Le RGPD, abréviation de Règlement général sur la protection des données, est une loi de l’Union européenne qui protège la Confidentialité des utilisateurs/utilisatrices lors de l’utilisation de sites web.
Nous avons reçu des dizaines d’e-mails d’utilisateurs nous demandant d’expliquer le RGPD en termes simples et de partager des astuces pour rendre votre site WordPress conforme au RGPD.
Dans cet article, nous allons vous expliquer tout ce que vous devez savoir sur le RGPD et WordPress (sans les aspects juridiques complexes).
Clause de non-responsabilité
Nous ne sommes pas des avocats et rien sur ce site ne doit être considéré comme un conseil juridique.
Pour vous aider à naviguer facilement dans notre guide ultime sur WordPress et la conformité au RGPD, nous avons créé une table des matières ci-dessous :
- What Is the GDPR?
- Does the GDPR Apply to My WordPress Website?
- What Is Required of Website Owners Under the GDPR?
- Is WordPress GDPR Compliant?
- Additional Areas on Your Website to Check for GDPR Compliance
- Best WordPress Plugins for GDPR Compliance
- Final Thoughts
- Expert Guides on Making Your WordPress Site GDPR-Compliant
- Additional Resources
Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) est une loi de l’Union européenne (UE) qui est entrée en vigueur le 25 mai 2018. L’objectif du RGPD est de donner aux citoyens de l’UE le contrôle de leurs données personnelles et de modifier l’approche de la confidentialité des données des organisations à travers le monde.
Au fil des ans, vous avez probablement reçu des dizaines d’e-mails de la part d’entreprises comme Google au sujet du RGPD, de leurs nouvelles politiques de confidentialité et d’un tas d’autres questions juridiques. En effet, l’Union européenne a prévu de lourdes sanctions pour les personnes qui ne se conforment pas à la réglementation.
Les entreprises qui ne respectent pas les prérequis du RGPD s’exposent à de lourdes amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu). C’est une raison suffisante pour provoquer une panique généralisée parmi les entreprises du monde entier.
Qu’est-ce que le CCPA ?
L’État de Californie a introduit une législation similaire sur la confidentialité le 1er janvier 2020, bien que les amendes potentielles soient beaucoup plus faibles.
La loi californienne sur la confidentialité des consommateurs (CCPA) vise à protéger les informations personnelles des résidents californiens. Elle leur donne le droit de savoir quelles informations personnelles sont collectées à leur sujet, d’en demander la suppression et de refuser la vente de leurs données.
Dans cet article, nous nous concentrerons sur le RGPD, mais bon nombre des étapes que nous énumérons dans cet article vous aideront également à vous mettre en conformité avec le CCPA.
Cela nous amène à la grande question que vous vous posez peut-être :
Le RGPD s’applique-t-il à mon site WordPress ?
La réponse est OUI. Elle s’applique à toutes les entreprises, grandes et petites, dans le monde entier (et pas seulement dans l’Union européenne).
Si votre site WordPress a des internautes en provenance de pays de l’Union européenne, cette loi s’applique à vous.
Mais pas de panique. Ce n’est pas la fin du monde.
Si le RGPD peut monter jusqu’à ces niveaux élevés d’amendes, il commencera par un avertissement, puis un blâme, et enfin une suspension du traitement des données.
Et c’est uniquement si vous continuez à enfreindre la loi que les amendes importantes tomberont.
L’UE n’est pas un gouvernement maléfique qui vous veut du mal. Son objectif est de protéger les consommateurs innocents contre une manipulation imprudente des données qui pourrait entraîner une violation de leur vie privée.
À notre avis, l’amende maximale vise en grande partie à attirer l’attention des grandes entreprises comme Facebook et Google afin que cette réglementation ne soit PAS ignorée. En outre, cela encourage les entreprises à réellement mettre l’accent sur la protection des droits des personnes.
Une fois que vous aurez compris ce qui est nécessaire en vertu du RGPD et l’esprit de la loi, alors vous réaliserez que rien de tout cela n’est trop fou.
Nous partagerons également des outils et des astuces pour rendre votre site WordPress conforme au RGPD.
Qu’est-ce qui est nécessaire aux propriétaires de sites web en vertu du RGPD ?
L’objectif du RGPD est de protéger les informations d’identification personnelle (IPI) des utilisateurs/utilisatrices et d’obliger les entreprises à respecter des normes plus strictes lorsqu’il s’agit de la manière dont elles collectent, stockent et utilisent ces données.
