Devis mise aux normes RGPD site internet WordPress

Forfait de mise à jour RGPD de votre site internet WordPress

---

« Définition RGPD : Règlement Général pour la Protection des Données qui désigne la dernière directive européenne concernant les données personnelles »

Avec le durcissement de la cyberséurité pour renforcer la protection des données privées stockées dans l’espace d’hébergement des sites internet, mais aussi sous forme papier dans les entreprises, dans les disques durs et sauvegardes en dur ou en cloud, la réglementation européenne RGPD a été mise en place.

Même s’il est quasiment impossible d’être parfaitement conforme aux normes RGPD, si on ne fait rien, le risque d’amende en cas de contrôle par la CNIL est fort probable. Les normes RGPD (Réglementation Général sur la Protection des Données privées) sont obligatoire depuis le 25 mai 2018. La CNIL nous laisse un an pour les mettre en place. Après, on risque de lourdes amendes !

Après avoir passé beaucoup de temps avec la mise en place de tout ça sur le site de Duo Diff, nous avons pu établir un forfait de mise aux normes RGPD d’un site internet WordPress expliqué ci-dessous :

---

Détail de mise en conformité RGPD de votre site internet WordPress

 

1/ Conformité RGPD à la cybersécurité

Le RGPD a inscrit dans la loi l’obligation de cybersécurité des données personnelles. Le niveau de sécurité exigé est le plus haut possible : c’est le concept de « Privacy by default ».

Il faut donc répondre (en grande partie) à cette exigence légale en intégrant de multiples défenses, et notamment : anti injection SQL, anti attaque XSS, anti piratage, restriction de l’accès backoffice à certaines plages IP, obligation de reconnexion toutes les 30 minutes, blocage des intrusions qui visent à lire des fichiers sensibles.

PRÉCAUTION D’USAGE : en cas de contrôle par la CNIL, le registre des accès aux données vous sera demandé pour détecter d’éventuelles violations par des hackers. Il faut donc tenir (de manière automatique) ce registre obligatoire en totale conformité avec la législation RGPD. Il vous suffira de fournir aux contrôleurs CNIL la copie de table MySql nommée “login_activity” pour éviter une amende. Pour rappel, les amendes CNIL peuvent aller jusqu’à 20 millions d’euros (voire 4% du CA mondial si le chiffre est supérieur) en ce qui concerne la non-conformité RGPD.

 

2/ Conformité RGPD du cryptage des données

Avec la loi RGPD, le protocole non sécurisé HTTP est désormais illégal en matière de collecte de données personnelles. Le protocole HTTPS doit obligatoirement être déployé pour crypter les informations personnelles (email, nom, adresse…) qui transitent par les formulaires web. L’HTTPS sert aussi à protéger les identifiants de session de tout hacking éventuel. A cet effet, il faut mettre en place un forçage des urls http en urls HTTPS, comme sur un site de paiement en ligne, et interdire les requêtes non sécurisées sur le site WordPress.

PRÉCAUTION D’USAGE : il faut activer le protocole HTTPS sur l’hébergement de votre site web ce qui veut dire qu’il faut rediriger les urls en HTTP vers les nouvelles urls en HTTPS pour éviter aux visiteurs du site et à ceux qui vous ont mis en favoris de tomber sur une page d’erreur 404 page introuvable ET préserver les bénéfices SEO du référencement naturel de votre site internet dans les résultats de recherche.

 

3/ Conformité RGPD des restrictions d’accès

Le module WordPress A.A.M. de gestion des rôles permet de restreindre l’accès des collaborateurs d’une entreprise aux données qui leur sont nécessaires pour leur travail. Ce concept est nommé « Privacy by design » dans le texte RGPD et c’est une contrainte légale. Par exemple, un salarié dont la mission exclusive est d’ajouter des produits dans la base de données ne doit légalement et techniquement pas avoir accès aux commandes des clients ou aux formulaires de contact collectés qui contiennent des données personnelles (dont ce salarié n’a pas usage).

PRÉCAUTION D’USAGE : cette extension est plutôt simple d’utilisation si on crée de nouveaux droits d’utilisateurs en copiant ceux d’un type d’utilisateur existant. Il faut juste l’installer et la configurer.

 

4/ Conformité RGPD des consentements

Création d’une case à cocher dans vos formulaires web conforme pour recueillir le consentement des internautes et stocker de manière automatique les consentements de manière native.

PRÉCAUTION D’USAGE : Inclure un lien vers votre page de politique de confidentialité

Exemple sur le formulaire du site Duo Diff :

5/ Conformité RGPD des formulaires

Supprimer (de manière planifiée et automatique) les données récoltées par vos formulaires de contact. Pour les formulaires de contact en provenance de prospects, une durée de conservation maximale de 3 ans est à paramétrer.

 

PRÉCAUTION D’USAGE : vous pouvez paramétrer 5 ans de conservation de données si le message provient d’un client identifié (dans le cas d’un formulaire SAV par exemple).

 

6/ Conformité RGPD du droit de demande et/ou suppressions de ses données privées

Déroulement d’une demande de données personnelles :

• L’utilisateur/visiteur utilise votre formulaire de demande concernant ses données confidentielles pour obtenir un export ou une suppression.
• Une demande est créée dans le menu Outils > Export / Suppression de données.
• Un e-mail est envoyé à l’utilisateur/visiteur pour confirmer la demande.
• La demande de l’utilisateur ou de l’utilisatrice est enregistrée comme Confirmée dans le menu Outils > Export / Suppression de données.
• Un e-mail est envoyé à l’administrateur du site pour valider la demande.

PRÉCAUTION D’USAGE : Les données personnelles sont envoyées par e-mail à l’utilisateur ou au visiteur (en tant que lien de téléchargement valable 3 jours), ou supprimées, suivant le type de demande faite par l’utilisateur.

Exemple du formulaire créé sur la page RGPD du site Duo Diff disponible en pied de page :

Une fois la demande envoyée, tout se fait automatiquement, vous recevez un mail de demande de renseignements ou de suppression des données personnels de la personne concernée.

 

7/ Rédaction de votre page de politique de confidentialité

Celle-ci diffère en fonction de votre activité et surtout en fonction de la manière dont vous utilisez les données personnelles

 

A SAVOIR :

Les changements ci-dessus peuvent évoluer et ne garantissent pas votre conformité légale aux normes GDPR. Il vous appartient de vérifier et compléter les informations avec un avocat qualifié. La conformité stricte aux contraintes RGPD s’obtient (au cas par cas) via un travail d’audit exhaustif sur les volets techniques, juridiques et marketing de la législation européenne : paramétrage adéquat des outils, tenue de registres d’accountability appropriés, études d’impact PIA éventuelles, consentements spécifiques, libres et éclairés à recueillir, adaptation des méthodes de publicité et de prospection commerciale, mentions légales sur les données privées, mentions légales dans la charte de politique de protection des données personnelles, minimisation des données collectées, anonymisation des données envoyées aux sous-traitants, choisir des prestataires conformes, etc.

De plus, le volet technique et juridique de la conformité RGPD s’étend aussi aux données RH et papiers qui sont souvent stockées dans les locaux, le réseau intranet ou le cloud extranet de l’entreprise.

Profitez de notre Forfait RGPD à 490.00 € H.T. seulement !