Modules de CMS, danger de non-conformité

Vous utilisez un CMS (WordPress, Drupal, Prestashop, etc…) et vous y avez intégré des modules ? La CNIL est claire, vous ne devez pas utiliser des modules non-conformes à la nouvelle règlementation.

Mais qu’est-ce que cela implique ?

Tout d’abord, il vous faut mettre à jour vos modules, certains éditeurs ont déjà fait les modifications pour être conformes, d’autres le feront dans les jours à venir. Et s’ils ne font rien, vous devrez trouver une alternative à ces modules.

Par ailleurs, si l’un de vos modules collecte ou traite des données personnelles, il vous faut le consentement préalable de vos utilisateurs. Ces modules doivent donc être désactivables  facilement et ajoutés à la partie gestion de cookies de votre site. Par exemple, Yoast SEO et Contact Form 7, deux des modules les plus utilisés de WordPress, sont directement concernés car ils collectent des données sur les utilisateurs.

De même, les iFrames telles que les vidéos Youtube, les cartes Google Map ou les Twitter cards posent également question. Ce sont des services qui collectent directement les données depuis le code inséré et sans consentement préalable. Demande de consentement à rajouter à votre liste de cookies.

Le chantier est grand, heureusement, les différents CMS (WordPress, Drupal, Prestashop, etc…) développent actuellement des solutions sous forme de modules pour aider au respect du règlement. Leur simple installation ne garantira cependant pas l’entière conformité au RGPD. En ce qui concerne la CNIL, elle conseillent le script de tarteaucitron et c’est d’ailleurs celui qu’elle utilise pour la gestion de leurs cookies.  Ce script permet aux utilisateurs d’accepter ou de refuser séparément chaque service ou bien de donner leur consentement à tous les services d’un seul clic. 

Les Logs serveur, soumis au RGPD comme les cookies ?

Dans les logs serveur, il y a généralement des données personnelles comme l’adresse IP ou l’adresse e-mail de l’utilisateur par exemple. Ces données sont-elles donc soumises au RGPD comme le sont les cookies collectant des données personnelles ?

Pour répondre à cette question, demandez-vous d’abord « Pourquoi collectons-nous ces données et quels objectifs ont-elles ? ». En effet, les Logs serveur sont généralement utilisés en cas de problème pour identifier sa source, elle a donc un objectif de sécurité. Si vous ne vous servez pas de ces données pour d’autres raisons comme de l’analyse statistique, alors vous n’êtes pas obligé de demander le consentement des utilisateurs mais vous devez obligatoirement indiquer que vous collectez ces données dans vos mentions légales. Ces logs ont cependant une durée maximale définie par leur objectif et que vous devez respecter.

Sous-traitants, quelles responsabilités ?

Vos sous-traitants gèrent les données personnelles de vos clients ? Ils ont maintenant de nouvelles obligations et pourront être responsables en cas de manquement.

• Les sous-traitants ont tout d’abord une tâche de conseil auprès de leurs clients et doivent aider à la mise en conformité sur certains points (PIA, sécurité, etc…).
• Pour assurer les objectifs de transparence et de maîtrise des données traitées, ils devront tenir un registre des activités de traitement effectuées.
• Ces nouvelles obligations doivent être assurées par une clause de sous-traitance. Les clauses de sous-traitance en cours doivent être actualisées et devront comprendre les nouvelles obligations.

Vous pourrez en savoir plus sur le site de la Cnil.

Les tâches sont nombreuses mais en tant qu’Agence Web, quel est notre rôle ? Nous avons principalement un rôle de conseil. Nous pouvons donc vous aider à rendre vos sites internet conformes au nouveau règlement  mais nombre de tâches sont à gérer en interne dans votre entreprise (DPO, registre de traitement, PIA, etc…)

Si vous avez des questions concernant le RGPD, n’hésitez pas à nous contacter.

Pour conclure cet article, ci-dessous l’infographie de datagalaxy résumant bien les différentes tâches à effectuer.