Le respect du RGPD concerne tout site web qui collecte des données personnelles, même un simple site vitrine. Les obligations comprennent la transparence, la sécurité et la possibilité pour les personnes d’exercer leurs droits.
Beaucoup d’acteurs utilisent des CMS comme WordPress, Joomla ou Drupal, ce qui impose des choix techniques et contractuels précis. Les points essentiels à retenir sont présentés ci-dessous pour guider la mise en conformité pratique.
A retenir :
- Politique de confidentialité accessible depuis le pied de page du site
- Consentement explicite pour cookies non essentiels, option de gestion disponible
- Formulaire de contact avec mention d’information et base légale indiquée
- Relations contractuelles avec sous-traitants clairement documentées et vérifiées
Conformité RGPD pour WordPress, Joomla et Drupal
Partant des principes généraux, l’examen des CMS révèle des différences pratiques pour la mise en conformité. Les trois plateformes citées offrent des extensions et des configurations qui facilitent la gestion du consentement et des données personnelles.
Selon la CNIL, tout traitement, même réalisé via un plugin, doit reposer sur une base légale et être documenté. La vigilance porte surtout sur les plugins tiers et la gestion des logs qui peuvent contenir des données personnelles.
Principes CMS :
- Nombre important de plugins disponibles pour WordPress
- Joomla avec extensions adaptées aux petites structures
- Drupal recommandé pour des besoins techniques avancés
- Gestion des mises à jour critique pour tous les CMS
CMS
Facilité de conformité
Outils natifs
Remarques
WordPress
Élevée avec extensions
Plugins cookies et sécurité
Large écosystème, vigilance plugin
Joomla
Moyenne
Extensions RGPD disponibles
Bon compromis pour PME
Drupal
Élevée pour développeurs
Contrôles granulaires
Adapté aux projets complexes
Typo3
Orienté entreprise
Modules professionnels
Bon pour structures réglementées
Risques liés aux plugins et extensions
Ce point se rattache directement à la gestion des composants externes du site, et il conditionne la sécurité des traitements. Les plugins non maintenus introduisent souvent des vulnérabilités exploitables pour voler ou altérer des données.
Selon la Commission européenne, la mise à jour régulière des composants logiciels fait partie des mesures techniques recommandées. Il faut inventorier les extensions et documenter leurs finalités et durées de conservation.
« J’ai découvert une extension obsolète qui envoyait des logs vers un service tiers sans information claire »
Claire M.
Exemples pratiques de configuration
Ce volet illustre comment configurer des éléments concrets pour réduire les risques liés aux traitements sur CMS. Les réglages portent sur le consentement, le chiffrage des formulaires et la limitation des accès aux bases de données.
En pratique, installer un plugin de gestion des cookies, activer HTTPS, et restreindre les accès administrateurs réduit significativement les incidents. Cette démarche prépare la gestion documentaire exigée pour les relations avec les sous-traitants.
Gestion des cookies et mentions d’information sur formulaires
Suite à la configuration CMS, le traitement des cookies et l’information des personnes exigent des mesures spécifiques et traçables. Un bandeau de cookies conforme doit proposer un choix équivalent pour accepter ou refuser les cookies non essentiels.
Selon la CNIL, le consentement doit être explicite et pouvoir être retiré aussi facilement qu’il a été donné. Le design du bandeau ne doit pas inciter au consentement, et les cases pré-cochées sont interdites.
Mesures gestion cookies :
- Consentement explicite pour cookies analytiques et publicitaires
- Possibilité de paramétrer les préférences à tout moment
- Journalisation des choix des visiteurs pour preuve
- Informations claires sur finalités et durées
Mention d’information sur les formulaires
Ce point se rattache à la collecte directe des données via formulaires, et il engage la responsabilité du responsable de traitement. Chaque formulaire doit afficher l’identité du responsable et la finalité du traitement, ainsi que la durée de conservation.
Un exemple pratique de mention indique la base légale et fournit une adresse de contact pour exercer les droits. Selon la Commission européenne, cette information doit être compréhensible et facilement accessible.
- Identité claire du responsable et contact de droit
- Finalité précise du traitement expliquée simplement
- Durée de conservation affichée directement sur le formulaire
- Lien direct vers la politique de confidentialité complète
« Nous avons ajouté une mention claire sur tous nos formulaires et reçu moins de demandes de précision »
Antoine L.
Bandeau cookies et outils des CMS modernes
Confronter les options techniques des différentes plateformes permet de choisir la solution adaptée à son site et à son audience. Par exemple, Wix propose des outils intégrés tandis que Shopify et PrestaShop utilisent des modules tiers pour la plupart des boutiques.
La mise en place d’un bandeau conforme implique souvent une combinaison d’outils et une documentation des choix pour répondre aux demandes d’audit. Cette étape prépare l’organisation interne et la contractualisation avec les prestataires.
Registre des traitements, sous-traitants et sécurité interne
Après avoir sécurisé l’interface utilisateur et les formulaires, il faut structurer la gestion interne des traitements et formaliser les relations avec les prestataires. Le registre des traitements est le document central pour cartographier les flux de données et leurs finalités.
Selon la CNIL, tout responsable doit tenir un registre adapté à la taille et à la nature des traitements. Ce document facilite la réponse aux demandes d’exercice des droits et la démonstration de conformité en cas de contrôle.
Documentation interne :
- Registre des traitements détaillant finalités et durées
- Contrats de sous-traitance précisant obligations RGPD
- Plan de sécurité incluant gestion des accès et sauvegardes
- Formation régulière des collaborateurs exposés aux données
Relations avec les sous-traitants
Ce thème se rattache à la nécessité de formaliser les engagements et de vérifier la conformité des prestataires. Les contrats doivent préciser les mesures de sécurité, les finalités autorisées et les modalités de sous-traitance ultérieure.
Lorsque l’hébergement est externalisé, il faut s’assurer du respect des règles de localisation des données éventuelles hors de l’Union européenne. La contractualisation et les audits réguliers réduisent les risques juridiques.
Sécurité technique et gouvernance interne
Ce point relie la gouvernance aux mesures techniques concrètes pour protéger les données au quotidien, telles que HTTPS, chiffrement et sauvegardes. Il est crucial d’appliquer des mots de passe robustes et d’utiliser des accès à privilèges limités.
Pour les sites e-commerce, des solutions comme Magento ou Shopify imposent une attention particulière aux paiements et aux logs. Une politique de sécurité documentée et testée protège l’entreprise et les personnes concernées.
Elément
Action recommandée
Responsable
Registre des traitements
Mise à jour annuelle et après changement
Responsable conformité
Contrats sous-traitants
Clauses RGPD et audits périodiques
Direction juridique
Sauvegardes
Plan de restauration et tests réguliers
Responsable IT
Formation
Sessions annuelles et suivi des incidents
Ressources humaines
« Nous avons inclus le registre des traitements dans notre audit annuel et gagné en confiance client »
Élodie P.
« L’avis de notre DPO externe a permis de sécuriser les flux entre HubSpot et notre CRM »
Marc N.
La mise en conformité du site web constitue une étape opérationnelle, mais la conformité complète suppose une gouvernance continue et des preuves de contrôle. Poursuivre ces actions protège la réputation et réduit le risque financier et juridique.
Source : CNIL, « Le RGPD », CNIL, 2018 ; Commission européenne, « Règlement général sur la protection des données (RGPD) », Commission européenne, 2016.