Vous intervenez dans l’économie sociale et solidaire, le RGPD vous concerne aussi
23 décembre 2018Web & WordPress
Entré en vigueur en mai 2018, le règlement européen de protection des données impose une révolution en matière de respect de la vie privée des invidivus. Cela concerne évidemment – mais pas uniquement – le numérique. Au-delà des développeurs et autres professionnels du web, tous les propriétaires de sites doivent s’y pencher, a fortiori les établissements sociaux et médico-sociaux.
Vous êtes basé en Europe et/ou vous collectez des adresses mails personnelles (non professionnelles), des coordonnées postales, des noms et prénoms, des numéros de sécurité sociale, des données médicales ou encore tout autre moyen d’identifier de particuliers situés en Europe ? Que ce soit sur format papier ou numérique, vous êtes concerné par le RGPD. Entreprise de l’économie sociale et solidaire ou association, même topo.
Une inscription à votre newsletter, un formulaire de contact sur votre site, des numéros de carte bleue enregistrés suite dans le cadre de dons destinés à votre structure, des cookies sur votre site, tout cela entre en ligne de compte. Idem pour les informations stockées sur votre intranet. Ce sont des données personnelles que vous collectez. Selon le RGPD, vous devez permettre aux intéressés (personnes accompagnées, adhérents, clients ou encore salariés) de savoir ce que vous en faites, voire de s’y opposer ou de les modifier.
Pas de panique si vous n’êtes pas encore à jour ! En France, la CNIL propose une méthode pour rattraper son retard en quatre étapes. Ce sera, en principe, le rôle de votre DPO ou « délégué à la protection des données ». On vous les résume et, au passage, on voit ce que ça signifie en matière de sites web, tout particulièrement sur WordPress…
Créer un registre RGDP
Première étape : listez les données que vous collectez et les traitements que vous en faites. Cela peut sembler fastidieux. Toutefois, pour une structure de l’économie sociale et solidaire (ESS), cette démarche peut offrir un moyen de créer ou re-créer du lien avec ses donateurs, ses bénévoles ou ses bénéficiaires.
La CNIL vous facilite la tâche en mettant à disposition sur son site un modèle de registre type. Notons qu’il faut aussi se préoccuper des données confiées à vos sous-traitants, et notamment à votre hébergeur. Vous devez vous assurer que ces derniers respectent eux aussi le RGPD. Difficile cependant lorsque l’on a recours à un dispositif tel que Google Analytics pour surveiller l’audience de son site qui, de fait, enregistre les adresses IP de vos visiteurs sans nécessairement appliquer le RGPD… Cela dit, en matière d’”analytics”, des alternatives existent : Mamoto, Clicky ou OpenWebAnalytics.
Trier les données collectées
Inutile de conserver des données superflues ou de les archiver sur une période trop longue. C’est même illégal au-delà d’un certain délai. Comme toute structure ESS, vous refusez les démarches purement « marketing ». Il est donc particulièrement important de veiller à ne collecter que les informations qui vous seront utiles. À cette étape, relisez votre registre RGPD (voir ci-dessus) et déterminez les données dont vous avez réellement besoin, fixez la méthode de suppression des données inutiles et la durée d’archivage sur votre serveur.
C’est l’occasion de vérifier votre système de sauvegarde. Un « backup » régulier de votre base de données est essentiel en cas d’incident. Mais il est tout aussi utile de s’assurer que la base n’est pas surchargée d’informations inutiles. Sur WordPress, plusieurs plugins permettent d’optimiser votre base de données et, par la même occasion, de réduire le délai de rétention des données personnelles : WP Optimize, WP-Sweep ou encore WPS Cleaner proposé par WPServeur.
Respecter les droits des personnes
Garantir les droits des personnes passe par une information claire du traitement que vous faites de leurs données (dans l’idéal sur une page dédiée à votre politique de confidentialité). Il s’agit aussi de permettre aux intéressés d’y avoir accès facilement. En pratique, il s’agit de contrôler les formulaires de contacts ou d’inscription présents sur votre site, ainsi que les dispositifs de gestion de cookies (que l’internaute doit pouvoir autoriser ou bloquer).
Vous devez vous assurer d’obtenir l’accord explicite des visiteurs qui vous laissent certaines informations personnelles comme leurs noms ou adresses mail. Idem pour les commentaires ou les newsletters. Le site wpmarmite dédié à WordPress a publié un article qui détaille plusieurs astuces à ce propos. Citons également le plugin Tarteaucitron.js qui permet une gestion des cookies adaptée au RGPD.
Sécuriser les données
Dernière étape, et non des moindres : il faut aussi, et surtout, garantir l’intégrité des données personnelles que vous détenez. Cela passe évidemment par une mise à jour de vos logiciels et des antivirus sur vos machines pour éviter toute intrusion ou vol de données. Pour votre site, un certain nombre de méthodes de sécurisation de base sont à prévoir : disposer d’un mot de passe fort, cacher l’url d’accès à l’administration du site, interdire l’accès aux fichiers sources, etc.
Sur WordPress, pour les utilisateurs non-développeurs, des plugins offrent une palette d’outils pour répondre à ces exigences. Parmi les plus répandus et les plus récemment mis à jour, citons Wordfence, iTheme Security et All in One Security. Pour aller encore plus loin, la CNIL propose un guide de 32 pages dédié à la sécurité des données privées.
