Au mois de mai 2018, un nouveau règlement européen est entré en vigueur : le RGPD (règlement général sur la protection des données) ou GDPR en anglais. Il bouleverse profondément la manière dont les sites web peuvent traiter les données personnelles des utilisateurs et vous avez été nombreux à me demander d'y consacrer un article. Comment appliquer le RGPD sur son blog et en quoi vous concerne-t-il ?
Le RGPD peut avoir un impact sur une foule de situations que vous vivez au quotidien : si vous utilisez Google Analytics, que vous permettez aux utilisateurs de vous contacter par e-mail ou de poster un commentaire, si vous envoyez une newsletter, vous êtes concerné.
Je tiens à préciser, avant d'entrer dans le vif du sujet, que je ne suis pas juriste. Je vous propose simplement un état des lieux de ce que j'ai retenu et compris de ce nouveau règlement européen mais il vous incombe de faire vos propres recherches… et surtout, de ne pas prendre ce que j'écris comme un "avis légal". Si vous êtes un professionnel, mieux vaut vous faire accompagner par un expert !
A ce stade, les avocats et juristes eux-mêmes n'ont pas toutes les réponses concernant cette loi… donc il convient de faire preuve de la plus grande prudence !
Le RGPD, c'est quoi exactement ?
Le RGPD est un nouveau règlement européen en vigueur depuis le 25 mai 2018. Il a pour but d'améliorer la protection des données personnelles de tous les citoyens de l'Union Européenne, jugée comme étant un "droit fondamental" de toute personne.
Qu'est-ce qu'une donnée personnelle ?
Vous allez me dire : c'est quoi, au juste, une "donnée personnelle" ? La donnée personnelle, au sens du RGPD, est une notion très vaste : tout ce qui peut potentiellement identifier quelqu'un, directement ou indirectement, est considéré comme une donnée personnelle.
"Est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale" (texte de la loi)
A chaque fois qu'un visiteur fréquente un site web, son adresse IP est "mémorisée" dans un fichier que l'on appelle les "logs". Par conséquent, tous les sites web enregistrent a minima cette donnée personnelle.
Vous pouvez aussi collecter des données par bien d'autres biais : les commentaires, le formulaire de contact, les plugins de sécurité ou de statistiques qui enregistrent l'activité sur votre site, les espaces membres si votre blog permet aux visiteurs de s'inscrire, Google Analytics, etc.
Même si une donnée seule ne permet pas forcément, en soi, de remonter jusqu'à une personne, la combinaison de ces données peut permettre d'identifier quelqu'un, d'où la naissance de cette loi pour mieux protéger les gens.
Qui est concerné par le RGPD ?
Ce règlement vous concerne aussi bien si vous avez un blog hébergé dans l'UE que si vous traitez des données appartenant à des personnes situées dans l'UE. Par exemple, un site canadien qui reçoit des visiteurs français doit se préoccuper du RGPD au même titre qu'un site français.
Le GDPR concerne en premier lieu les professionnels, quelle que soit la taille de l'entreprise (le texte inclut "les microentreprises, les petites et moyennes entreprises"). Si vous avez un statut d'auto-entrepreneur pour gérer votre blog, vous êtes donc concerné.
L'impact sur des activités comme le blogging amateur reste ambigu à mes yeux. L'article 2 du texte de loi déclare simplement :
"Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué [...] par une personne physique dans le cadre d'une activité strictement personnelle ou domestique".
L'introduction du texte est un peu plus détaillée à ce sujet :
"Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités".
Par exemple, si un ami poste son numéro de téléphone sur votre profil Facebook, vous n'êtes pas responsable de cette donnée personnelle publiée dans un cadre personnel. Le responsable, c'est Facebook.
On pourrait donc se dire que le blogging amateur entre dans le même cadre : c'est une activité "strictement personnelle", après tout. Néanmoins, l'introduction ajoute cette précision :
"Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques".
Or, en tant que blogueur, vous donnez les moyens à des gens d'échanger par votre intermédiaire, en postant des commentaires par exemple. A ce titre, il me semble qu'un blog amateur n'est pas passif mais actif dans le traitement de données... et serait donc concerné par le RGPD.
En cas de non-respect du règlement européen, on s'expose à une pénalité allant jusqu'à 20 millions d'euros (ou 4% du chiffre d'affaires annuel, en fonction de ce qui est le plus élevé). Sans compter que les personnes lésées pourront, de leur côté, engager des poursuites en cas d'exploitation frauduleuse de leurs données personnelles. L'enjeu est donc énorme.
Quelles sont les règles fondamentales à appliquer ?
Le RGPD met en avant la notion de "Privacy by design", traduite en français sous le nom de "protection de la vie privée dès la conception". Ça signifie notamment qu'il faut…
- Anticiper les problèmes avant qu'ils ne surviennent.
