Mettre un site en conformité avec le RGPD et la réglementation sur les cookies recouvre des aspects techniques et d’information aux utilisateurs.
La réglementation sur la protection des données personnelles
Le Règlement Général sur la Protection des Données (RGPD), entrée en vigueur le 25 mai 2018, et retranscrit en droit français par la loi 2018-493 du 20 juin 2018, demande que toute prise de Données à Caractère Personnel (DCP) d’un utilisateur lors d’un traitement de données soit faite dans un cadre légal précis.
Les données doivent être :
- nécessaires au traitement ;
- stockées en Europe ou pays offrant le même niveau de sécurité ;
- recueillies après information ou demande de consentement de l’utilisateur.
Les “cookies” sont des petits fichiers qui collectent des données lors de l’usage de sites internet.
Pour une première présentation des cookies, voir cette vidéo de la CNIL : Qu’est-ce qu’un cookie ?
Pour information, les cookies ne sont pas strictement dans le champ du RGPD européen mais sont régis par la directive européenne 2009/136/CE, retranscrite en droit français par l’ordonnance 2011-1012 du 24 août 2011, en attendant le futur règlement européen ePrivacy, en cours de discussion.
Source de référence : CNIL – Site web, cookies et autres traceurs https://www.cnil.fr/fr/site-web-cookies-et-autres-traceurs.
Quand et comment des données sont-elles recueillies sur un site ?
Une partie des données sont recueillies par l’intermédiaire de petits fichiers textes appelés “cookies” déposés sur le terminal (ordinateur, tablette ou téléphone) de l’utilisateur.
Certains fichiers ne sont pas transmis, par exemple celui qui est créé lorsqu’un utilisateur s’identifie, pour enregistrer ses préférences d’utilisateur dans WordPress.
D’autres peuvent être écrits et transmis lorsqu’un contenu inséré dans une page ou article le demande, par exemple pour afficher un média en ligne, pour relier à un réseau social ou encore avec certaines extensions activées.
Les données recueillies peuvent être l’adresse IP de l’internaute mais aussi des informations sur des actions passées, par exemple les vidéos déjà regardées sur une plateforme en ligne.
Comment se mettre en conformité ?
D’abord réduire la prise de données…
Des extensions ont été supprimées de la plateforme WPEtab parce qu’elles transmettaient des données. Dès que possible une solution alternative a été ou va être mise en place.
… ensuite demander l’accord quand c’est nécessaire…
La CNIL préconise que l’usager puisse accepter ou refuser certains cookies séparément, cf https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi.
Dans le contexte des sites d’établissements, le consentement n’est pas requis pour :
- les cookies d’identifiants de session, d’authentification, de personnalisation
- les cookies de session créés par un lecteur multimédia (précision attendue de la CNIL)
- les cookies de mesure d’audience si les adresses IP sont anonymisées sur 2 octets
Par contre le consentement est requis pour :
- les cookies liés à des boutons de partages ou du contenu de réseaux sociaux
- les cookies liés à des contenus en ligne sur des sites tiers : vidéos Dailymotion, Youtube, cartes mentales Mindomo, présentations Prezi, etc.
L’extension Tarteaucitron.js a été installée pour répondre à ce besoin. Voir la page d’explications (à venir) sur Tarteaucitron.
… puis informer les utilisateurs…
L’information doit être simple, de manière à être lue dans un temps raisonnable.
A priori, il est souhaitable de dissocier les pages Mentions légales et Données personnelles.
… mais aussi supprimer les données des utilisateurs sur leur demande…
Pour les utilisateurs enregistrés
Les utilisateurs enregistrés sur un site peuvent demander à ce que les données les concernant soient supprimées.
Attention seuls les administrateurs du réseau de sites peuvent supprimer complètement le compte car l’administrateur d’un site peut seulement supprimer l’utilisateur de son site, mais pas de la plateforme.
Après s’être assuré de l’identité du demandeur, le chef d’établissement ou le webmestre, par délégation, pourra faire la demande de suppression des données du demande via Fil@os.
Pour les internautes ayant déposé des commentaires
Après s’être assuré de l’identité du demandeur et avec la connaissance de l’adresse mél utilisée, l’administrateur webmestre pourra faire une recherche et supprimer les commentaires déposés par le demandeur.
… enfin se ternir au courant de l’actualité !
La réglementation, la plateforme WordPress, ses extensions, les services disponibles dans la plateforme, les services tiers, les usages, tout évolue ! Aussi il est important de se tenir au courant des évolutions nécessaires.