La check-list RGPD de votre site Web

Publié le :

Dernière modification le :

Vous êtes ici : wp-rgpd.fr > blog > La check-list RGPD de votre site Web

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi

Une check-list RGPD pour vérifier la conformité de votre site Web

Votre site affiche une bannière de consentement et présente une politique de confidentialité. Vous pensez qu’il est en conformité avec le RGPD ? Ce sont certes des éléments importants de sa conformité, mais vos obligations RGPD ne s’arrêtent pas là !

Les 3 raisons de soigner la conformité RGPD de votre site

Depuis mai 2018, il n’y a plus de déclaration de conformité à faire auprès de la CNIL : vous êtes supposé(e) être en conformité.

En effet, la sécurité est un volet important du RGPD. Vous trouverez dans cet article une checklist consacrée à la protection des données personnelles.

Si la conformité RGPD d’une organisation (ou d’une marque) ne se voit pas bien de l’extérieur… elle est bien visible sur son site ! La conformité de votre site Web est un facteur de confiance pour vos visiteurs.

Pour toutes ces raisons, il est primordial de soigner la conformité RGPD de votre site.

Qu’est-ce que la conformité RGPD d’un site Web ?

C’est d’abord vérifier que votre site respecte, pour chaque traitement de données mis en oeuvre, les grands principes du RGPD, dont vont découler les différentes vérifications et actions à entreprendre pour parvenir à sa conformité.

C’est aussi remplir votre obligation de sécurité en veillant à la disponibilité, à la confidentialité et à l’intégrité des données personnelles que vous traitez sur votre site Web.

Minimisation de la collecte, granularité des consentements, mesures de sécurité, mentions d’information, conformité des sous-traitants, configuration adéquate des extensions WordPress… Les points de contrôle sont nombreux ! D’où la nécessité d’une check-list RGPD, ou 2 plus exactement : une check-list RGPD globale, et une check-list RGPD liée à la sécurité de votre site.

Les points de contrôle de la conformité

Voici une check-list RGPD globale, pour ne rien oublier. En fonction des traitements de données mis en oeuvre sur votre site, d’autres vérifications et actions seront nécessaires. Pour les découvrir, je vous invite à vous reporter aux articles thématiques de ce blog (cookies, formulaires…).

  • Identification de tous les flux de données
  • Analyse des risques liés à chaque traitement
  • Mesures de sécurité adaptées aux risques
  • Mesures de sécurité renforcées en cas de traitement de données sensibles (**)
  • Choix de l’hébergeur (*)
  • Localisation du serveur (*)
  • Localisation des sauvegardes (*)
  • Hébergement des polices en local
  • Conformité des extensions
  • Transfert de données hors Union européenne (*)
  • Identification des cookies
  • Bannière de recueil du consentement
  • Granularité des consentements
  • Politique de cookies
  • Politique de confidentialité
  • Chaque traitement (cookies, formulaires, newsletter…) doit présenter une base légale, une finalité, une durée de conservation des données, des mentions d’information…
  • Minimisation des données
  • Mentions d’informations (affichées lors du recueil de données et au sein de la politique de confidentialité ou de cookies)
  • Mécanisme de purge des formulaires
  • Exercice du droit des personnes
  • Documentation de votre conformité RGPD

(*) Le transfert de données hors Union européenne est strictement encadré par le Règlement. Il implique de vérifier l’adéquation du pays tiers ou l’existence de garanties appropriées. Il est obligatoire d’informer les internautes du possible transfert de leurs données hors Union européenne.

(**) Les traitements de données sensibles sont par défaut interdits. Lorsqu’une exception permet de les autoriser, ils nécessitent des mesures de sécurité renforcées.

La check-list RGPD liée à la sécurité de votre site WordPress

La conformité RGPD de votre site ne peut s’envisager sans une sécurité optimale. Voici la check-list RGPD liée à la sécurité, que vous retrouverez également dans l’article consacré à la sécurité des données. Je vous la remets ici, car elle est complémentaire à la check-list RGPD globale ci-dessus.

  • Mises à jour : WordPress, thèmes, extensions, traductions, PHP…
  • Nombre d’extensions limité
  • Choix d’un hébergement sécurisé
  • Protocoles HTTPS et TLS
  • Bonne gestion des habilitations (personnes ayant accès à l’administration du site)
  • Permissions des fichiers et répertoires
  • Modifier l’URL de connexion (ne pas garder /wp-login.php)
  • Choix des identifiants de connexion (bannir « admin »)
  • Robustesse de vos mots de passe (au moins 12 caractères, incluant chiffre, majuscule, minuscule, caractère spécial…)
  • Authentification à double facteur (2FA)
  • Modifier le préfixe de votre base de données
  • Extension de sécurité avec pare-feu, WAF et scan
  • Limiter le nombre de tentatives de connexion (bloquer l’accès à partir d’un certain nombre de tentatives infructueuses)
  • Journalisation des accès
  • Mise en place des en-têtes de sécurité HTTP
  • Masquer l’identifiant des auteurs
  • Empêcher le hotlinking des images
  • Protéger l’accès aux fichiers et répertoires sensibles (.htaccess, wp-config.php, /uploads…)
  • Empêcher les injections de fichiers
  • Désactiver XML-RPC
  • Modification périodique des clés de sécurité SALT
  • Désactiver les rapports d’erreur PHP (dans le php.ini) et masquer les erreurs PHP
  • Sauvegardes régulières
  • Chiffrement de vos appareils de sauvegarde (ordinateurs ou disques durs externes)
  • Mesures de sécurité renforcées en cas de traitement de données sensibles
  • Et toutes mesures de sécurité complémentaires et adaptées aux risques…

Je vous renvoie vers le site wpmarmite qui fourmille de bonnes pratiques sur ce sujet (et bien d’autres).

Par où commencer ?

Plus vous aurez de traitements de données sur votre site, plus sa mise en conformité RGPD vous prendra du temps. D’où l’importance de limiter le nombre de traitements de données personnelles, autant pour vous faciliter la tâche que parce que cette démarche s’inscrit dans le principe du Privacy By Default. Si vous débutez, je vous invite à commencer par la lecture des principes fondamentaux du RGPD.

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi