Traduction DGPD (Directive Générale pour la Protection des Données)

Voici la traduction de l’article d’Elegantthemes sur le RGPD (Règlement Général pour la Protection des Données) donnant des conseils pour la mise en place du RGPD
au plus tard le 25 Mai prochain.
Cet article vient en complément de l’excellent article de la Marmite sur ce sujet.

TRADUCTION FRANCAISE
de l’article d’Eleganttemes sur le RGPD

De nombreux changements sont à venir pour WordPress en 2018, et notamment le Règlement général sur la protection des données (RGPD) que l’Union européenne est en train de promulguer, à partir du 25 mai 2018. La version TL;DR est telle que le RGPD dit que les utilisateurs ont un contrôle total sur leurs données et que vous devez leur dire pourquoi vous en avez besoin. À ce moment-là, ils peuvent donner le feu vert ou non. En pratique, cependant, c’est un peu plus compliqué que cela.

WordPress et le RGPD

Puisque WordPress représente 30% de l’Internet maintenant, nous avons beaucoup de nettoyage à faire. Les données ruissellent et circulent entre nos sites et les utilisateurs, et le RGPD dit que c’est à nous de gérer nos sites suffisamment bien pour que les utilisateurs puissent gérer leurs données. Même s’il s’agit d’un règlement adopté par l’UE, il affecte pratiquement le monde entier. Parce que si vous recueillez un bit ou un octet de données auprès d’une personne dans l’UE (quel que soit votre lieu de résidence), vous êtes soumis à cette loi parce que vous disposez alors d’informations appartenant à un citoyen de l’UE. Et s’il s’avère que vous n’avez pas respecté les règles, vous pouvez être condamné à une amende pouvant aller jusqu’à 20 millions d’euros.
 
C’est effrayant pour beaucoup de gens. Mais ça n’a pas lieu d’être.

La bonne nouvelle, c’est qu’il y a une équipe dédiée de contributeurs WordPress Core qui travaillent sur la vérification du code Core avant le 25 mai. Ils ont un site Web (et un canal Slack associé) où les administrateurs et les développeurs peuvent suivre les progrès et voir ce que vous devez faire pour vous mettre (et vos clients) en conformité. Voici la répartition de ce dont vous êtes responsable :

  • Expliquer qui vous êtes, combien de temps vous conservez les données,
  • Pourquoi vous en avez besoin et qui, au sein de votre équipe ou à l’extérieur, y a accès.
  • Obtenir un consentement explicite et clair pour la collecte de données par le biais d’une acceptation.
  • Donner aux utilisateurs l’accès à leurs propres données, la possibilité de les télécharger et de les supprimer complètement de vos dossiers.
  • En cas de piratage ou d’atteinte à la sécurité, faites-le savoir à vos utilisateurs.
Pour des explications plus détaillées sur le RGPD  vous pouvez consulter notre aperçu de la réglementation des données en 2018, l’infographie officielle de la Commission européenne sur la RGPD  et le support officiel d’Automattic concernant WordPress et le RGPD.
 
Cela dit, vous devez savoir ce que vous pouvez faire pour vous conformer au RGPD  Voici donc quelques mesures précises et réalisables que vous pouvez prendre pour assurer votre sécurité (et celle de vos données d’utilisateur).
 

L’acceptation de la RGPD 

L’aspect le plus important de tout cela est l’acceptation du RGPD  Permettez-moi d’être clair sur ce point. Une acceptation n’est en aucun cas la même chose qu’une non-participation. L’UE a déclaré que vous devez « obtenir leur consentement clair pour traiter les données ». Cela signifie que les utilisateurs doivent explicitement dire oui, et pas seulement avoir la possibilité de dire non. 

Voici un exemple : vous avez une entreprise de dropshipping en ligne, et peut-être vous utilisez WooCommerce. Lorsque les utilisateurs accèdent à votre page de paiement, vous avez une case à cocher qui se lit comme suit : « [x] Oui, je veux m’inscrire à votre formidable liste d’envoi par courrier électronique !
 
Pas de problème, n’est-ce pas ? Si vous laissez la case cochée par défaut, c’est votre faute. C’est leur donner la possibilité de se dérober. Ce n’est pas ce que dit la règle de l’acceptation du RGPD  Ils doivent dire explicitement qu’ils choisissent de partager leurs informations avec vous.
 
Il en va de même pour les sections de commentaires qui abonnent automatiquement les gens au fil de commentaires, ou tout type de contact automatisé qui n’est pas directement initié par l’utilisateur. (Les fenêtres contextuelles comme Intercom peuvent être correctes parce qu’elles n’ont pas accès à leurs données, mais pourraient tout de même être affectées par la clause de pseudonymisation du RGPD.
 
Mais votre but #1 est de ne rien prendre par défaut. Et honnêtement, prenez-en le moins possible lorsque vous obtenez une permission explicite.

Demander le minimum d’informations nécessaires

Beaucoup de sites Web, de formulaires, de plugins et de magasins demandent des informations dont ils n’ont pas vraiment besoin. En général, une bonne règle empirique consiste à demander le moins d’informations possible à vos utilisateurs. Si vous n’avez pas besoin de leurs noms, par exemple, ne le prenez pas. Ou peut-être seulement leur prénom. Parfois, tout ce qu’il faut, c’est leur mail pour que votre travail puisse se faire.
 
