Protection des données dans WordPress : bien vérifier la déclaration de confidentialité, SSL et les sources de données typiques

Protection des données dans WordPress : bien vérifier la déclaration de confidentialité, SSL et les sources de données typiques

La protection des données est un élément important de tout site WordPress professionnel. Dès que des données personnelles sont traitées sur votre site web, les visiteurs doivent être informés de manière claire et compréhensible. Cela ne concerne pas seulement les grandes boutiques en ligne ou les espaces membres. Même un simple site web avec formulaire de contact, fonction de commentaires, outil d’analyse, cartes intégrées, inscription à une newsletter ou polices externes peut déclencher des traitements pertinents en matière de protection des données.

WordPress propose des fonctions intégrées qui aident à créer et gérer une déclaration de confidentialité. Ces fonctions ne remplacent toutefois pas un examen juridique. La déclaration de confidentialité doit toujours correspondre au site web réel, aux plugins utilisés, aux services externes, aux formulaires, aux cookies et aux conditions d’hébergement.

Pourquoi la protection des données est importante avec WordPress

WordPress lui-même n’est que la base technique. Un site web devient pertinent du point de vue de la protection des données surtout par son utilisation concrète : formulaires, commentaires, comptes utilisateurs, fonctions de boutique, suivi, newsletters, plugins de sécurité, médias intégrés et services externes peuvent traiter des données personnelles.

Les données personnelles typiques sur les sites WordPress sont par exemple :

• Nom et adresse e-mail : par exemple dans les formulaires de contact, les commentaires ou les comptes utilisateurs.
• Adresse IP : par exemple dans les journaux serveur, les plugins de sécurité ou la gestion des commentaires.
• Données de commande : dans les boutiques WooCommerce.
• Données d’utilisation : dans les outils d’analyse, de suivi ou de statistiques.
• Données de cookies : dans les fonctions de marketing, d’analyse ou de confort.
• Contenus des messages : dans les formulaires, les demandes de support ou les commentaires.
• Données de paiement et de livraison : dans les boutiques ou systèmes de réservation.

Le PFPDT décrit l’obligation d’informer de telle sorte que les personnes concernées doivent être informées lorsque leurs données personnelles sont collectées et traitées. Sans cette information, les personnes concernées ne peuvent pas exercer leurs droits de manière utile.

1. Utiliser la page de confidentialité WordPress

WordPress dispose de sa propre fonction de confidentialité. Vous la trouverez dans le tableau de bord sous :

Réglages > Confidentialité

Vous pouvez y définir une page existante comme déclaration de confidentialité ou créer une nouvelle page de confidentialité. WordPress propose également un guide de confidentialité qui fournit des indications sur les contenus possibles. Selon Learn WordPress, vous pouvez créer, modifier, consulter la page de confidentialité et utiliser le Privacy Policy Guide dans cette section.

Cette fonction WordPress est utile, car elle permet de gérer systématiquement la page de confidentialité dans le backend. Elle ne crée toutefois pas automatiquement une déclaration de confidentialité complète et juridiquement vérifiée pour votre site web concret.

2. Fonctions WordPress pour l’accès et la suppression

WordPress contient des outils intégrés pour les demandes liées à la protection des données. Sous Outils, vous trouverez des fonctions permettant d’exporter et de supprimer des données personnelles. Elles peuvent aider à traiter techniquement les demandes des personnes concernées.

Les fonctions typiques sont :

• Exporter les données personnelles : Crée une exportation des données personnelles existantes associées à une adresse e-mail.
• Effacer les données personnelles : Aide à supprimer ou anonymiser certaines données enregistrées.

Ces fonctions peuvent être pertinentes, par exemple pour les commentaires ou les comptes utilisateurs. Elles ne couvrent toutefois pas automatiquement chaque traitement de données par chaque plugin ou service externe. Vérifiez donc toujours aussi les extensions utilisées.

3. Quels contenus doivent figurer dans une déclaration de confidentialité ?

Une déclaration de confidentialité doit expliquer clairement quelles données sont traitées et pourquoi. Elle ne doit pas se composer uniquement de textes standard, mais correspondre au site web réel.

