13/01/2023 Mettre un site internet sous WordPress conforme au RGPD : retours d’expérience
Rendre un site Web sous WordPress conforme à la réglementation RGPD de la CNIL n’est pas si simple. Quelques informations qui peuvent vous être utiles.
La réglementation RGPD ne date pas d’hier. Et pourtant, quand on surfe sur le net, de nombreux sites ne sont pas conformes. Comme je m’occupe de la création de sites internet sous WordPress ainsi que de la maintenance de sites, ce sujet me paraissait bien important mais j’avais du mal à trouver les informations.
J’ai eu la chance de travailler avec un consultant, Frédéric, qui m’a donné de précieux conseils. Je les ai mis en application sur les sites gérés par Spiwee Informatique l’an dernier. Mélange de textes, d’extensions WordPress mais aussi parfois de programmation, je vous donne dans cet article quelques détails sur ce que j’ai mis en place. Cela n’a rien exhaustif, peut-être certains sujets pourraient encore être améliorés mais cela vous donnera quelques pistes, j’espère, pour aborder ce sujet qui n’a rien de simple.
Mise en place de la gestion des cookies
Pour commencer, regardons du côté des cookies. Lorsqu’un internaute arrive sur votre site, il faut selon la RGPD lui présenter un outil qui lui permettra d’accepter ou de refuser les cookies.
Il existe des cookies de différentes natures (internes, tiers), voir leur définition sur l’article de la CNIL. Les cookies sont utilisés pour différentes raisons. Les grands groupes sont Essentiels (indispensables au fonctionnement du site), Marketing (en lien avec des aspects commerciaux), Médias externes (des outils embarqués dans le site tels que Youtube, Google Maps ….), Statistiques (la fréquentation de votre site, d’où viennent les visiteurs, combien de temps ils consultent vos pages …).
Première étape : identifier les cookies
Il existe différents outils sur internet pour passer votre site à la moulinette et en extraire la liste des cookies utilisés. Ces outils sont payants, assez onéreux. Vu les sites que je maintiens, dont je connais bien le contenu, je n’ai pas trouvé nécessaire d’avoir recours à un tiers pour cette étape.
Je suis donc passé par du “debogage” :
- Ouverture du site dans un onglet de navigation privée (ce qui permet de ne pas être polluer par des accès précédents sur le net),
- Inspecter la page avec un clic droit, aller dans l’onglet Appli
- Sélectionner dans la colonne de gauche Cookies : vous verrez alors les différents cookies utilisés sur votre site.
Ce travail est à faire dans au moins une page “classique” du site mais aussi dans toutes les pages où sont utilisés différents composants : une carte Google Maps, une vidéo embarquée Youtube, les étapes d’un site de e-commerce (produits, paniers, commandes…), un contenu de réseau social, …
Deuxième étape : choisir une extension WordPress de gestion de cookies conforme à la RGPD
Le choix de l’extension s’est révélé compliqué. J’ai testé différents plugins gratuits qui ne bloquent pas les cookies même en mettant les scripts appropriés. J’ai regardé donc du côté des extensions payantes.
Le choix final, après différents essais, a été Borlabs Cookie – Cookie Opt-in . Je l’ai testée et les blocages des cookies étaient bien effectifs, le paramétrage assez simple, de plus l’éditeur est européen, Allemand, ce qui m’a paru plutôt intéressant lorsqu’on cherche une compatibilité avec des lois européennes.
Borlabs Cookies présente donc une popup lorsqu’un internaute arrive pour la première fois sur un site. Il peut alors faire le choix d’accepter ou de refuser les cookies. Ses choix sont enregistrés pour une durée de 6 mois. Un lien est positionné dans le footer du site permettant de rappeler à tout instant cette fenêtre des préférences.
Troisième étape : la politique de confidentialité
Une fois le travail sur les cookies achevés et la liste des cookies de votre site établie, il est important de les mentionner dans votre page Politique de Confidentialité.
Vous devrez préciser le nom du cookie, à quel groupe il appartient, son objectif, qui le place sur le site (le site lui-même, une source externe), son temps de rétention (durant combien de temps il reste enregistré dans le navigateur).
Une table html est l’outil approprié pour présenter cela. Je l’ai même mise en place en mode responsive (compatible PC et téléphone), un peu pour me faire plaisir, je l’avoue, car gérer les cookies est une tâche administrative et laborieuse.