Ces données personnelles comprennent les noms, les adresses e-mail, les adresses physiques, les adresses IP, les informations sur la santé, les revenus, etc. de vos utilisateurs/utilisatrices.
Alors que le règlement RGPD fait 200 pages, voici les piliers les plus importants à connaître :
Vous devez obtenir un consentement explicite pour collecter des informations personnelles
Si vous collectez des données à caractère personnel auprès d’un résident de l’UE, vous devez obtenir un consentement ou un droit explicite, spécifique et sans ambiguïté.
En d’autres termes, vous ne pouvez pas envoyer des e-mails non sollicités à une personne qui vous a donné sa carte de visite ou qui a rempli le formulaire de contact de votre site. Il s’agit là d’un indésirable. Vous devez au contraire permettre à cette personne d’accepter de recevoir votre lettre d’information marketing.
Pour qu’il soit considéré comme un consentement explicite, vous devez exiger un accord positif. La case à cocher ne doit pas être cochée par défaut, doit contenir un libellé clair (pas de jargon juridique) et doit être distincte des autres termes et conditions.
Vos utilisateurs/utilisatrices ont droit à leurs données personnelles
Vous devez informer les individus où, pourquoi et comment leurs données sont traitées et stockées.
Une personne a le droit de télécharger ses données personnelles et le droit d’être oubliée.
Cela signifie qu’ils ont le droit d’exiger que vous supprimiez leurs données à caractère personnel. Lorsqu’un compte clique sur un lien de désinscription ou vous demande de supprimer son profil, vous devez effectivement le faire.
Vous devez notifier rapidement les violations de données
Les auteurs/autrices doivent signaler certains types de violations de données aux autorités compétentes dans les 72 heures, sauf si la violation est considérée comme inoffensive et ne présente aucun risque pour les données individuelles.
Toutefois, si une violation présente un risque élevé, l’entreprise doit également informer immédiatement les personnes concernées.
Cela permettra, espérons-le, d’éviter les dissimulations comme celles de Yahoo qui n’ont été révélées qu’au moment de l’acquisition.
Vous devrez peut-être désigner un délégué à la protection des données
Si vous êtes une entreprise publique ou si vous traitez de gros montants d’informations personnelles, vous devez désigner un délégué à la protection des données.
Cela n’est pas nécessaire pour les petites entreprises. En cas de doute, consultez un avocat.
Résumé en langage clair de ce qui est nécessaire
En clair, le RGPD garantit que les entreprises ne peuvent pas indésirable les gens en leur envoyant des e-mails qu’ils n’ont pas demandés. Les entreprises ne peuvent pas non plus vendre les données des personnes sans leur consentement explicite.
Les entreprises doivent supprimer les comptes des utilisateurs/utilisatrices et les désinscrire des listes d’e-mails lorsque cela leur est demandé. Elles doivent également signaler les violations de données et, d’une manière générale, améliorer la protection des données.
Cela semble plutôt bien, du moins en théorie.
Mais vous vous demandez probablement ce que vous devez faire pour vous assurer que votre site WordPress est conforme au RGPD.
Cela dépend en fait de votre site (nous y reviendrons ultérieurement).
Commençons par répondre à la plus grande question que nous ont posée les utilisateurs/utilisatrices :
WordPress est-il conforme au RGPD ?
Oui, le logiciel cœur de WordPress est conforme au RGPD depuis WordPress 4.9.6, qui a été publié le 17 mai 2018. Plusieurs améliorations liées au RGPD ont été ajoutées pour y parvenir.
Il est important de noter que lorsque nous parlons de WordPress, nous parlons de WordPress.org auto-hébergé. Ce dernier est différent de WordPress.com, et vous pouvez apprendre la différence dans notre guide sur WordPress.com vs. WordPress.org.
Cela dit, en raison de la nature dynamique des sites, aucune plateforme, extension ou solution unique ne peut offrir une conformité RGPD à 100 %. Le processus de conformité au RGPD variera en fonction du type de site que vous avez, des données que vous stockez et de la façon dont vous traitez les données sur votre site.
D’accord, vous vous demandez peut-être ce que cela signifie en termes simples ?
