Le RGPD appliqué aux CMS : quelles sont les obligations ?

Le RGPD appliqué aux CMS : quelles sont les obligations ?

Nul besoin de préciser que depuis le 25 mai 2018, le Règlement sur la Protection des Données (RGPD) a contraint les entreprises européennes et donc les principaux CMS du marché, à se mettre en conformité avec les nouvelles exigences concernant la gestion des données sensibles relatives aux internautes. Prestashop, WordPress, Joomla, Magento, Drupal… Tous ces systèmes de gestion de contenu – CMS étant l’acronyme anglais de Content Management System – qui collectent des données personnelles doivent désormais respecter certaines conditions, sous peine de lourdes sanctions. Parmi elles figurent :

  • La possibilité de fournir un registre de l’ensemble des traitements des données ;
  • Le devoir d’informer clairement les internautes quant à la finalité de l’utilisation des données récoltées ;
  • L’obligation d’obtenir le consentement de ces derniers pour exploiter leurs données personnelles ;
  • Permettre aux internautes l’accès à leurs données, la rectification ou bien la suppression de celles-ci ;
  • L’obligation d’informer les internautes en cas de “fuite” de leurs données.

Les principaux CMS se sont donc hâtés de prendre les mesures nécessaires pour être en mesure de répondre à ces nouvelles exigences et ainsi aider leurs utilisateurs à se mettre en conformité avec le RGPD. Car en cas de non-respect, les sanctions financières applicables sont considérables.

Comment les principaux CMS se sont-ils préparés à l’arrivée du RGPD ?

Ce que les CMS peuvent faire :

WordPress

La dernière version du CMS populaire WordPress est sortie le 17 mai 2018. Celle-ci répond aux critères les plus importants exigés par le Règlement sur la Protection des Données, à commencer par une nouvelle page dédiée à la “Politique de confidentialité”. Les administrateurs de sites WordPress peuvent désormais définir facilement une page destinée à la politique de confidentialité, qui peut être créée en se rendant dans l’onglet Réglages > Confidentialité. En cliquant sur “Créer une nouvelle page”, WordPress générera automatiquement la page “Politique de confidentialité” préremplie avec un texte générique, qu’il vous faudra simplement complété avec vos informations. WordPress met également à disposition de ces utilisateurs un guide accessible depuis l’écran de modification de ladite page, afin de conseiller les webmasters dans la création de leur politique de confidentialité.

Concernant les commentaires, WordPress invite désormais les internautes à consentir auparavant (ou non), à l’utilisation d’un cookie ayant pour but de remplir le formulaire de leur commentaire lors de leur prochaine visite. De plus, les internautes ont dorénavant la possibilité de visualiser, mais également récupérer ou supprimer leurs données stockées sur le site, et ce grâce à un nouveau module faisant état aux webmasters des demandes en ce sens.

Prestashop

Pour sa part, Prestashop a développé un système spécifique permettant la gestion des données personnelles collectées par l’ensemble des modules conformes au RGPD du CMS, installés sur les boutiques en ligne. Ce tout nouveau module permet le respect du règlement européen en donnant aux utilisateurs un accès à leurs données personnelles, la possibilité d’exporter ces informations, mais également de les modifier et/ou les supprimer ; le tout consigné dans un registre des activités de traitement de ces données à caractère personnel, détenu par les e-commerçants.

Joomla

Le 9 mai 2018, Joomla a fait savoir qu’il intégrerait toute une suite d’outils dans son CMS, afin d’accompagner les développeurs dans la mise en conformité de leurs applications avec les exigences du RGPD. La version 3.10 de Joomla devrait donc intégrer cet accompagnement nécessaire, mais aucune date de sortie de cette nouvelle version n’a pour l’instant été communiquée.

Drupal

Concernant Drupal, de nombreuses interrogations subsistent, causées notamment par une communication opaque du CMS quant à sa mise en conformité avec le RGPD. Les utilisateurs de Drupal ont donc tout intérêt à vérifier par eux-mêmes la conformité de leurs sites avec le RGPD.

Magento

Pour ce qui est de Magento, l’éditeur a communiqué de manière tardive sur le sujet, assurant toutefois de la mise en conformité de son CMS ecommerce avec le RGPD. L’éditeur affirme sur son blog avoir collaboré avec le Département du commerce des États-Unis afin d’obtenir une certification Privacy Shield, laquelle est approuvée par la Commission européenne quant au transfert de données personnelles de l’Union européenne et de la Suisse vers les États-Unis.

Ce que les CMS ne peuvent pas garantir :

Bien que la plupart des CMS semblent avoir adopté les principales mesures nécessaires à l’adéquation de leurs solutions avec le RGPD, ils ne sont pas en mesure de garantir une totale mise en conformité de leurs outils avec la nouvelle réglementation.

Ainsi, pour prendre l’exemple de WordPress, le CMS ne peut pas couvrir certaines exigences du RGPD qui relèvent des extensions, notamment les cookies, qui ne sont pas gérés par WordPress, car ces derniers relèvent des extensions installées par le webmaster. De même, le consentement des internautes avant chaque formulaire rempli (newsletters, contact, etc) n’est pas assuré par le CMS et doit être pris en charge par des extensions spécifiques.

Il existe donc plusieurs extensions WordPress permettant de répondre au mieux aux exigences de la RGPD, mais celles-ci ne garantissent pas pour autant une totale régularité avec la nouvelle loi en la matière. Le mieux étant de vous tourner vers un professionnel de la mise en conformité des entreprises avec ce nouveau règlement, afin de vous assurer de la stricte concordance de vos sites, e-commerce ou non, avec les critères exigés par le RGPD.

0 réponses

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *