Wordpress : 10 extensions de conformité RGPD (GDPR)
Voici 10 modules gratuits ou de référence pour faciliter la conformité aux normes RGPD des sites web basés sur le CMS open source.
1/ All In One WP Security & Firewall pour la conformité RGPD de la cybersécurité
Le RGPD a inscrit dans la loi l’obligation de cybersécurité des données personnelles. Le niveau de sécurité exigé est le plus haut possible : c’est le concept de Privacy by default. Correctement paramétré, le plug-in gratuit All In One Wp Security peut répondre (en grande partie) à cette exigence légale grâce aux multiples défenses qu’il ajoute aux sites web basés sur Wordpress : anti injection SQL, anti attaque XSS, anti piratage par brute force, restriction de l’accès backoffice à certaines plages IP, obligation de reconnexion toutes les 30 minutes, blocage des intrusions qui visent à lire des fichiers sensibles, etc…
PRÉCAUTION D’USAGE : en cas de contrôle par la CNIL, le registre des accès aux données vous sera demandé pour détecter d’éventuelles violations par des hackers. L'extension Wordpress All In One Wp Security tient (de manière automatique) ce registre obligatoire en totale conformité avec la législation RGPD. Il vous suffira de fournir aux contrôleurs CNIL la copie de table MySql nommée “login_activity” pour éviter une amende. Pour rappel, les amendes CNIL peuvent aller jusqu’à 20 millions d’euros (voire 4% du CA mondial si le chiffre est supérieur) en ce qui concerne la non-conformité RGPD.
2/ Force HTTPS LittleBizzy pour la conformité RGPD du cryptage des données
Avec la loi RGPD, le protocole non sécurisé HTTP est désormais illégal en matière de collecte de données personnelles. Le protocole HTTPS doit obligatoirement être déployé pour crypter les informations personnelles (email, nom, adresse…) qui transitent par les formulaires web. L’HTTPS sert aussi à protéger les identifiants de session de tout hacking éventuel. A cet effet, le module gratuit Force HTTPS (SSL Redirect & Fix Insecure Content) peut être installé pour strictement interdire les requêtes non sécurisées sur le site Wordpress.
PRÉCAUTION D’USAGE : il faut activer le protocole HTTPS sur votre site web avant d’ajouter cette extension anti HTTP (renseignez-vous auprès de votre hébergeur si besoin).
3/ Advanced Access Manager pour la conformité RGPD des restrictions d’accès
Le module Wordpress A.A.M. de gestion des rôles permet de restreindre l’accès des collaborateurs d’une entreprise aux données qui leur sont nécessaires pour leur travail. Ce concept est nommé "Privacy by design" dans le texte RGPD et c’est une contrainte légale. Par exemple, un salarié dont la mission exclusive est d’ajouter des produits en database ne doit légalement et techniquement pas avoir accès aux commandes des clients ou aux formulaires de contact collectés qui contiennent des données personnelles (dont ce salarié n’a pas usage).
PRÉCAUTION D’USAGE : cette extension gratuite et compatible Woocommerce est plutôt simple d'utilisation si on crée de nouveaux droits d’utilisateurs en copiant ceux d’un type d’utilisateur existant.
4/ Tarteaucitron.js pour la conformité RGPD des cookies
Tarteaucitron.js est un des programmes informatiques préconisés par la CNIL pour afficher le bandeau d'acceptation ou de refus des cookies sur les sites web. L’outil permet aux internautes de personnaliser (à tout moment et de manière spécifique) leurs consentements en conformité avec la législation RGPD. Une version open source gratuite est disponible. Toutefois l’extension Wordpress pour simplifier l’installation du logiciel est facturée 15€/mois.
PRÉCAUTION D’USAGE : pensez à vérifier techniquement si vous avez l’obligation légale d’installer un bandeau pour les cookies sur votre site web. Suite aux travaux récents de mise en conformité GDPR des géants de l’internet, de nombreux sites web n’ont désormais plus besoin des bandeaux liés aux cookies. Si votre boutique en ligne (ou votre site vitrine) pratique le retargeting publicitaire, le bandeau reste obligatoire.
5/ Cookiebot en alternative simple et gratuite à Tarteaucitron.js
L’extension Cookiebot n’est pas recommandée par la CNIL (pour le moment) mais elle s’installe très facilement au niveau technique et est parfaitement conforme RGPD. Cette solution de gestion des cookies est totalement gratuite pour les sites web Wordpress de moins de 100 pages.
PRÉCAUTION D’USAGE : lisez bien la documentation de paramétrage du plug-in dans l’espace administrateur de wordpress, un attribut de balise html spécifique (nommé « data-cookieconsent ») est à ajouter à chaque script Javascript qui traque via des cookies classiques ou des cookies-tiers. L’application est compatible avec les thèmes Wordpress pour site vitrine ou pour boutique Woo-commerce.
