aux mêmes normes dans tous les domaines que les mesures d'une grande entreprise en raison des aspects économiques.

Dans la plupart des cas, ce logiciel est un service en nuage. Il s'agit par exemple de

  • monday.com.
  • Suite Google ou
  • Bureau de service d'Atlassian Jira

pour n'en citer que quelques-uns. Un contrat de traitement doit absolument être conclu avec ces fournisseurs, car les outils traitent les données à caractère personnel conformément aux instructions.

Google RGPD
Google fournit ses propres ressources pour ses services de cloud computing

Dans le cadre de la conclusion d'un contrat de traitement (avant le début de la coopération), les agences ou les promoteurs doivent vérifier ces mesures techniques et organisationnelles du service.

Le contrat de traitement des commandes devrait également contenir, entre autres, les points suivants : Services de soutien en cas d'affirmation des droits des personnes concernées, des normes de qualité, de l'existence de sous-traitants, le cas échéant.

Est-ce que WordPress traite les commandes de développement ?

De nombreuses agences désespèrent de savoir si elles traitent des données en tant que sous-traitants ou en tant que (propres) responsables du traitement. En fait, l'évaluation est assez simple : le responsable du traitement est celui qui détermine les finalités et les moyens du traitement des données à caractère personnel (article 4, paragraphe 7 RGPD). D'autre part, une agence agit en tant que sous-traitant conformément à l'article 4, paragraphe 8, RGPD si elle traite des données à caractère personnel pour le compte du client.

Mais le problème est que les agences et aussi les indépendants offrent souvent des services globaux. Dans ce cas, il n'est pas toujours possible de vérifier clairement s'il y a un mélange de responsabilités. L'opinion qui prévaut actuellement parmi les commissaires à la protection des données est qu'en cas de doute, le traitement commandé est terminé. Soit dit en passant, cela met l'agence dans une meilleure position en termes de responsabilité que si elle n'avait pas de contrat sur le traitement commandé.

Que devez-vous rechercher dans l'hébergement WordPress ?

Le thème de la protection des données pour les agences comprend également l'hébergement de sites web. Outre la disponibilité d'un certificat SSL, il est très important que l'hébergement ait lieu dans un centre de données certifié, par exemple, selon la norme ISO/EN 27001. Par exemple, selon la norme ISO/EN 27001, car ici la même exigence de l'article 32 RGPD s'applique : les agences et les promoteurs doivent garantir la disponibilité, l'intégrité et la confidentialité par un niveau de sécurité approprié.

Outre les mesures préventives, il convient également de mettre en œuvre une stratégie de secours adaptée. Dans la pratique, les sauvegardes incrémentielles quotidiennes et les sauvegardes complètes hebdomadaires, qui sont stockées pendant 90 jours au maximum, ont fait leurs preuves.

stratégie de sauvegarde
Les sauvegardes automatiques renforcent la sécurité

Néanmoins, les sauvegardes ne doivent pas être stockées dans un seul endroit. En règle générale, les centres de données offrent la possibilité de se replier sur plusieurs compartiments de feu.

A quoi doit se conformer un site WordPress pour la protection des données ?

En principe, les sites web doivent se conformer aux principes du règlement général sur la protection des données. Donc, appliquez :

  • Le principe de minimisation des données
  • Le respect des bases juridiques pour le traitement des données à caractère personnel
  • De même, le respect d'une finalité appropriée du traitement

Classiquement, chaque site web devrait avoir une politique de confidentialité complète et correcte afin de se conformer aux exigences en matière d'information.

WordPress  Page sur la vie privée
Définissez la page de la politique de confidentialité sur WordPress

En outre, la base juridique des différents traitements doit être créée, notamment en ce qui concerne l'utilisation de cookies de tiers. Cette exigence peut être mise en œuvre très facilement avec un gestionnaire de consentement de cookie. En ce qui concerne WordPress , les aspects suivants doivent être pris en compte :

De même, pour certains traitements (enregistrements, formulaires de contact, etc.), il convient d'établir des formulaires de consentement qui respectent les conditions prévues à l'article 7 RGPD .

WordPress  Plugin  Gestion
Pratique : mise à jour de Plugins et Themes de manière centralisée dans le backend d'hébergement

Protection des données pour les agences : quand faut-il obtenir le consentement ?

Fondamentalement, le règlement général sur la protection des données doit être compris comme une interdiction avec permission. Cela signifie tout d'abord qu'aucune donnée à caractère personnel ne peut être traitée. Toutefois, comme les données à caractère personnel doivent souvent être traitées, le législateur européen a défini ce qu'on appelle des critères d'autorisation - à l'article 6, paragraphe 1, a à f RGPD.

RGPD Texte
Le texte du RGPD sur eur-lex.europa.eu

Le consentement est toujours nécessaire si l'une des circonstances autorisées par l'article 6, paragraphe 1, points b) à f), n'est pas pertinente. RGPD Ce consentement doit remplir les conditions énoncées à l'article 7. Il indique entre autres choses :

  • "Lorsque le traitement est fondé sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti au traitement de ses données à caractère personnel"
  • "La personne concernée a le droit de retirer son consentement à tout moment. La révocation du consentement n'affecte pas la licéité du traitement effectué sur la base du consentement jusqu'à la révocation. La personne concernée doit en être informée avant de donner son consentement. Le retrait du consentement est aussi simple que le fait de donner son consentement".

Ainsi, le consentement doit toujours être éclairé, transparent, vérifiable, volontaire et révocable.

En outre, il existe un considérant 32 à RGPD. Les exemples qui y sont mentionnés visent à faciliter la conception du consentement pour la pratique des affaires. Toutefois, les solutions élaborées par les entreprises elles-mêmes - ainsi que les WordPress Plugins associés - devraient être régulièrement examinées du point de vue juridique quant à leur recevabilité, par exemple par un cabinet d'avocats approprié.

Questions sur la protection des données pour les agences

Vous avez des questions sur la protection des données pour les agences et les indépendants ? N'hésitez pas à utiliser la fonction de commentaire. Vous souhaitez être informé des nouveaux articles sur le thème du droit en ligne ? Alors suivez-nous sur Twitter, Facebook ou via notre newsletter.

Nils Möllers est le fondateur et le directeur général de Keyed GmbH (Münsterland) - en tant que responsable certifié de la protection des données et expert en protection des données dans le domaine du marketing, des groupes d'entreprises et des systèmes de franchise. Nils Möllers conseille également les entreprises dans le domaine de la sécurité informatique, en accompagnant la norme ISO27001.

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.