RGPD et WordPress

RGPD & WordPress : Mesures techniques à mettre en œuvre

Le 25 mai 2018, l'UERGPD est entrée en vigueur. Nous te proposons un aperçu des précautions techniques que nous considérons comme importantes à la lumière de RGPD pour que ton site WordPress fonctionne en toute sécurité juridique.

Clause de non-responsabilité

Notre article de blog n'est pas un conseil juridique ! Dans le cadre de notre travail en tant qu'hébergeur WordPress, nous avons étudié de très près la législation allemande en vigueur en matière de protection des données et celle de l'UERGPD . Cependant, nous ne sommes ni des juristes ni des experts en protection des données. Nous n'assumons aucune responsabilité quant à l'exhaustivité, l'actualité et l'exactitude des mesures et contenus que nous fournissons.

RGPDSupprimer les plugins WordPress douteux et les remplacer par des alternatives conformes à RGPD

Si les plugins doivent établir une connexion valide avec un autre site web et transmettent ainsi des données telles que l'adresse IP, cela devient problématique. Ces plugins doivent être remplacés par une alternative conforme à l'UERGPD- au moins jusqu'à ce que les fabricants publient une version conforme de leurs plugins.

Collecter des statistiques anonymes sur les visiteurs

Nous aussi, nous aimerions savoir ce qui fonctionne le mieux sur notre site, ce qui est lu ou partagé, combien de temps les visiteurs restent sur une page ou quel est le taux de rebond. Avec l'UERGPD , la situation légale a été encore un peu renforcée. Comme sous le précédent règlement allemand sur la protection des données, tu dois rendre complètement anonymes tous les visiteurs de ton site. Cependant, aucune donnée personnelle ne peut être transmise à d'autres services.

C'est pourquoi nous recommandons Statify, afin que toutes les données personnelles anonymes restent sur ton site et ne soient pas transmises à d'autres services.

Selon les informations sur le plugin, celui-ci ne traite, n'envoie et ne stocke aucune donnée personnelle, comme les cookies ou les adresses IP, en dehors de ton site web.

Utiliser des avatars conformes à la législation pour les blogs et les commentaires

Avatar Privacy de Peter Putzer propose les fonctionnalités suivantes pour la mise en œuvre de RGPD : D'une part, le hash des adresses e-mail n'est pas publié s'il n'y a pas de compte Gravatar pour cela. D'autre part, il offre un opt-in ou un opt-out pour l'affichage du gravatar dans les commentaires et le profil de l'utilisateur. De plus, le plugin fournit de nouveaux avatars par défaut qui sont chargés depuis le serveur local au lieu des serveurs de gravatar.com aux États-Unis.

Une alternative consiste à désactiver complètement les gravatars sur ton propre site web :

Mais pour désactiver complètement Gravatar dans WordPress, tu dois encore effectuer les réglages suivants dans la zone d'administration de WordPress sous l'option de menu "Paramètres" : fais défiler le sous-menu sous Discussions jusqu'à ce que tu atteignes la section Avatars. Ensuite, décoche la case : "Affichage des avatars - Afficher les avatars". Clique sur Enregistrer pour accepter les paramètres et efface le cache de ton site. Maintenant, ton site ne devrait plus communiquer avec wordpress.com .

Procédure de double opt-in pour les commentaires

Ici, il faut dire d'emblée que la notification d'autres commentaires sur ton propre commentaire présuppose déjà que des données sont transmises. Si tu veux éviter une interprétation négative de cette "zone grise", utilise le plugin gratuit Subscribe to Double-Opt-In Comments. Ainsi, le visiteur doit confirmer activement à l'avance qu'il souhaite vraiment recevoir des notifications de commentaires ultérieurs.

Limiter la protection antispam à ton propre site web

Antispam Bee ou Akismet sont des exemples. Antispam Bee peut être utilisé en conformité avec RGPD si tu respectes les paramètres suivants du plugin : La fonction "Prendre en compte la base de données publique des spams" doit être désactivée afin d'éviter que les adresses IP de tes visiteurs ne soient transmises au service Stop Forum Spam. Le filtre linguistique qui utilise l'API de Google ne pose aucun problème de protection des données, contrairement à ce que beaucoup pensent :

Si le filtre vocal a été activé, les dix premiers mots de chaque commentaire sont envoyés au service de reconnaissance vocale de Google. Trois mots du contenu du commentaire. Pas l'adresse e-mail, pas le nom de la personne qui commente, pas l'adresse IP. En fin de compte : pas de données personnelles et donc pas de problème. - Simon Kraft, membre du collectif Pluginkollektiv

Remplacer éventuellement les plugins de sauvegarde WordPress par des solutions alternatives

Pour éviter le transfert de données personnelles vers des serveurs américains, par exemple, et pour libérer des capacités de performance supplémentaires pour ton site web, tu devrais envisager de ne pas utiliser de plugins de sauvegarde WordPress spécifiques. Il existe également des alternatives au plugin de sauvegarde WordPress que tu peux envisager.