Se séparer des outils Google
Un autre sujet qui n’est pas simple à résoudre. De nombreuses fonctionnalités d’un site font (ou faisaient) appel à Google. Et la CNIL recommande actuellement de ne pas charger sans contrôle ces outils, tels que:
- Google Analytics, pour les statistiques de visites d’un site
- Google reCAPTCHA, pour éviter les spams des formulaires de contact ou des commentaires
- Google Font, les polices de caractère du site
- Google Maps, Youtube
Les trois premiers sujets seront abordés ci-dessous. Le quatrième (Google Maps, Youtube) est bien géré par Borlabs Cookies: pas de chargement des vidéos ou des cartes tant que l’internaute n’a pas accepté de le faire. De plus, Youtube est toujours accessible en mode “nocookie” donc sans traçage de la consultation des vidéos (sauf si vous êtes connectés à votre compte Google).
Matomo : l’outil statistique WordPress conforme à la RGPD et recommandé par la CNIL
Pour remplacer Google Analytics, pour les statistiques, la CNIL donne comme recommandation d’utiliser différents outils dont Matomo pour lequel existe une extension WordPress. Un document complet est d’ailleurs en ligne pour voir comment le configurer : Guide de configuration Matomo Analytics.
Plusieurs modes de configuration sont proposés. Dans un cas, l’exemption, il n’est pas obligatoire de présenter dans la popup des cookies le choix du suivi statistiques, sinon, il faut le proposer. Tout dépend du paramétrage.
En quoi cet outil est plus conforme à la RGPD ? Les données des utilisateurs sont stockées dans la base de données du site, elles ne sont pas envoyées vers un organisme tiers. De plus, les adresses IP des internautes sont anonymisées.
Matomo propose tout un panel de statistiques. Son utilisation est relativement simple. A noter, il fait un peu grossir l’espace occupé par la base de données mais dans des proportions correctes.
Remplacer ReCAPTCHA : pas si simple
L’outil Google ReCAPTCHA, bloqueur de spams dans les formulaires, fonctionne extrêmement bien. Quand je l’ai mis en place il y a pas mal d’année : fini les spams. Dans l’univers WordPress, il est tellement répandu que trouver une autre solution est vraiment compliqué.
Eviter les spams sur les formulaires de contact
Une première solution est de revenir aux sources : le plugin Really Simple CAPTCHA rajoute un code que l’utilisateur doit saisir avant de valider l’envoi du formulaire. C’est peu élégant mais sur certains sites selon fonctionne très bien. Attention, il faut utiliser Contact Form 7 comme outil de formulaire de contact.
Pour les sites où les spams continuent à polluer les boites mails des administrateurs, je dois tester dans les prochaines semaines l’extension Honeypot for Contact Form 7 Ne serait-ce que par son nom cette extension est prometteuse. A suivre donc …
Un petit bonus pour les formulaires de contact : l’insertion à la fin du formulaire Contact Form 7 d’une balise [acceptance] insérant une case à cocher obligatoire accompagnée d’un texte validant l’envoi du mail.
Installer un captcha pour les commentaires
Même principe que pour le formulaire de Contact : suppression de la surveillance par ReCAPTCHA et mise en place d’un Captcha manuel avec l’extension Captcha Code.
Cela fonctionne correctement mais inutile de dire que cela alourdit le site et son utilisation.
Comme vous allez le voir dans un paragraphe ci-dessous, la gestion des commentaires est assez compliquée.
Google Fonts : ça se corse !
La plupart des thèmes WordPress installent par défaut des Google Fonts, les polices de caractère du site, appelée en ligne, avec accès sur un site Google.
Pour constater cela, vous pouvez inspecter un de vos pages web dans le navigateur, se positionner dans l’onglet Source et vous verrez ce type d’appel vers des sources externes:
Dans le cas ci-dessus, c’est le thème WordPress qui a installé ces polices de caractères.
Comment les supprimer ? Le principe consiste à les télécharger dans la feuille de style du thème enfant du site et à faire appel à ces polices en local via du code css. Pas si simple, il faut mettre les mains dans le cambouis …
Pour des thèmes tels que Astra, des extensions comme Elementor, c’est assez facile mais pour d’autres thèmes, les polices Google sont installées par défaut. Dans ce cas, j’ai dû utiliser l’extension Disable and Remove Google Fonts pour bloquer ces chargements.
Tout cela représente un travail long et parfois laborieux.
Pour l’instant, ne paniquons pas, de ce que l’ai pu lire, il n’y a eu actuellement qu’une seule ‘affaire” Google Fonts, en Allemagne, cela n’empêche pas qu’il faut mieux les supprimer.