Les contenus typiques sont :

• Responsable : Qui exploite le site web ?
• Coordonnées : Comment les personnes concernées peuvent-elles prendre contact ?
• Hébergement : Où et par qui le site web est-il hébergé ?
• Journaux serveur : Quelles données techniques sont enregistrées lors de l’accès au site ?
• Formulaires de contact : Quelles données sont traitées lors des demandes ?
• Commentaires : Quelles données sont enregistrées lors des commentaires ?
• Cookies : Quels cookies sont placés et dans quel but ?
• Outils d’analyse : Des services de statistiques ou de suivi sont-ils utilisés ?
• Newsletter : Comment se déroulent l’inscription, l’envoi et la désinscription ?
• Médias externes : YouTube, Google Maps, médias sociaux, polices ou autres services.
• Destinataires et tiers : Des données sont-elles transmises à des prestataires ?
• Durée de conservation : Combien de temps les données sont-elles conservées ?
• Droits des personnes concernées : Accès, rectification, suppression et autres droits.

Selon les principes de transparence du RGPD, les informations doivent être fournies sous une forme concise, transparente, compréhensible et facilement accessible. Cette idée de base est aussi utile en pratique : les visiteurs doivent pouvoir comprendre ce qu’il advient de leurs données.

4. Distinguer la loi suisse sur la protection des données et le RGPD

Pour les sites web suisses, la loi suisse sur la protection des données est pertinente. Si votre site web s’adresse également à des personnes dans l’UE ou l’EEE, le RGPD peut également jouer un rôle. C’est particulièrement important pour les sites multilingues, les clients de l’UE, le suivi dans l’UE, la livraison dans l’UE, les produits numériques ou la publicité ciblée dans des pays de l’UE.

Vérifiez donc :

• Votre site web s’adresse-t-il uniquement à la Suisse ou aussi à l’UE ?
• Avez-vous des clients, utilisateurs ou abonnés à la newsletter provenant de l’UE ?
• Utilisez-vous des services impliquant un transfert de données vers des pays tiers ?
• Des cookies, du suivi ou des outils marketing sont-ils utilisés ?
• Exploitez-vous une boutique avec livraison dans l’UE ?

S’il existe un lien avec l’UE, les exigences du RGPD doivent être examinées attentivement. Cela concerne notamment les bases juridiques, les consentements, les droits des personnes concernées, le traitement sur mandat, les transferts vers des pays tiers et les thèmes liés aux cookies et au suivi.

5. Bien classer l’emplacement d’hébergement en Suisse

L’emplacement du serveur est un point important dans la déclaration de confidentialité. Avec CURIAWEB, vous bénéficiez d’un emplacement serveur en Suisse. Cela peut être un avantage pour les entreprises et clients suisses, car le traitement des données et l’infrastructure d’hébergement sont plus facilement traçables localement.

Mais il est important de noter qu’un emplacement serveur en Suisse ne rend pas automatiquement un site web entièrement conforme à la protection des données. L’ensemble de la configuration est déterminant. Si vous utilisez par exemple Google Analytics, YouTube, Google Maps, des polices externes, des prestataires de paiement, des services de newsletter ou des plugins de médias sociaux, des traitements de données externes et des transferts de données peuvent tout de même avoir lieu.

6. Activer le chiffrement SSL

SSL, ou HTTPS, chiffre la connexion entre le navigateur et le site web. C’est particulièrement important lorsque les visiteurs transmettent des données, par exemple via des formulaires de contact, des pages de connexion, des formulaires de commentaires, des inscriptions à la newsletter ou des processus de paiement.

Vérifiez :

• Votre site web est-il accessible via https:// ?
• Toutes les pages sont-elles automatiquement redirigées vers HTTPS ?
• L’adresse WordPress et l’adresse du site sont-elles configurées en HTTPS ?
• N’y a-t-il aucun contenu mixte via HTTP ?
• Les formulaires et espaces de connexion fonctionnent-ils via HTTPS ?

• Important : activer le chiffrement SSL pour une transmission sécurisée des données

7. Utiliser les formulaires de contact en tenant compte de la protection des données

Les formulaires de contact font partie des sources de données les plus fréquentes sur les sites WordPress. Les visiteurs y saisissent des noms, adresses e-mail, numéros de téléphone ou contenus de messages. Ces données sont souvent envoyées par e-mail et parfois également enregistrées dans WordPress.

Vérifiez pour les formulaires :

• Quels champs sont réellement nécessaires ?
• Existe-t-il une mention de la déclaration de confidentialité ?
• Les données du formulaire sont-elles enregistrées dans la base de données ?
• Combien de temps les demandes enregistrées sont-elles conservées ?
• Une protection anti-spam est-elle utilisée ?
• Des services externes comme reCAPTCHA sont-ils utilisés ?
• L’envoi des e-mails est-il configuré de manière sûre et correcte ?

La minimisation des données est un bon principe : ne demandez que les données dont vous avez réellement besoin pour traiter la demande.

8. Prendre en compte les commentaires et les comptes utilisateurs

Lorsque les commentaires sont activés, WordPress traite généralement des données telles que le nom, l’adresse e-mail, l’URL du site web, l’adresse IP, le contenu du commentaire et l’horodatage. Les comptes utilisateurs sont également pertinents en matière de protection des données, car des données d’accès, rôles, adresses e-mail et activités peuvent y être enregistrés.

Vérifiez :

• Les commentaires sont-ils vraiment nécessaires ?
• Les commentaires sont-ils modérés manuellement ?
• Combien de temps les commentaires restent-ils enregistrés ?
• Gravatar ou des services d’avatar externes sont-ils utilisés ?
• Les comptes utilisateurs peuvent-ils être créés librement ?
• Quels rôles et droits les utilisateurs reçoivent-ils ?

Si les commentaires ne sont pas nécessaires, vous pouvez les désactiver et ainsi réduire les risques liés à la protection des données et au spam.

9. Vérifier les cookies et la gestion du consentement

De nombreux sites WordPress utilisent des cookies. Certains cookies sont techniquement nécessaires, d’autres servent à l’analyse, au marketing, aux fonctions de confort ou aux services externes. La nécessité d’une bannière de cookies ou d’une gestion du consentement dépend de l’utilisation concrète.

Services typiques à vérifier :

• Google Analytics ou autres outils statistiques,
• Google Ads ou Meta Pixel,
• intégrations YouTube ou Vimeo,
• Google Maps,
• services de newsletter et marketing,
• widgets de chat,
• plugins de médias sociaux,
• polices externes,
• cookies WooCommerce.

Si des cookies non nécessaires ou des services de suivi sont utilisés, un consentement préalable peut être nécessaire. La configuration concrète doit être examinée juridiquement.

10. Google Fonts, Maps, YouTube et services externes

Les services externes peuvent transmettre des données à des tiers lors du chargement d’une page. Cela concerne par exemple les vidéos intégrées, les cartes, les flux de médias sociaux, les polices externes ou les outils d’analyse.

Vérifiez pour chaque service externe :

• Une connexion à un fournisseur tiers est-elle établie lors de l’accès à la page ?
• Des adresses IP ou d’autres données techniques sont-elles transmises ?
• Des cookies sont-ils placés ?
• Le service est-il décrit dans la déclaration de confidentialité ?
• Un consentement est-il nécessaire ?
• Existe-t-il une alternative locale ou plus respectueuse de la protection des données ?

Pour Google Fonts, il peut par exemple être judicieux d’héberger les polices localement afin d’éviter les connexions externes. Pour YouTube ou Maps, des solutions en deux clics ou des bloqueurs de consentement peuvent être utiles.

11. Outils d’analyse et Google Site Kit

De nombreux exploitants de sites utilisent Google Analytics, Google Site Kit, Matomo ou d’autres solutions statistiques. Ces outils peuvent être très utiles, mais doivent être intégrés de manière conforme à la protection des données.

Vérifiez :

• Quel outil d’analyse est utilisé ?
• Les adresses IP sont-elles raccourcies ou anonymisées lorsque cela est possible ?
• L’outil n’est-il chargé qu’après consentement, si nécessaire ?
• L’outil est-il décrit dans la déclaration de confidentialité ?
• Existe-t-il un contrat de traitement sur mandat ou un accord approprié ?
• Des données sont-elles transférées vers des pays tiers ?

Google Site Kit facilite l’intégration technique des services Google, mais ne remplace ni l’examen de la protection des données ni la gestion du consentement.

12. Vérifier WooCommerce et les boutiques avec une attention particulière

Dans les boutiques WooCommerce, la protection des données est particulièrement importante, car beaucoup plus de données personnelles sont traitées. Cela comprend les commandes, données de facturation, adresses de livraison, informations de paiement, comptes clients et parfois informations fiscales.

Vérifiez pour les boutiques :

• Quelles données clients sont collectées ?
• Quels prestataires de paiement sont utilisés ?
• Quels prestataires de livraison reçoivent des données ?
• Combien de temps les données de commande sont-elles conservées ?
• Les commandes en tant qu’invité sont-elles possibles ?
• Les comptes clients sont-ils créés obligatoirement ?
• Les consentements marketing sont-ils clairement séparés ?
• Les CGV, la confidentialité, le droit de rétractation et les informations de livraison sont-ils à jour ?

Pour les boutiques, un examen juridique individuel est particulièrement recommandé, car la protection des données, le droit fiscal, le droit de la consommation et le traitement des paiements se recoupent.

13. Documenter les plugins comme sources de données

De nombreux risques en matière de protection des données ne proviennent pas de WordPress lui-même, mais des plugins. Chaque plugin peut enregistrer ses propres données, intégrer des services externes ou placer des cookies.

Vérifiez régulièrement :

• Quels plugins sont actifs ?
• Quelles données chaque plugin traite-t-il ?
• Existe-t-il des connexions API externes ?
• Le plugin place-t-il des cookies ?
• Le plugin enregistre-t-il les saisies de formulaires ?
• Existe-t-il des informations de confidentialité du fournisseur du plugin ?
• Le plugin est-il encore maintenu ?
• Le plugin est-il vraiment nécessaire ?

Désactivez et supprimez les plugins qui ne sont pas nécessaires. Moins de plugins signifie souvent moins de risques en matière de protection des données, de sécurité et de performance.

14. Générateurs de textes juridiques et examen juridique

Les générateurs de déclarations de confidentialité peuvent constituer une bonne base s’ils sont sérieux, à jour et adaptés à vos marchés cibles. Pour les sites web suisses, il faut utiliser des générateurs qui tiennent compte de la loi suisse sur la protection des données. En cas de lien avec l’UE, le RGPD doit également être couvert.

Pour les générateurs, veillez à :

• Le générateur est-il adapté à la Suisse ?
• Tient-il compte du RGPD s’il existe un lien avec l’UE ?
• Interroge-t-il les services et plugins concrets ?
• Le texte est-il régulièrement mis à jour ?
• Existe-t-il des indications sur le traitement sur mandat et les transferts vers des pays tiers ?
• Le texte correspond-il vraiment à votre site web ?

Pour les sites complexes, boutiques, données de santé, espaces membres, suivi, vente internationale ou données sensibles, un conseil juridique est particulièrement recommandé.

15. Lier la déclaration de confidentialité de manière bien visible

Une déclaration de confidentialité doit être facile à trouver. Il est courant de placer un lien dans le pied de page, accessible depuis chaque page. En outre, le lien peut apparaître dans les formulaires, inscriptions à la newsletter, pages de paiement ou zones de commentaires.

Les bons emplacements sont :

• menu de pied de page,
• mention dans le formulaire de contact,
• inscription à la newsletter,
• paiement,
• formulaire d’inscription,
• zone de commentaires,
• bannière de cookies ou gestionnaire de consentement.

Ne cachez pas la déclaration de confidentialité dans une sous-page difficile à trouver. La transparence est un principe central de la protection des données.

16. Protection des données et sécurité vont ensemble

La protection des données ne signifie pas seulement de bons textes. La sécurité technique est également importante. Lorsque des données personnelles sont traitées, le site web doit être protégé de manière appropriée.

Mesures de sécurité importantes :

• activer SSL,
• maintenir WordPress à jour,
• mettre à jour plugins et thèmes,
• utiliser des mots de passe forts,
• vérifier l’authentification à deux facteurs,
• créer des sauvegardes régulières,
• limiter les droits administrateur,
• utiliser une protection anti-spam,
• supprimer les plugins non nécessaires,
• surveiller les journaux serveur et d’erreurs.

Une déclaration de confidentialité décrit le traitement des données. La sécurité technique garantit que ces données sont protégées de manière appropriée.

17. SEO et GEO : bien classer les pages de confidentialité

Les déclarations de confidentialité ne sont pas des landing pages SEO classiques. Elles ne doivent pas être surchargées de mots-clés. La clarté, l’exhaustivité, l’actualité et la facilité d’accès sont importantes.

Utile néanmoins pour le SEO et le GEO :

• titre de page clair,
• structure compréhensible,
• lien dans le pied de page,
• coordonnées d’entreprise cohérentes,
• informations actuelles,
• aucune déclaration contradictoire sur les outils et services,
• bonne lisibilité sur les appareils mobiles.

Le GEO, c’est-à-dire Generative Engine Optimization, bénéficie d’informations claires et dignes de confiance. Une page de confidentialité transparente peut contribuer à la crédibilité de l’ensemble de votre site web.

18. Erreurs fréquentes dans la protection des données avec WordPress

• Utiliser un texte standard sans modification : Le brouillon WordPress correspond rarement entièrement au site réel.
• Ne pas prendre en compte les plugins : Formulaires, analytics, boutiques ou plugins de sécurité manquent dans le texte.
• Oublier les services externes : YouTube, Maps, Fonts ou les médias sociaux ne sont pas mentionnés.
• Pas de lien dans le pied de page : La déclaration de confidentialité est difficile à trouver.
• Pas de SSL : Les formulaires ou la connexion fonctionnent de manière non sécurisée.
• Textes obsolètes : De nouveaux outils sont ajoutés, mais la déclaration de confidentialité n’est pas mise à jour.
• Bannière de cookies mal configurée : Le suivi démarre avant le consentement.
• Surestimer l’hébergement suisse : L’emplacement local du serveur ne remplace pas la vérification des services externes.

Procédure recommandée

1. Analyser le site web : Quels formulaires, plugins, cookies et services externes sont utilisés ?
2. Définir la page de confidentialité : Sélectionner la bonne page sous Réglages > Confidentialité.
3. Décrire l’hébergement : Indiquer correctement l’emplacement serveur en Suisse et le prestataire d’hébergement.
4. Activer SSL : Exploiter le site web entièrement via HTTPS.
5. Vérifier les formulaires : Ne demander que les données nécessaires et placer des mentions de confidentialité.
6. Vérifier les cookies : Distinguer les cookies nécessaires et non nécessaires.
7. Vérifier les services externes : Documenter Analytics, Maps, YouTube, les polices, newsletters et prestataires de paiement.
8. Utiliser un générateur ou une personne spécialisée : Faire créer un texte juridique adapté à la Suisse et, le cas échéant, à l’UE.
9. Placer un lien dans le pied de page : Lier la déclaration de confidentialité de manière bien visible.
10. Mettre à jour régulièrement : Vérifier le texte lors de nouveaux plugins, services ou fonctions.

Questions fréquentes sur la protection des données dans WordPress

WordPress crée-t-il automatiquement une déclaration de confidentialité complète ?

Non. WordPress peut créer une page de confidentialité et fournir des indications. Les contenus doivent toutefois être adaptés à votre site web concret, à vos plugins, formulaires et services externes.

Où trouver les réglages de confidentialité dans WordPress ?

Vous trouverez la section sous Réglages > Confidentialité. Vous pouvez y créer une page de confidentialité ou définir une page existante.

Ai-je besoin d’une déclaration de confidentialité si je n’ai qu’un simple site web ?

Si des données personnelles sont traitées, les visiteurs doivent être informés. Même les formulaires de contact, journaux serveur, commentaires, analytics ou services externes peuvent être pertinents pour la protection des données.

L’hébergement suisse est-il automatiquement conforme à la protection des données ?

Non. L’hébergement suisse est un avantage important, mais ne remplace pas la vérification des plugins, services externes, cookies, formulaires et transferts de données.

Dois-je mentionner Google Analytics dans la déclaration de confidentialité ?

Oui, si vous utilisez Google Analytics ou des outils d’analyse comparables, ils doivent être décrits dans la déclaration de confidentialité et, selon la configuration, chargés uniquement après consentement.

SSL est-il important pour la protection des données ?

Oui. SSL protège la transmission des données entre le visiteur et le site web. HTTPS est particulièrement important pour les formulaires, la connexion, les commentaires, les boutiques et les espaces clients.

Devrais-je utiliser des textes de confidentialité provenant d’un générateur ?

Un générateur sérieux peut constituer une bonne base. Pour les sites complexes, boutiques, liens avec l’UE ou données sensibles, un examen juridique est recommandé.

À quelle fréquence dois-je mettre à jour ma déclaration de confidentialité ?

Chaque fois que le traitement des données, les plugins, les services externes, le suivi, les formulaires, les fonctions de boutique ou les exigences légales changent. Un contrôle régulier est judicieux.