- Paramétrer les outils que l'on utilise de manière à ce qu'ils protègent au maximum les utilisateurs par défaut, en ne collectant que les données strictement nécessaires… sans que l'utilisateur ait besoin de se lancer dans un paramétrage compliqué ou de fouiller dans les options.
- Permettre cette protection de la vie privée sans pour autant bloquer l'accès à certaines fonctionnalités.
- Assurer la sécurité des données personnelles.
- Faire preuve de transparence avec les utilisateurs sur ce qu'il advient de leurs données personnelles.
Avec la RGPD, il faut plus que jamais garder en tête l'idée d'une "proportionnalité" entre les données que vous collectez et l'utilisation que vous en faites. On vous confie une information dans un but précis, ne l'utilisez pas à d'autres fins.
Les implications sont presque infinies pour les blogueurs… mais je vais essayer de passer en revue quelques points qui me semblent importants pour aller vers la conformité au RGPD.
Être transparent sur la collecte de données personnelles
N'importe quel visiteur de votre blog doit pouvoir savoir quelles données sont collectées à son sujet, pour quelle raison elles le sont… et où elles sont stockées. Vous devez également bichonner ces données personnelles en veillant à tout prix à leur sécurité.
"Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel."
Pour ma part, voici les mesures que j'ai prises à cet égard (souvent sans attendre le RGPD d'ailleurs !) :
- Sur le formulaire de contact, j'ai ajouté un message disant à quoi servaient les données personnelles collectées par ce biais.
- Dans les mentions légales, j'ai mis à jour le paragraphe relatif aux données personnelles afin qu'il soit plus complet et plus explicite sur "ce que je fais avec vos données".
- Je m'assure que les données envoyées via mon formulaire de contact ne soient pas stockées dans la base de données (certains plugins WordPress proposent cette option) : ça évite de stocker inutilement des données personnelles.
- J'ai fait faire un audit de la sécurité de mon site (vous pouvez faire un mini-audit rapide avec un outil comme celui de Nature Digitale), ça permet de corriger les problèmes éventuels… car la meilleure manière de garantir la sécurité des données de vos visiteurs reste d'éviter de se faire pirater !
- J'ai un site en HTTPS.
- J'ai vérifié que tous mes mots de passe étaient bien sécurisés, avec des chiffres + lettres + majuscules + minuscules au minimum, que ce soit sur le blog, sur la boîte mail, sur le compte Google Analytics, etc. Un autre moyen de se protéger des intrusions et vols de données ! J'ai aussi activé la double-authentification partout où cela était possible (toute connexion implique une "double vérification" par un SMS envoyé sur mon téléphone).
- J'informe les visiteurs de l'utilisation de cookies et leur propose une solution sur cette page pour bloquer tous les cookies s'ils le souhaitent.
- J'ai un plugin de sécurité actif, Wordfence, qui me permettra de réagir vite si le site se fait un jour pirater.
- Je fais rapidement les mises à jour des plugins et de WordPress quand elles sont disponibles.
En tant que blogueur, vous devez aussi permettre à un utilisateur de faire effacer ses données personnelles s'il le souhaite, d'où l'intérêt d'avoir un formulaire de contact fonctionnel.
De même, soyez prudent avec vos stratégies de promotion : par exemple, si vous demandez aux gens de fournir leur adresse e-mail pour télécharger un ebook gratuit ou un visuel, ça ne vous donne pas le droit ensuite de leur envoyer une newsletter… car ils n'auront pas donné leur accord pour CETTE utilisation précise de leurs données personnelles.
Recueillir le consentement… sans tricher !
Jusqu'à maintenant, on vous abonnait parfois par défaut à des newsletters en utilisant des stratagèmes pas très honnêtes : une toute petite case cachée qu'il fallait décocher, 3 kilomètres de jargon technico-commercial… Ou alors, tout simplement, vous aviez une case "Je m'abonne à la newsletter" cochée par défaut quand quelqu'un postait un commentaire.
Avec le GDPR, il faut impérativement recueillir le consentement des utilisateurs avant de traiter leurs données personnelles… Il faut surtout recueillir ce consentement de manière très intelligible, claire, sans ambiguïté, sans jargon.
Ça apparaît à plusieurs endroits de la loi, comme ici (Introduction - 39):
"Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples".
Ou encore ici (Introduction - 58) :
"Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples".
Il faut aussi permettre de retirer très facilement son consentement.
Sur No Tuxedo, j'ai donc vérifié quelques points :
- Mes newsletters ont toujours (c'était déjà le cas avant) un système de double opt-in, où le visiteur doit confirmer son adresse e-mail avant d'être inscrit "pour de bon" à la newsletter.
- Je précise à quelle fréquence les e-mails sont envoyés, dès le formulaire d'inscription.
- Les newsletters comportent un lien permettant de se désabonner FACILEMENT si on le souhaite (pas besoin d'envoyer sa pièce d'identité par fax puis d'écrire un poème en 12 strophes pour se désinscrire !).
- J'ai passé en revue mes plugins pour m'assurer qu'ils réclamaient le consentement du visiteur avant de collecter ses informations. Par exemple, j'utilise sur le blog le plugin Subscribe To Comments Reloaded, qui permet aux visiteurs de recevoir un e-mail quand je réponds à leur message. Avant GDPR, c'était activé par défaut car la plupart des gens aiment savoir quand on leur a répondu. A présent, il faut explicitement demander à être prévenu par mail pour que ce soit le cas.
Si vous avez lancé votre newsletter sans double opt-in, c'est le moment d'envoyer un e-mail à tous vos abonnés pour demander leur consentement explicite. Vous pourrez alors faire le ménage et retirer toutes les adresses e-mail qui ne l'auront pas donné.
N'hésitez pas aussi à vous renseigner sur le site de votre outil de newsletter, la plupart des grands du marché publient des articles sur le RGPD en expliquant comment ils se mettent en conformité. MailChimp, par exemple, a mis en place un ensemble d'outils et de processus pour aider les utilisateurs à se mettre en conformité. Même chose pour SendInBlue.
Communiquer en cas de faille de sécurité
Si votre site rencontre une quelconque faille de sécurité ayant pu conduire à la diffusion de données personnelles, vous devez impérativement communiquer publiquement dessus dans les 72 heures qui suivent.
Par exemple, si votre blog se fait pirater, que quelqu'un récupère le mot de passe de votre boîte mail, il faut en informer les visiteurs. Vous devez donc impérativement prendre la sécurité très au sérieux.
D'après cette loi, vous êtes responsable de la sécurité des informations que l'on vous confie (article 5.1).
"Les données à caractère personnel doivent être [...] traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité)".
Le RGPD prévoit d'ailleurs une exception au règlement (Introduction - 49) : si vous collectez des données personnelles afin de garantir la sécurité de votre système contre les actes de malveillance et les intrusions, la loi considère que vous exercez un "intérêt légitime" qui justifie pleinement le traitement des données en question.
"Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c'est-à-dire la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes [...], constitue un intérêt légitime du responsable du traitement concerné".
Je pense, à ce titre, que les logs d'un site, qui enregistrent les actions effectuées dessus, pourraient tout à fait entrer dans ce cadre... car ils permettent de retracer la source des activités illicites effectuées sur un site (tentatives de piratage, etc). C'est bien sûr une interprétation très personnelle !
Google Analytics et RGPD
Quand on utilise Google Analytics, l'outil collecte une foule de données sur les utilisateurs et souvent, on ne mesure pas pleinement l'étendue de ce qui est collecté.
Le plugin Cookie Notice permet aujourd'hui d'insérer des conditions dans son code, pour afficher un script seulement si un utilisateur a accepté les cookies. Autrement dit, par défaut on ne charge pas le code Analytics et si la personne accepte les cookies, ça recharge la page en affichant le code Analytics.
J'ai testé la solution, en perspective du GDPR, et un point majeur a posé problème : ça implique d'avoir un message sur les cookies TRÈS visible... car sinon, les gens n'y font pas attention et ne cliquent pas.
Lors de mon test, avec un bandeau d'information discret en bas de page, mon trafic collecté par Analytics est passé de 2700 visiteurs sur la journée à 199. Seulement 199 personnes ont cliqué sur "Ok" pour accepter les cookies.
La solution serait alors un message énorme, qui cache littéralement le contenu tant qu'on n'a pas fait un choix... afin de s'assurer que les visiteurs le voient. Mais dans ce cas, quid de l'expérience utilisateur, quel impact sur le référencement ?
D'autres plugins, à l'instar du plugin SEO SEOPress, permettent de gérer le recueil du consentement dans le cas de Google Analytics.
Voici deux mesures que j'ai prises pour ma part :
- Vérifier que Google Analytics ne collecte pas d'informations personnelles explicites.
- Limiter la durée de rétention des informations liées aux utilisateurs : en allant dans l'administration puis dans le menu "Informations de suivi" d'une propriété précise, on trouve une rubrique "Conservation des données" où l'on peut définir pendant combien de temps on autorise Analytics à conserver des données utilisateur.
Le texte de loi incite vivement à limiter la durée de conservation des données, j'ai donc choisi pour ma part la durée minimum proposée à ce jour par Analytics, à savoir 14 mois. On parle ici des données personnelles, vos statistiques ne vont pas disparaître en totalité, rassurez-vous ;)
"Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum".
Google a par ailleurs annoncé la création d'un outil de "suppression d'utilisateurs" qui permettra de supprimer facilement toutes les informations associées à un utilisateur donné. Il devrait être opérationnel sous peu.
Autre paramètre à régler : dans le menu Administration > Paramètres du compte, Google a ajouté une partie intitulée "Modification du traitement des données". Il faut en effet accepter les nouvelles conditions mises en place.
Si vous êtes une entreprise, vous devez aussi désigner nommément les personnes à contacter au sujet du RGPD (adresse, e-mail, etc) en cliquant sur "GÉRER LES DÉTAILS DU DPA".