Cela ne veut pas dire que vous ne pouvez pas demander les autres informations. Le RGPD dit simplement qu’il faut dire aux gens pourquoi vous en avez besoin. Si vous leur demandez leur nom et prénom, dites-leur pourquoi. Si vous demandez leurs anniversaires, indiquez clairement que vous envoyez des coupons comme cadeaux d’anniversaire, par exemple. En raison du PIBR, il n’est plus nécessaire de demander des informations « juste au cas où » ou « pour des projets futurs, indéterminés ».
 
De nombreux plugins de formulaires vous permettent d’inclure une note sous / à côté de l’étiquette principale, donc si vous avez un champ pour les numéros de téléphone, vous pouvez avoir un message qui dit « Nous demandons votre numéro de téléphone afin que nos représentants du service à la clientèle puissent accélérer le processus d’installation pour vos commandes personnalisées« .
 
De plus, lorsque vous demandez des informations, l’UE dit que vous devez divulguer « qui vous êtes (….), combien de temps elles seront stockées et qui les reçoit« . Quant à savoir quand et comment vous devez divulguer ce genre de choses, cela peut varier. En premier lieu, vous devez dire qui vous êtes en même temps que vous faites la demande de leurs données.
 
Ce n’est en fait pas différent des pieds de page requis que chaque service de courrier électronique vous demande de fournir. Il suffit d’avoir une phrase ou un texte expliquant qui vous êtes, une seule ligne indiquant que « Les données de ce site web sont traitées par B.J. Keeton, le CIO d’Awesomesauce International et ses filiales« . Ou même quelque chose comme « Les données soumises par ce formulaire seront utilisées par Awesomesauce International et personne d’autre » ne travaillera avec.
 
Cela signifie que votre formulaire de contact, le formulaire d’inscription, les pages de paiement, partout où les utilisateurs peuvent vous donner leurs informations nécessite de vous identifier clairement vous et les vôtres.

Votre ToS et votre politique de confidentialité

Comme pour les autres parties des clauses de conservation de l’information du RGPD  vous pouvez inclure les détails sur le pourquoi des données, comment et qui , soit dans vos conditions de service, soit dans votre politique de confidentialité. Et c’est une bonne idée de le faire aussi, parce que cela fait partie de l’acceptation explicite du RGPD.
 
L’étape qui peut faire l’objet d’une action est double : premièrement, assurez-vous que votre cahier des charges et votre politique de confidentialité sont eux-mêmes conformes au RGPD.  Et deuxièmement, créez des champs obligatoires explicites sur chaque formulaire indiquant l’acceptation des deux documents avant de traiter quoi que ce soit. Les cases à cocher sont très bien, et les champs de texte où les utilisateurs peuvent taper « J’accepte » sont encore mieux (mais sont vraiment odieux).
 
Nous avons aussi des ressources plus approfondies pour vous à ce sujet. Vous pouvez vérifier comment ajouter les accords requis à vos formulaires ici. Et si vous ne savez pas par où commencer dans votre politique de confidentialité, nous pouvons également vous guider dans ce domaine.
 
Je suggérerais d’ajouter un paragraphe dans vos Conditions d’utilisation à propos de l’acceptation de la Politique de confidentialité en tant que terme et de l’établissement d’un lien directement à partir de la page d’accueil. Ensuite, dans la Politique de confidentialité, ajoutez un paragraphe discutant de son rôle dans la TdS, ainsi que de la façon exacte dont votre site gère les données en conformité avec le RGPD  Plus précisément, vous devrez fournir des instructions détaillées dans votre politique de confidentialité expliquant chacun des éléments suivants:
  • Comment accéder et télécharger un dossier complet de toutes les données que vous avez sur eux.
  • Le processus par lequel les utilisateurs peuvent supprimer complètement leurs données de vos dossiers (et non simplement se désabonner, etc.) dans le cadre des lois sur le  » droit à l’oubli  » précédemment adoptées dans l’UE.
  • la façon exacte dont vous informerez les utilisateurs des atteintes à la protection des données si jamais elles se produisent.
  • Des explications détaillées sur qui vous êtes, à quoi vous utilisez les données, qui y a accès et pendant combien de temps vous les conservez.
Il est maintenant plus important que jamais d’avoir une politique de confidentialité en place. C’était assez important avant parce que Google voulait que vous en ayez une. Et cette importance vient de monter en flèche.
 

Ça fait beaucoup, n’est-ce pas ?

Et c’est le cas. Heureusement, vous utilisez probablement WordPress. Grâce à notre fantastique communauté, les développeurs sont déjà à pied d’œuvre sur différentes façons d’aider l’acceptation du RGPD et sa conformité. Il y a encore beaucoup de détails à régler, mais dans les mois à venir, je m’attendrais à ce que des options apparaissent dans vos plugins préférés – ou extensions RGPD faites par des tiers – qui insèrent tout ce que j’ai mentionné en cochant quelques cases et en remplissant quelques champs.
 
Fondamentalement, pour rendre votre site conforme au RGPD, il s’agit de s’assurer que vous êtes transparent vis à vis des gens. Faites-leur savoir ce que vous faites, ne leur demandez pas de renseignements superflus et laissez-les choisir de vous les donner plutôt que de les prendre par défaut.
 
 Image de l’article présenté par Pe3k / shutterstock.com
Partagez le projet et faites le connaitreShare on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on Google+
Google+
Share on LinkedIn
Linkedin
Email this to someone
email
Top