RGPD & WordPress : les mesures techniques que vous devez mettre en œuvre dès maintenant

Le 25.05.2018, l'UE RGPD est entrée en vigueur. Nous vous montrerons les mesures techniques que vous devez mettre en œuvre pour exploiter votre WordPresssite web de manière juridiquement sûre. Sans sauter dans le train de la panique, nous vous proposons un aperçu des précautions techniques que nous jugeons importantes à la RGPD lumière de la

Update Info : Nous avons rassemblé notre expérience accumulée lors de la transition de Raidboxes vers les exigences de RGPD dans un Guide gratuit de WordPress RGPD résume ce qu'il faut faire. Celui-ci comprend également les mesures techniques WordPress de cet article.

Avis de non-responsabilité : notre billet de blog n'est pas un avis juridique ! Dans le cadre de notre travail en tant qu'hébergeurs de WordPress , nous avons traité de manière très intensive la réglementation allemande actuelle en matière de protection des données et la future UERGPD . Cependant, nous ne sommes ni avocats ni experts en matière de protection des données. Nous n'assumons aucune responsabilité quant à l'exhaustivité, l'actualité et l'exactitude des mesures et des contenus fournis par nous.

RGPD-objectionable WordPress -Plugins supprimer et remplacer par RGPD-compliant alternatives

Même tous les Pluginsqui sont fournies par la société commerciale WordPressAutomattic elle-même, nécessitent une connexion valide au WordPress.com et donc une connexion directe non seulement à vos données, mais aussi, par exemple, à l'adresse IP personnelle des visiteurs de votre site web. Ils sont l'exemple parfait du type de Pluginsque vous feriez mieux de remplacer par une alternative conforme à l'EU RGPD depuis le 25 mai 2018 - au moins jusqu'à ce que les fabricants disposent d'une version légalement conforme de leur Plugins publier.

A titre d'exemple pour cet article, voici Automattic WordPress -Plugins pour tous les représentants de leur division respective dans le répertoire WordPress Plugin :

Jetpack (Statistiques-Plugin)
Gravatar (Communauté-Plugin)
Akismet (Anti-Spam Plugin)
VaultPress (Backup Plugin)
WP Super Cache (Caching Plugin)

Afin de continuer à exploiter votre site web selon vos besoins, vous pouvez recourir aux alternatives suivantes, qui ne transmettent aucune donnée personnelle de vos visiteurs.

Recueillir des statistiques anonymes sur les visiteurs

Bien entendu, nous aimerions également savoir ce qui fonctionne particulièrement bien sur notre site web, ce qui est lu ou partagé, la durée de séjour des visiteurs ou le taux de rebond. Avec l'UE RGPD, la situation juridique se durcit un peu plus. Comme dans le cadre du précédent règlement de base sur la protection des données, vous devez rendre chaque visiteur de votre site web totalement anonyme. Toutefois, aucune donnée à caractère personnel ne peut être transférée à d'autres services au-delà de celui-ci.

C'est pourquoi nous recommandons à Statify de veiller à ce que toutes les données personnelles anonymisées restent sur votre site web et ne soient pas partagées avec d'autres services.

Statify au lieu de Jetpack

Selon les développeurs de Statify, Plugin ne traite, n'envoie ni ne stocke aucune donnée personnelle, telle que les cookies ou les adresses IP, en dehors de votre site web.

Utiliser des avatars conformes à la législation pour les blogs et les commentaires

Avatar Privacy permet l'utilisation conforme à RGPD de la fonctionWordPress -Gravatar.

Avatar Privacy par Johannes Freudendahl propose les fonctionnalités suivantes pour la mise en œuvre de RGPD : Premièrement, il ne publie pas le hachage des adresses électroniques s'il n'y a pas de compte Gravatar pour celui-ci. D'autre part, il offre une option d'acceptation ou de refus pour l'affichage du Gravatar dans les commentaires et dans le profil de l'utilisateur. De plus, le site Plugin propose de nouveaux avatars par défaut qui sont chargés à partir du serveur local au lieu des serveurs gravatar.com aux États-Unis.