Le texte de loi semble par ailleurs laisser une certaine liberté d'appréciation (Introduction - 26) :
"Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement [...]. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche"
C'est là encore de l'interprétation pure mais à mon sens, un blogueur "solo" n'a pas en sa possession les moyens matériels et humains de croiser une foule d'informations pour essayer de lever l'anonymat d'un visiteur… et à ce titre, je pencherais pour une certaine tolérance légale.
Blogs et RGPD : vigilance constante !
Cette citation d'Harry Potter pourrait bien s'appliquer à notre quotidien de blogueurs… car chaque situation peut faire surgir de nouvelles questions. Par exemple, si vous organisez un concours et que la marque qui offre le lot vous demande de lui transmettre les coordonnées des gagnants, vous ne pouvez pas le faire sans le consentement préalable desdits gagnants.
Si l'on résume… pour se préparer au mieux au RGPD quand on tient un blog, il faut :
- Se documenter au maximum et, si l'on collecte des données personnelles à grande échelle, se rapprocher d'un professionnel du droit expert sur ces questions afin de bien mesurer et répondre aux enjeux.
- Faire un état des lieux complet des données personnelles que l'on collecte (plugins, outils de statistiques et de tracking, etc) pour identifier ce qui pourrait poser problème.
- Modifier le paramétrage des plugins et outils lorsque c'est nécessaire afin de limiter la collecte de données personnelles à l'essentiel.
- Protéger son blog au maximum pour limiter le risque de fuite de données personnelles.
- Informer ses visiteurs sur les données collectées et la finalité… Donnez-leur un moyen de vous contacter s'ils souhaitent faire supprimer des informations. Par exemple, si une personne vous demande de faire disparaître tous ses commentaires sur votre blog, vous devrez être en mesure de le faire.
- Maintenez la vigilance dans le temps ! Vous pouvez même établir un document très précis listant les données personnelles que vous collectez, l'objectif de cette collecte de données et les mesures prises pour assurer leur sécurité.
Le texte de loi complet est disponible ici si vous voulez vous plonger dans la lecture.
Ce règlement est, à mes yeux, une bonne chose pour éviter certains abus et "éduquer" le grand public à la protection des données personnelles. On l'a vu par le passé avec le scandale Facebook/Cambridge Analytica : beaucoup de gens sont tombés des nues en découvrant l'étendue des données collectées à leur sujet. Si le RGPD peut offrir un meilleur encadrement légal et plus de clarté sur le sujet, tant mieux !
Il est vrai, néanmoins, que ça exige beaucoup de travail et qu'en tant que blogueur, on se situe souvent dans une "zone floue". On traite parfois des données personnelles exactement comme un professionnel sans pour autant être un professionnel ; ou bien l'on est professionnel mais sans avoir les ressources pour "se rassurer" sur sa préparation au GDPR... tout en lisant qu'il faut s'en préoccuper !
Ajoutons à cela le fait que le droit ouvre la porte à l'interprétation, avec des dizaines de sites qui prennent position sur le sujet en donnant des avis divergents. Voilà qui n'aide pas à s'y retrouver !
Bonjour Marlène, merci beaucoup pour la qualité de cet article !
Bonjour Marlène, je n’ai pas trouvé quel plugin vous utilisez pour donner le consentement par rapport aux cookies, celui dans l’onglet bleu « confidentialité » en bas à droite de votre site. Je le trouve très bien fait et je me demandais s’il s’agissait d’un module gratuit, payant, ou si vous avez développé un outil sur mesure ? Bravo pour tout votre travail, et merci.
Hello Xavier, c’est Quantcast Choice, il m’est proposé par ma régie publicitaire donc je ne passe pas par eux en direct.
Aujourd’hui, la RGPD n’est pas tout à fait respecter par bons nombres d’entreprises. Nos données sont toujours collectées à notre insu par les sites et vendues à des databrockers. Rares sont les sociétés qui vous informent de l’usage qu’elles font des données récoltées.
Je pense qu’il faut distinguer deux choses : le fait de collecter des données… et le fait de les revendre ou de les exploiter à mauvais escient. Beaucoup d’entreprises ne sont pas en conformité avec le RGPD parce que ça leur passe au-dessus de la tête (l’artisan qui a fait faire un site pro mais n’y touche jamais, l’indépendant qui a monté un site mais ne sait pas sur le plan technique comment gérer le recueil du consentement, les gens comme moi qui attendent que leur prestataire mette à jour sa bannière de recueil du consentement ^^). Ça ne veut pas dire pour autant qu’elles vont vendre les données.
Par ailleurs, le problème actuel est que le marché ne s’est que très peu adapté à la législation. Si je prends un exemple, toutes les plateformes mettant en relation les blogueurs et les marques pour des partenariats demandent un accès au compte Analytics. Or, si on est GDPR-compliant, les données chutent grosso modo de moitié… donc ces sites perdent énormément d’opportunités par rapport à ceux qui ne respectent pas les règles.
Pour que ça fonctionne, il faudrait que tout le monde joue le jeu à tous les niveaux de la chaîne.
J’ai pas installé les codes nécessaire sur mon site je pense que vais le faire prochainement
Merci pour le message !
Bonjour, j’ai du mal a saisir toutes les finesses du RGPD et je voudrais savoir si je suis réellement concerné par cela. Je gère mon blog en tant que passionné, ce n’est pas un blog commercial, je ne gagne pas un centime avec ce que j’entreprends. Merci de m’aider et au vue de mon site, est ce que je dois inscrire une règle de confidentialité? Merci pour votre aide.Didier .
Hello Didier, la problématique n’est pas tant de gagner de l’argent ou pas, mais plutôt de savoir ce que vous collectez comme type d’informations. Les mentions légales, dans tous les cas, sont obligatoires (je donne ici des conseils de rédaction) mais elles sont allégées dans le cas des blogueurs amateurs.
Merci pour cet article.
Avant, il fallait déclarer un fichier à la CNIL si on récupère des adresses mails.
Maintenant, si j’ai bien suivi, ce n’est plus nécessaire. Il faut « seulement » bien respecté le RGPD (mais ne plus rien déclarer à la CNIL).
J’ai juste ?
Merci d’avance,
Mickaël
La CNIL indique en tout cas que pour l’instant, les cas de dispenses/autorisations sont en suspens, en attendant la « production de référentiels RGPD » (dixit leur site)… Je ne suis pas juriste donc je ne peux pas t’en dire plus ;)
Bonjour Marlène… Est-ce que les blogs Blogger/Blogspot (Google) sont concernés. Mon formulaire de contact est hébergé sur Google Docs. Mes newsletters sont envoyées via Blogtrottr ou autres intermédiaires
Je dirais que ce n’est pas une question de « choix technologique » mais plutôt une question de données personnelles. Si on a un blog Blogger mais que l’on traite une foule de données personnelles, ça me paraît important de se poser la question de leur traitement :)
Bonjour
Votre article est très dense, il est difficile de couvrir le sujet de façon vraiment synthétique. En fait il y a des cas d’usage et des bonnes pratiques à mettre en place. Beaucoup paniquent devant le sujet en pensant qu’ils vont se prendre des sanctions salées. Dans les faits, à moins que vous ne brassiez des millions de données à des fins non prévues, il y a peu de risques de voir débarquer la CNIL chez vous. Un climat très anxiogène s’est créé alors qu’il suffit de bon sens et de quelques outils pour se protéger et protéger les données qui transitent chez vous. Je travaille sur le sujet en entreprise, et je vais bien sûr me mettre en conformité pour mon blog. J’essaierai de partager mon expérience et mes connaissances sur le sujet, donc à suivre !
Je voudrais juste souligner que la loi s’applique à tout type de fichier, quelque soit le support : or on oublie souvent le papier, cartes de visites, carnets d’adresse etc.
Bonjour, très clairement je pense aussi que le risque est minime voire inexistant pour un « petit blogueur »… même si parfois les administrations investissent dans des contrôles surprenants :)
C’est déjà un grand pas de faire tout son possible pour se mettre en conformité… et c’est au moins l’occasion d’une réflexion intéressante sur ce que l’on traite comme données personnelles à sa propre échelle !
Bonjour Marlène,
Je rencontre actuellement quelques soucis avec mon blog en vu de la mise à jour RGPD. Je voulais ajouter une case, en bas de mes commentaires à cocher en informant que je récole le nom, mail et adresse site/IP, mais impossible. Quel plug-in de commentaire utilises-tu ? J’ai Comment Reply Notification, mais ça ne me permet pas de mettre cette case, c’est juste pour que mes lecteurs soient informé en cas de réponse de ma part.
De même, je voulais passer mon blog en PHP 7.0 (actuellement 5.6), mais j’ai une page blanche lorsque je le passe à cette version stable :/
Aurais-tu une petite idée ? Je suis complètement bloquée.
Belle journée,
Re-bonjour Marlène,
J’ai réussi à passer en PHP 7.0, c’était le plug-in DB Cache Reloaded Fix qui posait problème. Tu aurais un équivalent à me conseiller ?
Très belle soirée,
Laura,
Hello Laura, je n’ai pas cette case moi-même, je me contente d’un message d’information. Je n’ai pas de plugin de commentaire particulier, ce sont les commentaires « natifs » de WordPress. J’utilise WP Fastest Cache comme plugin de cache.
Un très grand merci Marlène pour cet article et tous les autres! L’occasion enfin pour moi de te dire combien j’apprécie la qualité de ton blog!
Au plaisir de te lire,
Céline.
Merci beaucoup pour ton message Céline :)
Merci pour ton article que je vais bien prendre le temps d’étudier cependant j’ai une question : pour les concours par exemple, nous n’avons pas le droit de donner l’adresse du gagnant à la marque sans son consentement, mais comment prouver que l’on à eu son consentement ?
J’ai le même « problème » sur un site que je gère où des propriétaires d’hébergements mon envoyé des infos par email ( coordonnées + photos + description) pour apparaitre dans mon guide, comment prouver que c’est eux qui mon donné ces infos ?
encore merci pour cet article
Dans le cas d’un guide j’imagine qu’un formulaire dédié pourrait faire l’affaire, il permettrait à la fois à la personne d’envoyer ses coordonnées et de cocher une case, explicite, disant « J’accepte que les données renseignées dans ce formulaire soient publiées dans le guide XYZ, diffusé sur XYZ »…
Pour un concours, je pense qu’il y a plein de façons de procéder : par exemple, on pourrait imaginer faire cocher à tous les participants une case indiquant « J’ai pris connaissance du règlement de ce concours et l’accepte sans réserve » et mentionner clairement dans le règlement qu’en cas de victoire, c’est la marque qui envoie le lot et que l’inscription au concours implique une transmission des coordonnées à la marque. Ou contacter le gagnant pour obtenir une autorisation écrite de sa part, par e-mail, à transmettre ses coordonnées.
Encore une fois, je ne suis pas juriste :) Mais je pense qu’on va aussi apprendre par l’observation, en regardant comment procèdent les « grandes marques », celles qui peuvent se payer des juristes :)
Merci pour ces pistes :)
Merci beaucoup !
De rien ;)
Bonjour Marlène,
J’ai créé il y a moins d’un mois un blog, grâce aux outils de WordPress.com (formule gratuite).
Je n’utilise pas Google Analytics, mais simplement l’indexation de mon blog via Google.
De plus, je ne demande aucune information personnelle aux personnes qui envoient un commentaire ou me contactent.
WordPress.com me communique l’adresse IP des personnes qui le font, mais je n’en fais rien.
Dans l’attente d’informations sur ce que j’ai à faire du point de vue de la conformité du blog au RGPD, j’ai dépublié mes articles et les commentaires, avec uniquement l’affichage d’un message indiquant que je dois faire des vérifications par rapport au RGPD.
J’ai l’impression que mon blog ne survivra pas au RGPD, car je n’ai pas les moyens financiers d’assumer une quelconque plainte à partir du 25 mai, si un point fait que mon blog n’est pas conforme au RGPD.
Quel dommage !
Qu’en penses-tu ?
Je ne suis pas juriste donc je ne peux vraiment pas donner de conseils. Une personne qui poste un commentaire sur WordPress envoie par défaut des informations personnelles (ne serait-ce que l’adresse IP qui est collectée). La société Automattic qui gère WordPress a indiqué qu’elle proposerait un outil pour refuser la collecte des statistiques. On peut aussi supprimer très facilement des commentaires sur WordPress, en cas de demande d’un utilisateur, il n’y a donc pas de problème spécifique à cet égard à mon sens si l’on est transparent et que l’on indique bien quelles données sont collectées et pourquoi, en offrant la possibilité de demander leur suppression.
Merci Marlène pour ce retour.
Bonjour,
Merci pour cet article
Plusieurs points :
Concernant Google Analytics, la CNIL recommande de ne plus l’utiliser !! car non conforme RGPD et préconise Matomo ou XITI et les cookies 13 mois max…
voir ici : https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience
Concernant les boutons sociaux, la CNIL préconise SocialSharePrivacy :
https://www.cnil.fr/fr/solutions-pour-les-boutons-sociaux
Concernant le blog (abonnement et commentaire) :
Je cherche une information clair sur le consentement d’un visiteur sur un blog.
J’ai trouvé une information, mais je voudrais la confirmer :
« la création d’un commentaire à un article ne nécessite pas de consentement, car cette démarche recouvre un accord implicite »
Un visiteur qui veut s’abonner au blog ou répondre à un commentaire doit-il ? (comme moi en ce moment) :
Être inscrit comme « membre » et posséder un compte « membre »
> il devra renseigner un formulaire double-optim conforme RGPD
> celui-ci pourra voir/modifier/supprimer ses données personnelles ?
Pas besoin de compte « membre »
> Il devra renseigner un formulaire simple-optim conform RGPD
> un lien de désabonnements sera présent dans chaque email de notification
Merci d’avance
Bonjour, je ne peux pas donner de conseils juridiques car ce n’est pas mon métier.
Concernant Analytics, c’est une reco de longue date de la CNIL (qui recommandait déjà Piwik, l’ancien nom de Matomo, il y a plusieurs années)… et plus généralement, des acteurs du web français qui sont très méfiants à l’égard des solutions américaines pour une bonne raison : la loi. Le gouvernement américain peut accéder aux données stockées par des entreprises américaines, qu’elles soient basées sur le territoire national ou à l’étranger. Ca a donné lieu à pas mal de péripéties juridiques il y a quelques années et certaines entreprises refusent pour cette raison d’héberger leurs données chez un presta américain.
