2. LE BUT DU RGPD EST […] D’ÉTENDRE LE DROIT DE REGARD
DES INDIVIDUS SUR L’UTILISATION DE LEURS INFORMATIONS
PERSONNELLES, DÈS LA CONCEPTION (PRIVACY BY DESIGN)
ET PAR DÉFAUT (PRIVACY BY DEFAULT).
Chambre de Commerce,
d’Industrie et des services de Genève
RGPD
Source : https://www.ccig.ch/blog/2018/02/Les-entreprises-suisses-nechapperont-pas-au-RGPD
3. RGPD
QU'EST-CE QU'UNE DONNÉE PERSONNELLE ?
Toute donnée qui permet d'identifier
directement ou indirectement un individu
▸ Nom, prénom, adresse email, téléphone,
donnée géographique, donnée démographique, etc.
▸ Adresse IP, données comportementales (visites, clics, like, etc.)
Données sensibles
▸ Origines raciales ou ethniques, opinions politiques, philosophiques,
religieuses, relatives à la santé ou à la vie sexuelle
4. RGPD
QU'EST-CE QUE LA LÉGISLATION PRÉVOIT ?
▸ L'amélioration du consentement de l'utilisateur
▸ La traçabilité et la haute sécurité des données des utilisateurs
▸ Le droit de l'internaute à rectifier, modifier, supprimer
ou recueillir ses données
▸ Des sanctions aux montants élevés
Entrée en vigueur : 25 mai 2018
Source : RGPD et WordPress (WP Marmite) https://wpmarmite.com/rgpd-wordpress/
5. RGPD
6 PRINCIPES CLÉS SUR LA PROTECTION DES DONNÉES
▸ Définir la finalité et respecter les droits des personnes
▸ Vérifier la pertinence des données
▸ Limiter la conservation des données
▸ Garantir la sécurité des données et leur confidentialité
▸ Responsabilité en cas de sous-traitance
▸ Le traitement de données hors UE est soumis aux mêmes règles
Source : eSkills http://medias.fer-ge.ch/FER/rgpd/
6. RGPD
DROITS DES PERSONNES CONCERNÉES
▸ Droit à l'information (articles 13 et 14 RGPD)
▸ Droit d'accès (article 15 RGPD)
▸ Droit de rectification (article 16 RGPD)
▸ Droit d'effacement ou "droit à l'oubli" (article 17 RGPD)
▸ Droit à la limitation du traitement (article 18 RGPD)
Source : Le RGPD et ses conséquences pour la Suisse https://www.edoeb.admin.ch
7. RGPD
CRITÈRES D'APPLICATION POUR LA SUISSE
▸ Critère de l'établissement :
▸ Succursale ou filiale européenne
d'une entreprise suisse sur le territoire de l'UE
▸ Sous-traitance pour une entreprise européenne
▸ Critère du ciblage :
▸ Traitement de données personnelles de résidents de l'UE pour
offrir des biens et des services dans l'UE
Source : Le RGPD et ses conséquences pour la Suisse https://www.edoeb.admin.ch
8. RGPD
PAR OÙ COMMENCER
▸ Constituer un registre de vos traitements de données
▸ Faire le tri dans ses données
▸ Respecter les droits des personnes
▸ Sécuriser vos données
Source : CNIL https://www.cnil.fr/rgpd-par-ou-commencer
9. RGPD
CRÉER UN REGISTRE DE TRAITEMENTS DE DONNÉES
Pour chaque activité recensée, préciser
▸ L’objectif poursuivi
▸ Les catégories de données utilisées
▸ Qui a accès aux données
▸ La durée de conservation des données
Source : CNIL https://www.cnil.fr/rgpd-par-ou-commencer
10. RGPD
FAIRE LE TRI DANS VOS DONNÉES
Pour chaque fiche de registre créée, vérifier que
▸ Les données que vous traitez sont nécessaires à vos activités
▸ Vous ne traitez aucune donnée dit « sensible » ou,
si c’est le cas, que vous avez bien le droit de les traiter
▸ Seules les personnes habilitées ont accès aux données dont elles ont besoin
▸ Vous ne conservez pas les données au-delà de ce qui est nécessaire
Source : CNIL https://www.cnil.fr/rgpd-par-ou-commencer
11. RGPD
RESPECTER LES DROITS DES PERSONNES (1/2)
Informer les personnes :
▸ Pourquoi vous collectez les données (la finalité)
▸ Ce qui vous autorise à traiter les données (le fondement juridique)
▸ Qui a accès aux données
▸ Combien de temps les données sont conservées
▸ Les modalités pour exercer leurs droits
▸ Si vous transférez des données hors de l’UE (préciser le pays et l’encadrement juridique)
Source : CNIL https://www.cnil.fr/rgpd-par-ou-commencer
12. RGPD
RESPECTER LES DROITS DES PERSONNES (2/2)
Permettre aux personnes d’exercer facilement leurs droits :
▸ Ajouter un formulaire de contact spécifique, numéro de téléphone
ou adresse email dédiée
▸ Offrir des outils aux clients possédant un compte
▸ Mettre en place un processus internet permettant de garantir l’identification et
le traitement des demandes dans des délais courts (1 mois maximum)
Source : CNIL https://www.cnil.fr/rgpd-par-ou-commencer
13. RGPD
SÉCURISER LES DONNÉES SUR VOTRE SITE (1/2)
Vous êtes tenu à une obligation légale d’assurer la sécurité
des données personnelles que vous détenez.
▸ Choisir un bon hébergeur
▸ Utiliser une version récente de PHP
▸ Forcer l’utilisation de HTTPS
▸ Forcer l’utilisation de mots de passe forts
▸ Attribuer correctement les permissions aux utilisateurs
14. RGPD
SÉCURISER LES DONNÉES SUR VOTRE SITE (2/2)
▸ Renforcer la sécurité de votre installation
▸ Utiliser des extensions et des thèmes bien écrits
▸ Effectuer les mises à jour régulièrement
▸ Supprimer les extensions et thèmes inutilisés
▸ Installer un outil de logs
▸ Effectuer des sauvegardes externalisées
15. RGPD
LE TRANSFERT DE DONNÉES VERS LES ÉTATS-UNIS
Pour être en conformité avec la RGPD :
▸ Vérifier la certification de l’entreprise au Bouclier de Protection des Données
sur le site www.privacyshield.gov/list
▸ Conclure un contrat de sous-traitance avec l’entreprise concernée
▸ Informer les personnes concernées de la destination de leurs données et du
fait que celles-ci bénéficient du Bouclier de Protection des Données
Source : Le Privacy Shield (CNIL) - https://www.cnil.fr/fr/le-privacy-shield
16. RGPD
COOKIES ET AUTRES TRACEURS (1/4)
Tant que la personne n'a pas donné son consentement,
ces traceurs ne peuvent être déposés ou lus sur son terminal.
Illustration : cookiebot.com
Source : CNIL https://www.cnil.fr/fr/cookies-comment-mettre-mon-site-web-en-conformite
17. RGPD
COOKIES ET AUTRES TRACEURS (2/4)
Avant de déposer ou lire un cookie :
▸ informer les internautes de la finalité des cookies
▸ obtenir leur consentement
▸ fournir aux internautes un moyen de les refuser
Durée maximale de validité du consentement : 13 mois
Source : CNIL https://www.cnil.fr/fr/cookies-comment-mettre-mon-site-web-en-conformite
18. RGPD
COOKIES ET AUTRES TRACEURS (3/4)
Nécessitant le recueil du consentement préalable :
▸ Cookies liées aux opérations relatives à la publicité
▸ Cookies des réseaux sociaux générés par les boutons de partage
▸ Certains cookies de mesure d'audience
Source : CNIL https://www.cnil.fr/fr/cookies-comment-mettre-mon-site-web-en-conformite
19. RGPD
COOKIES ET AUTRES TRACEURS (4/4)
Exemptés de consentement :
▸ Cookies de panier d'achat
▸ Cookies d'identifiants de session (durée limitée à la durée de la session ou quelques heures)
▸ Cookies d'authentification
▸ Cookies de session créés par un lecteur multimédia
▸ Cookies de session d'équilibrage de charge
▸ Cookies de certaines solutions de mesure d'aucience
▸ Cookies persistants de personnalisation de l'interface (choix de langue ou de présentation)
Source : CNIL https://www.cnil.fr/fr/cookies-comment-mettre-mon-site-web-en-conformite
20. RGPD
OUTILS INTÉGRÉS À WORDPRESS
Version 4.9.6 – 15 mai 2018
▸ Page pour la politique
de confidentialité
▸ Outil d’export
de données personnelles
▸ Outil de suppression
de données personnelles
Source : WordPress https://make.wordpress.org/core/tag/gdpr-compliance/
21. RGPD
JETPACK
Version 6.0 : réglages de confidentialité
⚠ La connexion à un compte WordPress.com implique l’acceptation de leurs
conditions d’utilisation et le partage de données avec WordPress.com
Données transmises par Jetpack : https://jetpack.com/support/what-data-does-jetpack-sync/
Conditions d’utilisation WordPress.com : https://en.wordpress.com/tos/
22. RGPD
WOOCOMMERCE (1/2)
Version 3.4 – 23 mai 2018
▸ Possibilité d’ajouter un texte sur la confidentialité
sur les pages de checkout et de compte utilisateur
▸ Intégration avec l’outil d’export de WordPress
Source : WooCommerce https://woocommerce.wordpress.com/2018/04/18/woocommerce-3-4-beta-is-here/
23. RGPD
WOOCOMMERCE (2/2)
▸ Outil de suppression et d’anonymisation des anciennes commandes
qui ne nécessitent pas de traitement
▸ Outil pour supprimer certains champs optionnels de la page de checkout
Comment WooCommerce aborde la conformité avec la GDPR :
https://woocommerce.wordpress.com/2018/04/10/how-were-tackling-gdpr-in-woocommerce-
core/
Source : WooCommerce https://woocommerce.wordpress.com/2018/04/18/woocommerce-3-4-beta-is-here/
24. RGPD
EMAILING (MAILCHIMP)
Pour être en conformité avec la RGPD :
▸ Actualiser la page à propos de l’utilisation des données personnelles
▸ Remplir le formulaire légal concernant l’accord sur le traitement des données
▸ Mettre à jour les formulaires d’inscription, activer les champs spécifiques au RGPD
▸ Segmenter les listes selon le consentement des abonnés
▸ Demander le consentement des abonnés existants
▸ Ajouter le lien de mise à jour du profil sur les emails
Source : base de connaissances MailChimp
25. RGPD
AUDITER SES EXTENSIONS (1/2)
Questions à poser si l’extension n’a pas de politique de confidentialité :
▸ Quelles données d’utilisateurs et de visiteurs sont collectées ?
▸ Pourquoi sont-elles collectées, qu’est-ce que l’extension fait avec ces données ?
▸ Avec quelle(s) partie(s) tierce(s) l’extension partage-t-elle les données ?
▸ Où sont stockées les données, comment l’accès à ces données est-il protégé ?
Source : Allen Dav - https://www.allendav.com/2018/04/10/april-is-wordpress-plugin-privacy-audit-month/
26. RGPD
AUDITER SES EXTENSIONS (2/2)
▸ Combien de temps les données sont-elles conservées ?
▸ Quelles options ont les administrateurs et les utilisateurs concernant
la collecte de données et leur utilisateur ?
▸ Comment les administrateurs et les utilisateurs peuvent accéder,
mettre à jour ou supprimer les données collectées par l’extension
▸ L’extension supprime-t-elle les données collectées à sa désinstallation ?
Source : Allen Dav - https://www.allendav.com/2018/04/10/april-is-wordpress-plugin-privacy-audit-month/
27. RGPD
RESSOURCES UTILES (1/3)
▸ RGPD (EUR-Lex)
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
▸ Le RGPD de l'UE et ses conséquences sur la Suisse (Confédération suisse)
https://www.edoeb.admin.ch/edoeb/fr/home/documentation/bases-legales/
Datenschutz%20-%20International/DSGVO.html
▸ Découvrir la protection des données (eSkills)
http://medias.fer-ge.ch/FER/rgpd/
28. RGPD
RESSOURCES UTILES (2/3)
▸ Blog de François Charlet, DPO
https://francoischarlet.ch/series/gdpr/
▸ Heather Burns: Designing for data protection
https://wordpress.tv/2017/11/12/heather-burns-designing-for-data-protection/
▸ GDPR Compliance for WordPress Core
https://github.com/gdpr-compliance/info
▸ RGPD et WordPress (WP Marmite)
https://wpmarmite.com/rgpd-wordpress/
29. RGPD
RESSOURCES UTILES (3/3)
▸ GDPR WP (Trew Knowledge)
https://gdpr-wp.com/ - https://wordpress.org/plugins/gdpr/
▸ The WordPress GDPR Framework (Codelight)
https://codelight.eu/wordpress-gdpr-framework/
▸ Automattic et la RGPR
https://en.support.wordpress.com/automattic-gdpr/