Comment vérifier la conformité des extensions WordPress ?

Publié le :

Dernière modification le :

Vous êtes ici : wp-rgpd.fr > blog > Comment vérifier la conformité des extensions WordPress ?

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi

La conformité RGPD de votre site WordPress passe par la conformité des extensions présentes sur celui-ci.

Cependant, vérifier la conformité des extensions WordPress est un exercice quelquefois difficile, car il ne suffit pas de vous assurer que l’éditeur de l’extension présente celle-ci comme étant conforme. Vous devez vérifier sa conformité et, si nécessaire, reporter certains éléments dans vos mentions d’information, politique de confidentialité et de cookies.

Voyons ensemble comment procéder.

Vous êtes un professionnel du Web et vous créez des sites WordPress pour vos clients ?

Vous devez leur livrer un site qui offre des traitements de données personnelles conformes au RGPD. Pour cela, il vous appartient de vérifier la conformité des extensions que vous leur proposez.

Quelles extensions vérifier ?

Vous allez ajouter des extensions WordPress :

  • Qui offrent des fonctionnalités spécifiques (e-commerce, formulaire de contact, réservation de créneaux horaires…)
  • Qui permettent au site de fonctionner correctement (cache, optimisation des médias, sauvegarde des fichiers et de la base de données…)
  • Qui répondent à des obligations légales (bannière de consentement aux cookies…).

Toutes les extensions doivent être contrôlées !

Une attention particulière doit être apportée à la conformité des extensions qui peuvent être impliquées dans la sous-traitance de données personnelles.

Les extensions de formulaires

Les extensions de sauvegarde

Les outils de mesure d’audience

Néanmoins, toutes les extensions WordPress que vous souhaitez utiliser sur le site nécessitent une vérification de leur conformité RGPD. Pourquoi ? Parce qu’elles peuvent présenter des failles de sécurité (or, le défaut de sécurité est un point de non conformité) ou un dépôt de cookies avec un éventuel transfert de données hors UE.

Les outils ou services tiers

Au-delà de la conformité des extensions WordPress, vous devez également vérifier la conformité des outils ou services tiers que vous intégrez : CAPTCHA, plan pour géolocaliser les points de vente, vidéo intégrée pour lecture sur le site…

Les points de contrôle de la conformité des extensions

Certaines mises à jour ont pour but de corriger des failles de sécurité.

Les extensions qui semblent « oubliées » par leurs développeurs, c’est-à-dire qui n’ont pas fait l’objet de mises à jour depuis plusieurs mois, sont à proscrire. Elles peuvent présenter des vulnérabilités non corrigées qui compromettent la sécurité du site et des données personnelles.

Bien sûr, votre site doit être à jour des versions proposées par l’éditeur.

Ce n’est pas toujours simple de trouver ces informations… Cela demande même quelquefois beaucoup de recherches.

Le fait que l’éditeur de l’extension soit situé dans l’Union européenne ou que celui-ci l’indique comme étant conforme au RGPD ne vous dispense pas de vérifier.

En revanche, si l’entreprise ne fait aucune mention au RGPD, c’est souvent mauvais signe…

L’extension est sous-traitante si elle conserve vos données personnelles sur ses serveurs. Comme évoqué plus haut, c’est souvent le cas des extensions de formulaires, de sauvegarde ou de mesure d’audience.

Si vous choisissez d’utiliser une extension en sous-traitance de données personnelles, privilégiez une extension d’un éditeur européen et dont les serveurs sont situés dans l’Union européenne.

Je vous conseille de procéder à cette vérification même si l’éditeur prétend qu’il n’y a pas de dépôt de cookies.

Ensuite il faudra vérifier les caractéristiques de chacun de ces cookies (sa catégorie, sa fonction donc à quoi il sert, sa durée de vie et s’il y a partage des données avec des tiers), par exemple via cookiedatabase.org ou une recherche sur Google.

Puis vous reporterez ces informations dans votre politique de cookies.

Si ce sont des cookies qui nécessitent le consentement, il faudra bien sûr régler votre bannière de manière à empêcher le dépôt de ces cookies tant que le consentement n’est pas accordé, et vous devrez afficher les mentions d’information requises.

En cas de traitement de données par l’extension – via la sous-traitance de données personnelles (sauvegarde sur le Cloud ou sur le serveur de l’extension) ou le dépôt de cookies tiers – il faut vérifier la possibilité d’un transfert des données hors UE.

Vous devez vérifier où sont localisés les serveurs et si les données peuvent être cédées à des tierces parties (ce qui est fréquent pour les cookies marketing).

S’il y a transfert hors UE, l’éditeur de l’extension doit offrir des garanties suffisantes, et si la société éditrice prétend que c’est le cas, vous n’aurez aucun moyen de le vérifier… D’où la prudence à ne pas utiliser d’extensions ou d’outils qui présentent un possible transfert de données hors UE, comme c’est le cas des outils Google (Google reCAPTCHA, Google Analytics, Google Maps…).

Un éventuel transfert hors Union européenne des données personnelles doit faire l’objet de la plus grande transparence de votre part. Il doit être signalé dans les mentions d’information, et reporté dans la politique de confidentialité et dans la politique de cookies.

Enfin, une configuration adéquate peut permettre la conformité des extensions. C’est le cas de certains outils de mesure d’audience qui offrent une configuration en mode « suivi sans cookies ». Quant à votre extension de formulaires, voyez si celle-ci vous permet de stocker les entrées de formulaires sur votre serveur plutôt que sur celui de l’extension.

Que faire en cas de non conformité des extensions ?

Dès que vous observez un point de non conformité sur une extension WordPress, le mieux est bien sûr de la remplacer par une autre extension plus respectueuse de la vie privée.

Une autre bonne pratique est de trouver s’il existe un moyen de faire autrement, c’est-à-dire de vous en passer.

Vous intégrez des vidéos YouTube sur votre site WordPress ?

Plutôt que l’intégration de la vidéo avec le code embed, proposez le renvoi vers YouTube via un clic sur une image. Il s’agit alors d’un lien sortant. Il y a traitement de données personnelles via les cookies, mais hors de votre site.

Vous prendrez soin de signaler la redirection vers YouTube, de même que le dépôt de cookies par la société Google.

Vous avez le choix entre 2 extensions qui offrent la fonctionnalité souhaitée ? Privilégiez celle qui offre la meilleure conformité RGPD.

Vous avez vérifié la conformité des extensions WordPress de votre site ?

Bravo ! La conformité des extensions est un point important de votre site WordPress. Maintenant je vous invite à vérifier la checklist RGPD de votre site.

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi