Catégories Comptes-rendus

Le RGPD va t’il changer nos vies ? – Compte-rendu du meetup du 3 mai 2018


Meetup WordPress Bordeaux du 3 mai 2018

Le jeudi 3 mai dernier, la communauté WordPress Bordeaux s’est une nouvelle fois réunie au Node, à Bordeaux, pour un meetup dédié au Règlement général sur la protection des données. Vous étiez nombreux·ses à nous rejoindre pour ce meetup, dont il faut dire que le sujet inquiète la majorité des conceptrices et concepteurs web.

Nous avons débuté ce meetup par un disclaimer que je rappelle également ici : nous ne sommes pas avocat·e·s. Si vous avez des questions et/ou cas particuliers, rapprochez-vous de personnes compétentes qui sauront vous conseiller efficacement.

Dans ce compte-rendu, je vais rapidement évoquer les grandes lignes évoquées lors du meetup, vous trouverez des informations plus détaillées sur nos slides ainsi que dans les ressources évoquées en fin d’article.

Le RGPD, kézako ?

A moins que vous n’ayez vécu sous une pierre ces derniers temps, vous avez entendu parler du RGPD, d’autant que nos boîtes mail sont englouties sous les « mise à jour de notre politique de confidentialité »…

Le RGPD, Règlement Général pour la Protection des Données, est donc une réglementation européenne qui sera mise en place le 25 mai prochain. L’objectif avoué est de protéger les données des utilisatrices et utilisateurs, et de leur permettre de les contrôler.  Nous avons résumé dans notre présentation (vous la trouverez ci-dessous) les données concernées, ce qui est prévu dans le règlement, qui est concerné·e…

Pourquoi faire ?

Un petit rappel des raisons pour lesquelles ce règlement, s’il s’avère lourd à mettre en place, est une excellente idée, si tant est qu’on accepte de se placer du point de vue des utilisatrices et utilisateurs :

  • Le Web a besoin d’une remise à plat concernant la récupération des données personnelles et leur traitement. L’affaire Facebook/Cambridge Analytica nous a donné un exemple de (très) mauvaises pratiques sur le sujet, qui sont monnaie courante dans le monde du marketing web ;
  • Cela permet de replacer l’utilisateur au centre de nos démarches de conception Web : c’est une question de qualité Web – à ce sujet, si vous ne connaissez pas encore le référentiel Opquast, allez y jeter un œil, ses bonnes pratiques sont un excellent début pour rendre nos sites user-friendly ;
  • On touche ici au concept de privacy by design : avant de concevoir un site, une application ou un service numérique récupérant les données, il est tout de même plus logique de se demander si et pourquoi on en a besoin. Il est pourtant aujourd’hui plus simple de concevoir une solution numérique en récupérant des données par défaut plutôt que l’inverse, un comble !
  • Il est de notre responsabilité de respecter la vie privée des internautes. Même, et surtout, pour celles et ceux qui n’ont pas conscience de laisser des données ou ne s’intéressent pas au sujet (pensez à vos proches, avez-vous réellement envie de les laisser disséminer leurs infos personnelles un peu partout sur le web ?).

Comment mettre mes sites en conformité ?

Voici le nœud du problème. Si certaines parties du RGPD sont relativement limpides (recueil systématique du consentement, suppression des données après un délai, information des internautes, etc.), leur mise en œuvre semble difficile. Car si le RGPD est allé assez loin dans le détail, certaines informations manquent pour aider les professionnel·le·s dans la mise en place de ce règlement.

Quid des anciens fichiers clients ? A partir de quel moment le délai de suppression des données est-il appliqué ? Quid des contacts récoltés en direct, lors de salons, séminaires, conférences et autres événements ? Comment mettre en place la carte de traitement des données ? Autant de questions (et bien d’autres !) qui ont fait l’objet de longs débats lors du meetup, et sur lesquelles nous sommes encore prudent·e·s. Un consensus s’est cependant dégagé de ces débats : la mise en place risque d’être un peu chaotique, et de prendre du temps.

Informer, informer, informer !

Il vous faudra informer vos utilisatrices et utilisateurs concernant les données que vous récupérez, notamment dans votre politique de confidentialité (les détails sont dans la présentation) et leur donner la possibilité d’y avoir accès, de les modifier ou de les supprimer. Cela veut dire que vous devez supprimer toute copie des données personnelles des internautes qui en font la demande ou dont les données ayant atteint la date limite de stockage : listings e-mails, fiches clients, fichiers excels, commentaires, backups, etc.

Le recueil du consentement

En plus d’informer les internautes, vous devrez recueillir leur consentement pour récupérer ces données. Comment ? Comme pour toute demande de consentement, c’est hyper-simple et primordial : il suffit de demander ! Ne partez jamais du principe que la personne est d’accord, laissez lui l’opportunité de consentir… ou de refuser.

Ce recueil de consentement systématique – qui était déjà la règle en France concernant les cookies, je le rappelle – va changer quelque peu les formulaires de nos sites. En conséquence, les cases à cocher vont probablement se multiplier un peu partout sur le web.

Le cas des systèmes de commentaires

Il nous faudra également revoir nos systèmes de commentaires. Pour cela, deux possibilités :

  • Autoriser la publication de commentaires uniquement aux utilisatrices et utilisateurs enregistré·e·s sur votre site ;
  • Ajouter un message de consentement dans l’espace des commentaires.

A titre personnel, j’y vois une opportunité d’amélioration ou de mise en place de règles de modération & de comportement des utilisatrices et utilisateurs sur nos sites, et en conséquence, des communautés plus bienveillantes. A ce sujet, si vous recherchez un exemple de « comments policy » en place, le webzine The Mary Sue en propose une depuis des années.

Toujours sur le sujet des commentaires, Imath a créé une extension pour corriger un manque dans le nouveau système de commentaires de WordPress : ce n’est pas parce que l’internaute a refusé d’accepter les cookies qu’il doit subir une pauvre expérience utilisateur, à savoir ne pas être mis au courant de la prise en compte de ses commentaires pour modération. L’extension est disponible sur Github.

Et côté sécurité ?

Les lois existantes en matière de failles de sécurité de la data ont été durcies. Cela implique donc de la part des conceptrices et concepteurs web, et de leur client·e·s :

  • Une responsabilité en ce qui concerne les données sensibles et de leur sécurisation : chiffrement, anonymisation… ;
  • La création d’un flux de modification et de suppression des données ;
  • Se préparer à un éventuel piratage : en cas de fuites, il faut prévenir la CNIL et les utilisatrices et utilisateurs concerné·e·s dans les 72H maximum ;
  • Pour les plus gros sites (e-commerce, fortes fréquentation et récolte de contacts), La création d’une carte de traitement des données et l’attribution de rôle de Délégué à la Protection des Données.

Et WordPress dans tout ça ?

La version « mineure » 4.9.6 est sortie le 15 mai 2018 :

  • 30 commits étiquetés RGPD à l’heure où nous avons préparé notre meetup ;
  • Page de politique de confidentialité ;
  • Possibilité d’exportation des données privées ;
  • Possibilité de supprimer des données privées ;
  • Actions/Filtres pour que les auteurs d’extensions puissent se hooker dessus pour être en conformité.

Les extensions tierces

  • Formulaires, commentaires, retargeting, newsletter, marketing, suivi de comportement des internautes, personnalisation de contenus, statistiques, sauvegardes : vous êtes responsable de ce que vous installez. Passez toutes vos extensions et leur documentation au crible !
  • Les extensions du répertoire de WordPress.org ne peuvent plus être déclarées comme RGDP ready ;
  • Les auteur·e·s d’extensions peuvent cependant accompagner les utilisatrices et utilisateurs dans leur mise en conformité ;
  • Quelques exensions WordPress RGPD existent déjà. Nous n’avions pas encore le recul pour donner des retours, à tester.

Le cas du e-commerce

Si vous gérez un ou des sites e-commerce et n’êtes pas sûr·e de vos connaissances sur le sujet, nous vous conseillons de consulter un·e expert·e qui pourra vous accompagner dans la mise en conformité de votre site. Ceci dit, voici quelques pistes :

  • Des CGV adaptées à la boutique sur une page dédiée ;
  • Une section commandes et confidentialité sur cette page ;
  • Des formulaires d’inscription comportant systématiquement un texte d’acceptation de la politique de confidentialité. Sous WooCommerce, vous pouvez ajouter ce texte comme suit : Réglages > Commande > Pages commandes > champs CGV > sélection de la page. WP Marmite propose un snippet permettant d’ajouter une case à cocher à cet effet, puisque Woo Commerce ne le permet pas encore ;
  • Autorisez la publication d’avis client·e·s uniquement après achat du produit. Sous WooCommerce, vous pouvez le faire ainsi : Onglet Produits > rubrique Avis > Autoriser avis uniquement acheteurs certifiés ;
  • Prévoyez l’abandon de panier (et donc de supprimer ces données également) ;
  • Revoyez vos pratiques marketing (e-mail, profilage et retargeting) borderline, et récoltez systématiquement le consentement explicite de l’internaute.

La loi anti-fraude à la TVA

Toutes les plateformes d’e-commerce open source sont concernées par cette loi, y compris si votre site est ciblé B2C. WooCommerce travaille à une solution intégrée, mais les autres solutions, comme EDD, n’ont rien prévu. Cependant, si votre site est ciblé B2B, vous n’êtes pas concerné·e·s, car vous devez forcément émettre une facture aux client·e·s. Si vous n’êtes pas assujetti·e à la TVA, comme les micro-entrepreneur·e·s par exemple, vous n’êtes pas concerné·e·s non plus.

Maxime a proposé un article très clair et détaillé sur le site de l’association WordPress Francophone, vers lequel je vous redirige pour plus d’informations.

Les slides du meetup

Vous trouverez à l’intérieur les infos évoquées lors du meetup, qui devraient vous aider dans la mise en application de ce RGPD sur vos sites.

En résumé

  • Nos sites doivent être mis en conformité le 25 mai ;
  • Dans les débats qui ont eu lieu durant le meetup, une remarque récurrente : cela sera très compliqué à mettre en place, car certains détails de ce règlement sont encore nébuleux et semblent très compliqués à mettre en place, par exemple la carte de traitement des données ;
  • WordPress et ses extensions populaires ont débuté le travail pour s’adapter au RGPD mais c’est un travail au long cours ;
  • Toutes les extensions et services ne seront pas conformes, il y aura donc un travail « d’enquête » systématique avant d’installer toute extension ou services tiers ;
  • Un énorme merci à Éléonore de WP Marmite pour son article sur le sujet, qui nous a servi de base pour la structure et le contenu de notre meetup ;
  • Merci à l’association Aquinum – l’association des professionnel·les du numérique en Aquitaine, qui gère le Node – pour son accueil, une nouvelle fois parfait ;
  • Merci également à O2switch qui sponsorise nos meetups en finançant les pizzas ;).

Meetup WordPress Bordeaux du 3 mai 2018

Quelques ressources, pour aller plus loin

RGPD et WordPress : Le guide ultime (et concret) pour se mettre en conformité, sur WP Marmite. L’article principal sur lequel nous nous sommes appuyé·e·s pour préparer ce meetup. Il est à la fois détaillé et clair, disponible en français et en anglais. Un grand merci et bravo à Éléonore, rédactrice du blog WP Marmite ;

WordPress 4.9.6 et la conformité RGPD, sur le blog de l’agence Whodunit ;

Loi anti-fraude et l’e-commerce : les informations officielles, sur le site de l’association WordPress Francophone ;

Le guide de Stripe sur les changements relatifs à la protection des données à caractère personnel en Europe ;

[Infographie] RGPD : 5 conseils d’expert pour être vraiment prêt ;

RGPD : la CNIL et Bpifrance publient un guide pratique pour les TPE/PME, sur le Blogdumodérateur ;

Le RGPD me concerne-t-il ?, sur itgovernance.eu ;

(WHOIS) Il ne sera bientôt plus possible de savoir qui est le propriétaire d’un site web, sur datanews ;

Cartographier vos traitements de données personnelles, sur le site de la CNIL ;

Plugins Hosted on WordPress.org Can No Longer Guarantee Legal Compliance, sur WP Tavern ;

Heather Burns – Privacy by Design : la vidéo de sa conférence au PHP Yorkshire 2018, ses slides lors du WordCamp London 2018 ;

Un excellent exemple de « comments policy », en place sur le webzine The Mary Sue ;

GDPR is not a worse user experience.
Imath propose une extension pour corriger un manque (mauvaise UX) dans le nouveau système de commentaires WordPress : ce n’est pas parce que l’internaute a refusé d’accepter les cookies qu’il doit subir une pauvre expérience utilisateur, à savoir ne pas être mis au courant de la prise en compte de ses commentaires pour modération dans ce cas précis.

Merci à tou·te·s les participant·e·s 🙂 On se retrouve très vite lors du prochain meetup WordPress Bordeaux !