Une alternative consiste à désactiver complètement les gravatars sur votre propre site web :

WP User Avatar au lieu de Gravatar

Toutefois, pour désactiver complètement le Gravatar sur WordPress , vous devez effectuer les réglages suivants dans la zone d'administration de WordPress sous l'élément de menu "Paramètres" : Faites défiler le sous-menu sous Discussions jusqu'à la section Avatars. Désactivez ensuite la case à cocher : "Affichage des avatars - Afficher les avatars". Cliquez sur "Enregistrer" pour appliquer les paramètres et supprimer le cache de votre page. Désormais, votre site web ne doit plus communiquer avec wordpress.com .

Procédure de double opt-in pour les commentaires

Ici, il faut dire d'emblée que la notification d'autres commentaires sur ton propre commentaire présuppose déjà que des données sont transmises. Si tu veux éviter une interprétation négative de cette "zone grise", utilise le plugin gratuit Subscribe to Double-Opt-In Comments. Ainsi, le visiteur doit confirmer activement à l'avance qu'il souhaite vraiment recevoir des notifications de commentaires ultérieurs.

Limiter la protection antispam à votre propre site web

Antispam Bee au lieu d'Akismet

Antispam Bee peut être utilisé de manière conforme à RGPD si vous respectez le paramètre suivant de Plugins : La fonction "Considérer la base de données publique des spams" doit être désactivée pour empêcher que les adresses IP de vos visiteurs ne soient soumises au service Stop Forum Spam. Le filtre de langage, qui utilise l'API de Google, est contraire à l'hypothèse de nombreuses protections de données - techniquement sans problème :

Si le filtre vocal a été activé, les dix premiers mots de chaque commentaire sont envoyés au service de reconnaissance vocale de Google. Trois mots du contenu du commentaire. Ni l'adresse électronique, ni le nom de la personne qui commente, ni l'adresse IP. Résultat : pas de données personnelles et donc pas de problème. - Simon Kraft, membre du Pluginkollektiv

WordPress -Backup-Plugins remplacer par des solutions alternatives

Sauvegardes intégrées de WordPress au lieu de VaultPress

Afin de contrecarrer le transfert de données personnelles vers des serveurs américains, par exemple, et comme effet secondaire positif pour libérer d'autres capacités de performance de votre site web, nous vous recommandons de vous passer à l'avenir de WordPress -backup-Plugins spécial.

Une meilleure alternative est d'utiliser les sauvegardes automatiques de WordPress via ton hébergeur WordPress, comme chez Raidboxes.

Utiliser la mise en cache du serveur web au lieu de la mise en cache de WordPress Plugin

Mise encache côté serveur au lieu de WP Super Cache

De nombreux cachesPlugins, y compris ceux d'Automattic, font un bon travail de mise en cache de votre site web. La mise en cache permet de livrer le site web plus rapidement. Cependant, la mise en cache s'accompagne également d'une perte de contrôle sur les données.

Une alternative juridiquement sûre, qui garantit également la disparition du site Plugins , très performant, consiste à utiliser le cache côté serveur des hébergeurs spécialisés de WordPress .

L'avantage : les données sont déjà stockées lors de la livraison et se trouvent au moins chez Raidboxes uniquement sur des serveurs allemands avec une certification ISO 27001 garantie.

Prévenir les problèmes sociaux Plugins, tels que le bouton "Like" de Facebook, la "Like Box" ou les widgets de Twitter.

Shariff Wrapper au lieu de, par exemple, ShareThis

Les services de partage utilisent souvent déjà des données dès que vos visiteurs sont sur le site web avec un Plugin social actif. Même si un utilisateur n'a encore rien partagé, les données sont déjà transmises. C'est encore largement méconnu, mais critique en termes de RGPD . En cherchant des solutions conformes à la loi, nous sommes tombés sur un seul site social gratuit Plugin , qui empêche le transfert de données avant même que vous ne cliquiez sur un bouton de partage.

Par conséquent, nous recommandons pour l'instant de supprimer les widgets Twitter intégrés, les boutons Like de Facebook ou le widget Like Box et de s'appuyer sur le site social Plugin de Shariff Wrapper pour partager les boutons dans les messages.

Formulaire de contact -Plugins comme par exemple Contact Form 7 & Gravity Forms également utilisé avec l'UE -RGPD

Nouvelles exigences pour les formulaires de contact

Selon le règlement général sur la protection des données, l'envoi d'un formulaire nécessite le consentement de l'expéditeur. Non seulement l'adresse IP personnelle, mais aussi l'adresse électronique et le contenu lui-même sont considérés comme des données. L'option de consentement au stockage des données peut être mise en œuvre par le biais d'une case à cocher supplémentaire d'acceptation sur Contact Form 7 et des formulaires de gravité, par exemple, avec le Plugin WP GDPR Compliance mettre en œuvre.