D’un point de vue professionnel, Google Analytics est ultra puissant et son intégration avec le reste de la suite Google (Data Studio, etc), la gestion des droits et tout le reste fait que clairement, je n’envisage pas une demi-seconde de l’abandonner. D’ailleurs, quand une agence demande de connecter un compte pour « valider ses statistiques » et donner accès à une marque, ce n’est généralement possible qu’avec Analytics sur les plateformes.
Bonjour Marlène,
Je suis auto-entrepreneur (graphiste) et comme tous les professionnels, je suis concernée par le RGPD, même si je suis une toute petite structure… C’est donc en faisant des recherches sur le sujet que je suis tombée sur votre super article, qui donne une bonne vision globale du sujet je trouve. Merci !
Je me permets du coup de vous poser quelques questions pour être sûre d’avoir bien compris et ainsi améliorer ma mise en conformité :) :
J’ai un site web (réalisé via WordPress) que j’utilise pour montrer mon travail et permettre aux gens de me contacter, c’est tout, je ne fais pas de statistiques.
Par conséquent, j’identifie deux fonctionnalités qui peuvent potentiellement collecter des données, à savoir :
– Mon formulaire de contact qui m’envoie un mail (je suis en train de faire le nécessaire pour qu’il soit aux normes, en me basant sur un article de que je trouve pas mal, dont voici le lien, si ça peut servir à quelqu’un : https://www.getlandy.com/formulaire-conforme-rgpd/)
– Le plugin Wordfence qui assure la sécurité du site.
Concernant ce dernier, j’imagine que ça rentre dans le cadre de l’exception au règlement n’est-ce pas ? Dans ce cas, est-il utile d’ajouter un bandeau pour prévenir les utilisateurs avec la mention des cookies et expliquer comment les désactiver ?
Merci d’avance pour votre réponse !
Bonjour, comme je l’ai dit dans l’article, je ne peux pas m’engager à donner des conseils juridiques, ce n’est pas mon métier ;)
Pour les formulaires, il y a plusieurs points qui me paraissent importants :
1) Ne pas stocker les données envoyées (certains formulaires enregistrent les messages/coordonnées dans la base de données du site, sans limite de temps sauf si on décide de supprimer les infos… et côté RGPD ça me paraît inutile et problématique) ;
2) Bien préciser la finalité du formulaire et s’en tenir là (ne pas en profiter pour abonner les gens à des choses qu’ils n’ont pas demandées, ne pas réutiliser leur e-mail pour autre chose que pour leur répondre, etc).
3) Bien sécuriser son site et l’accès à la boîte mail associée.
Concernant Wordfence, j’ai donné mon interprétation dans l’article, ça reste ma vision des choses donc je ne peux pas affirmer qu’elle est juste ;) D’un point de vue performance, il est préférable de toute façon de désactiver certaines fonctionnalités comme le suivi du trafic en temps réel, qui est très gourmand en ressources.
Merci beaucoup pour votre réponse, ça va m’être utile !
Effectivement, pour Wordfence, j’avais lu à plusieurs reprises qu’activer le trafic en temps réel n’était pas forcément très pertinent, donc je l’ai désactivé :). Pour le reste, je vais voir ce que je peux trouver !
Salut!
Quelqu’un aurait des tuyaux sur les solutions à mettre en place pour:
– les liens d’affiliation
– la publicité (type AdSense)
Pas mal d’entre nous risquent de perdre la majeure partie de leurs revenus!
Hello, ce sont à mon sens les mêmes règles que celles (censées être) déjà en vigueur avec la loi sur les cookies (à savoir un non-chargement du tracking tant que la personne n’a pas validé… et offrir la possibilité de paramétrer les cookies qu’on accepte/refuse par « nature » : cookies statistiques, cookies publicitaires, etc). Reste qu’en 2018, bien après la loi sur les cookies, il n’y a toujours pas de standard universellement partagé par les éditeurs publicitaires… donc galère.
Pour ma part, j’ai du mal à trouver l’équilibre entre respect de la loi et « se tirer une balle dans le pied ». Car à ce jour, si je n’affiche pas une popup clignotante en rouge, personne ne clique pour donner son avis sur les cookies, les gens s’en moquent et/ou ne savent pas ce que c’est et/ou ne font plus attention à ces bandeaux présents sur tous les sites. Or, sans statistiques Analytics, on ne peut plus suivre ses performances ; côté pro, on ne peut plus décrocher aucun partenariat/opportunité basé sur les statistiques.
C’est presque un autre modèle à envisager…
Je ne suis tellement pas à jour sur tout ça. J’ai aucune connaissance et je n’arrive pas à m’y plonger.
Je pense qu’on part tous du même point :) Pas facile de s’y mettre !
Merci pour cet article très complet ! Je dois encore régler quelques petits détails et je pense que tout sera OK ! C’est vraiment un gros travail ce RGPD. J’ai l’impression que les entreprises s’y mettent un peu au dernier moment (je sens comme un mouvement de panique sur les réseaux ;) ) et que ça ne les arrange pas car ça remet en cause, et pour de bon j’espère, certaines pratiques très douteuses !