6/ Piwik-Matomo pour la conformité RGPD de la mesure d’audience
Matomo (anciennement nommé Piwik) est une alternative gratuite et open source à Google Analytics. L’outil est officiellement validé par la CNIL pour sa conformité RGPD grâce notamment aux derniers octets des adresses IP collectées qui sont "masquables". En attendant l’officialisation par la CNIL de la conformité RGPD de Google Analytics, l’application Matamo peut être installée via une extension Wordpress gratuite.
PRÉCAUTION D’USAGE : pensez à vérifier l’actualité juridique à propos de Google Analytics, la solution de référence pour mesurer le trafic des sites web est en pleine mutation pour être reconnue officiellement comme conforme aux lois EU GDPR.
7/ WP CONTROL pour la conformité RGPD de la durée de conservation des données
La législation RGPD exige que toute donnée collectée (via un formulaire web en général) est une durée de vie limitée. Il faut donc que les webmasters et les développeurs web planifient (de manière automatique) la suppression des données dont la durée de vie est arrivée à échéance. Pour la France, la CNIL a fixé les durées de vie à respecter en fonction du type de données. Par exemple, un client inactif doit être supprimé (en base de données) au bout de 5 ans après la dernière commande. La durée légale est fixée à 3 ans pour un abonné-newsletter inactif. Pour les factures, l’archivage légal est de 10 ans maximum. Pour répondre à l’ensemble de ces problématiques, il est possible de programmer avec l’outil WP Cron Control des commandes PHP/MYSQL planifiées de suppression de données Wordpress.
PRÉCAUTION D’USAGE : cet outil gratuit requiert un niveau d’expert en programmation informatique pour être utilisé sans risque. Reportez-vous aux outils suivant (plus simples) si vous êtes débutant ou faiblement formé aux technologies Wordpress, Cron, PHP ou MySQL.
8/ Contact form 7 et Flamingo pour la conformité RGPD des consentements
Ces 2 add-on gratuits (utilisés par plusieurs millions de sites web Wordpress à travers le monde) à installer simultanément facilitent la création de formulaire web et le stockage des données en conformité RGPD. Côté Contact form 7, le logiciel permet de créer des cases à cocher (nommées Acceptance Checkbox) conformes pour recueillir le consentement des internautes. Côté Flamingo, les preuves de consentement sont stockées de manière native.
PRÉCAUTION D’USAGE : Contact form 7 et Flamingo doivent absolument être complétés par un module qui limite la conservation des données pour être totalement conforme au RGPD.
9/ Flamingo delete old messages pour la conformité RGPD des formulaires
Cette extension permet de supprimer (de manière planifiée et automatique) les données récoltées par Contact form 7 et Flamingo. Pour les formulaires de contact en provenance de prospects, une durée de conservation maximale de 3 ans est à paramétrer.
PRÉCAUTION D’USAGE : vous pouvez paramétrer 5 ans de conservation de données si le message provient d’un client identifié (dans le cas d’un formulaire SAV par exemple).
10/ WP GDPR pour la conformité RGPD du droit de portage des données
Cette extension est un tout en un pour gérer le nouveau droit de portage des internautes. Compatible avec les boutiques Wordpress de type Woocommerce, la solution permet aux utilisateurs de télécharger leurs données personnelles (en toute autonomie) au format Excel-CSV. La solution gère de manière particulièrement intelligente la problématique des internautes qui ont perdu leurs codes d’accès login/password.
PRÉCAUTION D’USAGE : lors de l’examen des fonctionnalités de cet outil sur un environnement Woocommerce de test, l’auteur de cet article a rencontré des bugs. Des commandes (non payées) n’étaient pas listées dans les fichiers de portage. Toutefois cette solution semble de référence et ne devrait pas bugger sur un environnement de production.
Note de l’auteur : les logiciels ci-dessus peuvent évoluer et ne garantissent pas votre conformité légale aux normes GDPR. Il vous appartient de vérifier et compléter les informations de cet article avec un professionnel qualifié. La conformité stricte aux contraintes RGPD s’obtient (au cas par cas) via un travail d’audit exhaustif sur les volets techniques, juridiques et marketing de la législation européenne : paramétrage adéquat des outils, tenue de registres d’accountability appropriés, études d’impact PIA éventuelles, consentements spécifiques, libres et éclairés à recueillir, adaptation des méthodes de publicité et de prospection commerciale, mentions légales sous les formulaires, mentions légales dans la charte de politique de protection des données personnelles, intérêts légitimes à invoquer avec pertinence, minimisation des données collectées, anonymisation des données envoyées aux sous-traitants, choisir des prestataires conformes, etc. De plus, le volet technique et juridique de la conformité RGPD s'étend aussi aux données RH et papiers qui sont souvent stockées dans les locaux, le réseau intranet ou le cloud extranet de l’entreprise.