Ce point étant complexe, par manque de temps, je n’ai pas terminé sur mes sites clients de supprimer ces accès mais c’est dans les tâches que je finaliserai cette année.
WordPress et la RGPD : gérer les commentaires sur les articles
Sous WordPress, la gestion des commentaires avec la RGPD est peut-être ce qu’il y a de plus compliqué. Deux points doivent être traités.
Lorsqu’un commentaire est déposé sur le site : problème des IP
Lorsqu’un internaute complète le formulaire de contact et l’envoi, vous en retrouver la trace dans la gestion des commentaires sur votre tableau de bord WordPress. Vous recevez aussi un mail vous informant qu’un nouveau commentaire est disponible.
Si vous observez ces éléments, vous verrez qu’ils contiennent l’IP de l’expéditeur. Ce qui est parfaitement incompatible avec la RGPD.
Comment corriger ? J’ai utilisé les informations données dans l’article de www.seo-sea-expertise.com. Cela fonctionne très bien mais une fois de plus, il faut programmer dans le code du site en modifiant le thème enfant. (Note: peut-être existe-t-il une extension, celle mentionnée dans l’article n’est plus disponible ).
Le formulaire de commentaire
Lorsque la fonctionnalité est installée, des commentaires peuvent être envoyés par les internautes via un formulaire sur les articles. Ce formulaire propose à l’internaute de renseigner son nom. Une fois de plus, nous sommes face à une donnée qui n’est pas anonyme. Cela provient du corps de WordPress qui n’aide pas par défaut à être conforme à la RGPD.
Une méthode simple consiste à corriger cela en anonymisant manuellement le nom avant de publier le commentaire. Dans ce cas, il faut bien supprimer le mail reçu informant qu’un commentaire est disponible.
L’autre méthode demande à nouveau de coder (et c’est souvent compliqué), en changeant dans le thème enfant le fichier comments.php pour que le formulaire ne demande plus de renseigner le nom mais un “prénom ou pseudonyme”.
J’ai aussi testé l’extension WpDiscuz , ça fonctionne, mais j’ai eu l’impression de mettre en place une grosse usine à gaz pour un besoin dont l’expression est quand même simple.
Lien de partage vers les réseaux sociaux
Il est important de signaler aux internautes que vous avez des pages de réseaux sociaux où ils pourront suivre votre actualité (Facebook, Twitter, LinkedIn,….).
Cependant, lorsque internaute clique sur un lien, il accède au réseau. Si vous inspectez votre navigateur à ce moment-là, vous verrez un nombre de cookies assez important qui sont alors générés. Ces cookies ne sont pas créés par votre site mais il semble important d’en avertir l’utilisateur.
Pour faire cela, j’implémente une popup intermédiaire informant l’utilisateur lorsqu’il clique sur un lien, ou icone, vers un réseau social. Je les ai mis en place dans d’autres contextes comme des liens vers Amazon, par exemple.
Les autres sources
Lorsque vous inspectez un site, dans l’onglet Source, vous pouvez découvrir des accès vers des sites externes. Des exemples ? L’extension Jetpack en positionne, des thèmes WordPress en mettent aussi, insérer des émoticônes peut générer des sources externes ….
Les supprimer est un peu un travail de fourmi et parfois cela est même impossible. Cela n’empêche pas d’aller y jeter un oeil et d’en avertir l’internaute dans la Politique de Confidentialité.
Dans ce long article, je vous ai présenté quelques principes pour rendre votre site WordPress compatible avec la RGPD.
Certaines manipulations sont relativement simples, d’autres beaucoup plus compliquées.
Cette revue n’est pas exhaustive, d’autres cas de figure peuvent se présenter. De plus, les recommandations de la CNIL peuvent évoluer et demander des changements.
Si vous avez des remarques, des questions, d’autres manières de mettre en place les outils, n’hésitez pas à poster un commentaire.
Si vous désirez implémenter ces outils sur votre site Web, vous pouvez aussi me contacter. Après un diagnostic gratuit, je peux établir un devis pour mettre tout cela en place dans votre site.
Eric
Posted at 15:19h, 13 janvierBon ben j’aurai pas les chocolats!!! À part la fleur bleue qui fait du bien après ce texte savant , bien indigeste pour moi, je t’envoie outre mes félicitations, mes gros bisoussssss. Éric
Nathalie Grillot
Posted at 15:21h, 13 janvierLa fleur bleue (une de mes lavandes pour les petites abeilles) est une bonne piste … tu brûles !!