Eh bien, par défaut, WordPress est livré avec les outils d’amélioration du RGPD suivants :
Case à cocher pour le consentement aux commentaires
Avant mai 2018, WordPress stockait par défaut le nom, l’e-mail et le site Web du commentateur sous forme de cookie sur le navigateur de l’utilisateur. Cela permettait aux utilisateurs/utilisatrices de laisser plus facilement des commentaires sur leurs blogs préférés, car ces champs étaient pré-remplis.
En raison de l’obligation de consentement prévue par le RGPD, WordPress a ajouté une case à cocher de consentement au formulaire de commentaire.
Les utilisateurs/utilisatrices peuvent laisser un commentaire sans commenter cette case. Toutefois, il devra saisir manuellement son Nom, son e-mail et son site à chaque fois qu’il le fera.
Astuce : Assurez-vous d’être connecté lors du test pour vérifier que la case à cocher est bien présente.
Si la case à cocher ne s’affiche toujours pas, il est probable que votre thème surcharge le formulaire de commentaire WordPress par défaut. Voici un guide étape par étape sur la façon d’ajouter une case à cocher de confidentialité des commentaires RGPD dans votre thème WordPress.
Fonctions d’exportation et d’effacement des données personnelles
WordPress offre aux propriétaires de sites les outils dont ils ont besoin pour se conformer aux exigences du RGPD en matière de traitement des données et honorer les demandes d’exportation de données personnelles des utilisateurs ainsi que leur retrait.
Les fonctionnalités de traitement des données se trouvent dans le menu Outils de l’interface d’administration de WordPress. De là, vous pouvez aller à Exporter les données personnelles ou Effacer les données personnelles.
Générateur de politique de confidentialité
WordPress dispose d’un générateur de politique de confidentialité intégré. Il dispose d’un modèle de politique de confidentialité prédéfini et vous offre des conseils sur ce qu’il faut ajouter. Cela vous aide à être plus transparent avec les utilisateurs/utilisatrices en termes de données que vous stockez et comment vous traitez leurs données.
Vous pouvez en savoir plus dans notre guide sur la création d’une politique de confidentialité dans WordPress.
Ces trois fonctionnalités sont suffisantes pour rendre un blog WordPress par défaut conforme au RGPD. Cependant, votre site comportera probablement des zones supplémentaires qui devront également être en conformité.
Zones supplémentaires sur votre site à vérifier pour la conformité au RGPD.
En tant que propriétaire de site, vous utilisez peut-être diverses extensions WordPress qui stockent ou traitent des données, et celles-ci peuvent avoir une incidence sur votre conformité au RGPD. Les exemples les plus courants sont les suivants :
- Formulaires de contact
- Statistiques
- Marketing expéditeur
- Magasins en ligne
- Sites d’adhésion
- Et plus encore
Selon les extensions WordPress que vous utilisez sur votre site web, vous devrez agir en conséquence pour vous assurer que votre site est conforme au RGPD.
Un grand nombre des meilleures extensions WordPress ont ajouté des fonctionnalités d’amélioration du RGPD. Jetons un coup d’œil à quelques-uns des domaines les plus courants que vous devrez prendre en compte.
Google Analytics
Comme la plupart des propriétaires de sites web, vous utilisez probablement Google Analytics pour obtenir des statistiques sur votre site. Cela signifie que vous pourriez collecter ou suivre des données personnelles telles que des adresses IP, des identifiants d’utilisateurs, des cookies et d’autres données pour le profilage du comportement.
Pour être en conformité avec le RGPD, vous devez effectuer l’une des opérations suivantes :
- Anonymiser les données avant le début du stockage et du traitement.
- Ajouter une superposition qui donne une notification sur les Cookie et demande aux utilisateurs/utilisatrices leur consentement avant le suivi.
Ces deux points sont assez difficiles à réaliser si vous vous contentez de coller manuellement le code de Google Analytics sur votre site. Cependant, si vous utilisez MonsterInsights, l’extension Google Analytics la plus populaire pour WordPress, vous avez de la chance.
Ils ont publié un module de conformité avec l’UE qui aide à automatiser le processus ci-dessus.
MonsterInsights a également publié un excellent article de blog sur le RGPD et Google Analytics. C’est une lecture indispensable si vous utilisez Google Analytics sur votre site.
Formulaires de contact
Si vous utilisez un formulaire de contact dans WordPress, vous devrez peut-être ajouter des mesures de transparence supplémentaires. Cela est particulièrement vrai si vous stockez les entrées du formulaire ou si vous utilisez les données à des fins de marketing.