Utiliser la mise en cache du serveur web au lieu du plugin de mise en cache de WordPress

De nombreux plugins de mise en cache font un bon travail lorsqu'il s'agit de mettre ton site web en cache. Grâce à la mise en cache, le site web peut être livré plus rapidement. Cependant, la mise en mémoire tampon s'accompagne d'une perte de contrôle sur les données.

Une alternative légale, qui assure en outre la disparition des plugins gourmands en performances, est d'utiliser le cache côté serveur.

L'avantage : les données sont déjà stockées lors de la livraison et, au moins pour Raidboxes , elles se trouvent uniquement sur des serveurs allemands avec une certification ISO 27001 garantie.

Empêcher les plugins sociaux problématiques

Les services de partage utilisent souvent des données dès que tes visiteurs se trouvent sur le site avec un plugin social actif. Même si rien n'a encore été partagé, les données sont déjà transmises. C'est critique pour RGPD .

Plugins de formulaire de contact

Selon le règlement général sur la protection des données, l'envoi d'un formulaire nécessite le consentement de l'expéditeur. Les données ne sont pas seulement l'IP personnelle, mais aussi l'adresse e-mail et le contenu en lui-même. L'opt-in pour le consentement au stockage des données peut être mis en œuvre par une case à cocher d'acceptation supplémentaire sur Contact Form 7 et sur Gravity Forms, par exemple, avec le plugin gratuit WP GDPR Compliance. Mais aujourd'hui, tous les plugins de ce type devraient avoir implémenté les besoins concernant RGPD .

newsletter & Email Marketing

Dans tes formulaires de newsletter, seule l'adresse e-mail doit être obligatoire, toutes les autres données telles que le prénom et le nom ne doivent être demandées qu'en option. Comme pour tous les formulaires, la procédure de double opt-in s'applique également au formulaire de newsletter, ainsi que la plus grande transparence possible dans les informations sur ce que tu veux ou offres exactement avec la newsletter.

Si tu ne l'as pas encore fait, utilise toujours la procédure de double opt-in ! Dans le cas du double opt-in, le destinataire de l'e-mail doit, après la première inscription, cliquer une deuxième fois explicitement sur le lien dans un e-mail de confirmation afin d'être inclus dans la liste de diffusion. Cela garantit que personne ne s'inscrit à une newsletter en ton nom et que l'inscription réelle est bien celle que tu souhaites.

Mesures techniques en dehors de tes plugins WordPress

Chiffrement de la SSL

Le cryptage SSL n'est pas obligatoire dans RGPD, mais sans une connexion SSL, un transfert de données sécurisé autour de ton site web n'est pas possible. Pour en savoir plus sur le SSL, consulte notre compendium SSL Let's Encrypt.

Tu ne souhaites pas installer toi-même le certificat SSL ? Alors utilise par exemple les certificats SSL de Let's Encrypt, que tu peux activer gratuitement pour ton site WordPress par une installation en 1 clic, rapidement et facilement.

Créer une option d'exclusion de Google Analytics

Dans ce contexte, il convient de rappeler que l'anonymisation complète des visiteurs est obligatoire. Pour garantir cela, il faut ajouter la ligne de code suivante à Google Analytics, qui est souvent utilisé :

ga('set', 'anonymizeIp', true);

Votre extrait javascript aurait dû ressembler à ceci avant :

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

le code ressemble à ceci après l'avoir ajouté :

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>




En outre, tu dois prévoir dans ta politique de confidentialité la possibilité pour les visiteurs de ton site web de se faire exclure complètement de l'analyse Google. Tu trouveras un plugin opt-out gratuit pour Google Analytics sous le nom Google Analytics Opt-Out dans le répertoire des plugins WordPress. Celui-ci installe un cookie qui empêche analytics.js de collecter les données.

Adresses IP anonymes dans les commentaires de blogs

Par défaut, WordPress enregistre les adresses IP des auteurs de commentaires. Mais la collecte de l'adresse IP n'est pas conforme à la protection des données selon l'UERGPD . Tu peux empêcher l'enregistrement futur des adresses IP à l'aide d'un petit code PHP dans ton functions.php. Nous te recommandons d'utiliser un thème enfant pour que le code soit toujours intégré après la prochaine mise à jour de ton thème. Le code à insérer est le suivant :

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Pour finir, tu dois supprimer manuellement et une seule fois les adresses IP existantes dans la base de données de ton site web. Tu trouveras ici de bonnes instructions sur la manière de procéder.

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'un *.