À moyen et long terme, nous sommes convaincus que tous les développeurs connus de Plugin mettront en œuvre les réglementations nécessaires pour se conformer à RGPD . En attendant, RGPD-Plugins peut vraiment faire un bon travail !

newsletter & Email Marketing

Dans vos formulaires newsletter, seule l'adresse électronique doit être un champ obligatoire, toutes les autres données telles que le prénom et le nom de famille ne doivent être demandées qu'à titre facultatif. Comme pour tous les formulaires, la procédure de double opt-in s'applique également au formulaire newsletter, ainsi que la plus grande transparence possible dans les informations sur ce que vous avez exactement l'intention de faire ou d'offrir avec le formulaire newsletter .

La procédure de double opt-in reste la norme

Si vous ne l'avez pas encore fait, utilisez toujours la procédure de double opt-in à partir de maintenant ! Avec le double opt-in, le destinataire du courriel doit cliquer explicitement sur le lien dans un courriel de confirmation une deuxième fois après la première inscription afin d'être inclus dans la liste de diffusion. Cela garantit que personne ne s'inscrit à votre nom sur newsletter et que l'inscription proprement dite est également souhaitée par vous.

Mesures techniques en dehors de votre WordPress -Plugins

Cryptage SSL

Le cryptage SSL n'est pas obligatoire sur RGPD, mais sans connexion SSL, il n'est pas possible de transmettre des données de manière sécurisée sur votre site web. Vous pouvez également en apprendre davantage sur le SSL dans notre vaste compendium "Let's Encrypt SSL Compendium".

Vous ne voulez pas installer le certificat SSL vous-même ? Utilisez ensuite, par exemple, les certificats SSL de Let's Encrypt, que vous pouvez activer rapidement et facilement pour votre site web WordPress gratuitement avec une installation en un clic.

Créer une option d'exclusion de Google Analytics

Dans ce contexte, il convient de souligner une fois de plus que, même avant l'UE RGPD, la précédente, qui est toujours valable française RGPD, exigeait depuis des années l'anonymisation complète des visiteurs. Afin de garantir cela, le très souvent utilisé Google Analytics doit être étendu par la ligne de code suivante :

ga ("set", "anonymizeIp", true) ;

Votre extrait javascript aurait dû ressembler à ceci avant :

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

le code ressemble à ceci après l'avoir ajouté :

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>

En outre, vous devez prévoir dans votre politique de confidentialité la possibilité d'exclure complètement les visiteurs de votre site web de l'analyse de Google. Vous pouvez trouver un opt-out gratuit Plugin pour Google Analytics appelé Google Analytics Opt-Out dans l'annuaire WordPress -Plugin-. Cela installe un cookie qui empêche analytics.js de collecter les données.

Adresses IP anonymisées dans les commentaires de blog

WordPress enregistre par défaut les adresses IP des auteurs des commentaires. Cependant, selon l'EU RGPD, l'enregistrement de l'adresse IP n'est pas conforme aux réglementations sur la protection des données. Vous pouvez utiliser un petit code PHP dans votre functions.php pour empêcher la sauvegarde future des adresses IP. Nous recommandons d'utiliser un enfantTheme à cette fin, afin que le code soit toujours intégré après la prochaine mise à jour de votre Themesfunctions.php. Le code à insérer est :

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Enfin, vous devez supprimer manuellement les adresses IP existantes dans la base de données de votre site web une fois de manière rétroactive. Un bon tutoriel sur la façon de procéder se trouve ici.

L'EU RGPD a beaucoup plus d'exigences (nouvelles) pour vous en tant qu'opérateur de site web que les seules mesures techniques expliquées ci-dessus sur votre WordPresssite web.

Un bon investissement est, par exemple, le livre électronique payant sur l'UERGPD de t3n pour mettre en œuvre les exigences du règlement général européen sur la protection des données dans toutes les questions qui vous concernent en tant qu'entrepreneur.

Nous apprécions tout retour d'information et tout commentaire concernant cet article.