Beaucoup d’entreprises en entendent parler depuis longtemps mais se rendent compte un peu au dernier moment de tout ce que ça implique et de l’ampleur du risque (notamment financier) encouru !
Hello ! J’ai pas encore fini ton article mais cela me semble tellement compliqué ! Puis je pense par exemple aux ados qui ont un blog par exemple, c’est je trouve dingue ces mesures. et très compliqué. Surement la conséquence du développement des blogs. Bref, je vais poursuivre ma lecture !
Je ne pense pas que les ados aient de réelles raisons de s’inquiéter. Il y a des enjeux pour les entreprises, et je pense que ce sont elles qui seront ciblées en premier lieu par d’éventuelles actions. A mon sens, la loi induit en revanche une sensibilisation générale à la question des données personnelles ce qui n’est pas une mauvaise chose !
Article que je vais de mettre de côté pour relire plusieurs fois. Merci Marlène.
Je trouve que c’est super difficile de respecter 100 % de toutes les recommandations demandées par le RGPD, voire même les 70 %, quand on est débutant. Y a tellement de trucs techniques à régler, à configurer, c’est vraiment un casse-tête quoi. Les gros blogueurs et entreprises font appel à un service juridique/législation pour résoudre la plupart de leurs petits soucis et être clean, mais pour les blogueurs amateurs dont je suis, on n’a pas ce privilège. On va forcément fauter quelque part (mais plus par méconnaissance technique).
Je vais m’occuper du gros basique (mentions légales, newsletter, analytics, etc…) et pour le reste, bah voilà quoi.
Marlène : j’ai reçu une notification de Google Analytics qui me demande de configurer les options pour Conservation des données sur les utilisateurs. Bon je ne savais pas trop ce que c’est, je me lance à peine dans l’affiliation et Adwords. Avec RGPD, donc si j’ai bien compris, il est recommandé de mettre 14 mois.
Mais pourquoi Google Analytics propose entre 14 mois ? 26 mois ? 38 mois ? 50 mois ? aucune expiration automatique ? si de toute façon, RGPD demande maintenant que ce soit le plus limité possible. Enfin j’imagine à ma question que ça ne pose pas de problème pour les blogueurs personnels et que c’est plus pour les blogueurs professionnels.
Hello, je ne peux pas te conseiller juridiquement car ce n’est pas mon métier ;) Je ne prendrai pas la responsabilité de dire ce qui est bien ou pas en la matière. Pour ma part, dans la mesure où la loi demande de limiter au maximum la conservation des données j’ai préféré jouer la carte de la sécurité et réduire à 14 mois, car je n’ai pas fondamentalement besoin de conserver davantage les données.
D’autres sociétés peuvent avoir des impératifs différents et donc avoir besoin d’un historique de données plus conséquent.
Merci pour ton article, je suis en train de me mettre de côté toutes les infos « digestes » que je trouve pour m’occuper de ça dans les temps. Ton article va rejoindre ma veille (que je vais partager tant qu’à faire).
J’ai vu qu’il y avait des infos aussi pour les sites avec de la publicité type Adsense (puisqu’il y a recueil d’info pour un meilleur ciblage publicitaire), mais je ne me suis pas encore posée sur le sujet (la page d’info toute en anglais m’a fait lâcher l’affaire… les infos légales OK, les infos en anglais OK mais les 2 en même temps c’était trop pour moi ah ah).
Bref, on a du boulot !
Merci encore pour ton travail d’explications.
Merci pour le partage ;) Pour la publicité, c’est le même concept qu’Analytics, on doit bloquer les cookies a priori et ne les activer que si la personne valide l’ajout de cookies. En fait, c’est ce qui existait déjà (la loi sur les cookies) mais que personne n’appliquait vraiment.
Concernant Google Adsense, tu peux déjà désactiver la publicité par centre d’intérêt (qui utilise les infos dont Google dispose sur le visiteur, typiquement un historique de visite sur un site marchand) et ne laisser que la publicité contextuelle (liée aux mots-clés de ton site, le fonctionnement historique de Adsense).
Lorsque les deux sont activés en même temps, le système d’enchères fait que c’est la plus rentable théoriquement qui s’affiche, donc tu as un petit manque à gagner.
Mais personnellement, j’ai toujours trouvé les pubs basées sur les historiques trop intrusives : quitte à avoir de la pub, je préfère diffuser des produits en lien avec le site que de présenter un aspirateur parce que la personne a regardé un aspirateur sur amazon hier.
Le lien avec la RGPD ? Sans consentement, tu n’as pas le droit d’utiliser des infos personnelles pour choisir quelle publicité afficher. Un petit pas à faire est donc de se limiter aux annonces contextuelles.
La marche à suivre est ici :
https://support.google.com/adsense/answer/7670013
https://support.google.com/adsense/answer/9007336?hl=fr