Voici quelques éléments à prendre en compte pour rendre vos formulaires WordPress conformes au RGPD :
- Obtenir le consentement explicite des utilisateurs/utilisatrices pour stocker leurs informations.
- Obtenez le consentement explicite des utilisateurs/utilisatrices si vous envisagez d’utiliser leurs données à des fins de marketing par e-mail, par exemple en les ajoutant à votre liste d’e-mails.
- Désactiver les cookies, les agents utilisateurs et le suivi des adresses IP pour les formulaires.
- Respecter les demandes de suppression des données.
- Si vous utilisez une solution de formulaire SaaS, assurez-vous d’avoir un accord de traitement des données avec vos fournisseurs de formulaires.
La bonne nouvelle est que vous n’avez pas besoin d’organiser un accord de traitement des données si vous utilisez une extension WordPress comme WPForms, Gravity Forms ou Ninja Forms.
Ces extensions stockent les entrées de vos formulaires dans votre base de données WordPress, de sorte que pour rester conforme au RGPD, il vous suffit d’ajouter une case à cocher de consentement avec une explication claire.
WPForms, l’extension de formulaire de contact que nous utilisons sur WPBeginner, dispose de plusieurs améliorations RGPD pour vous permettre d’ajouter facilement un champ de consentement RGPD, de désactiver les cookies des utilisateurs, de désactiver la collecte d’IP des utilisateurs et de désactiver les entrées en un seul clic.
Vous pouvez consulter notre guide étape par étape sur la création de formulaires conformes au RGPD sur WordPress.
Formulaires d’accord pour le marketing e-mail
Comme pour les formulaires de contact, si vous disposez de formulaires d’opt-in pour le marketing e-mail (fenêtres surgissantes, barres flottantes, formulaires en ligne, etc.), vous devez vous assurer d’obtenir l’accord explicite des utilisateurs/utilisatrices avant de les ajouter à votre liste.
Cela peut se faire de deux manières :
- Ajoutez une case à cocher sur laquelle l’utilisateur doit cliquer avant de procéder à l’accord.
- Prérequis : double-optin à votre liste d’e-mails.
Les meilleures solutions de génération de prospects comme OptinMonster ont ajouté des cases à cocher de consentement RGPD et d’autres fonctionnalités nécessaires pour vous aider à rendre vos formulaires d’opt-in par e-mail conformes.
Vous pouvez en savoir plus sur les stratégies RGPD pour les marketeurs sur le blog d’OptinMonster.
Magasins e-commerce et WooCommerce
Si vous utilisez WooCommerce, l’extension e-commerce la plus populaire pour WordPress, alors vous devez vous assurer que votre site est en conformité avec le RGPD.
Heureusement, l’équipe de MonsterInsights a préparé un guide approfondi sur la façon de rendre un stock WooCommerce conforme au RGPD.
Annonces de reciblage
Si votre site utilise des pixels de reciblage ou des publicités de reciblage, vous devrez obtenir le consentement de l’utilisateur.
Vous pouvez le faire en utilisant une extension comme Cookie Notice. Vous trouverez des instructions détaillées dans notre guide sur l’ajout d’une fenêtre surgissante de cookies dans WordPress pour le RGPD/CCPA.
Polices de caractères Google
Les polices Google sont un excellent moyen de personnaliser la typographie de votre site WordPress.
Cependant, il a été trouvé que Google Fonts violait les réglementations du RGPD. En effet, Google connecte l’adresse IP de votre internaute à chaque fois qu’une police est chargée.
Heureusement, il existe quelques façons de gérer cela pour que votre site soit conforme au RGPD. Par exemple, vous pouvez charger vos polices localement, remplacer Google Fonts par une autre option ou les désactiver.
Vous pouvez apprendre comment faire dans notre guide sur la façon de rendre Google Fonts confidentiel.
Les meilleures extensions WordPress pour la mise en conformité avec le RGPD
Il existe plusieurs extensions WordPress qui peuvent vous aider à automatiser certaines parties de la mise en conformité avec le RGPD.
Cependant, aucune extension ne peut offrir une conformité à 100 % en raison de la nature dynamique des sites.
Méfiez-vous de toute extension WordPress qui prétend offrir une conformité RGPD à 100%. Ils ne savent probablement pas de quoi ils parlent, et il est préférable pour vous de les éviter complètement.
Vous trouverez ci-dessous notre liste d’extensions recommandées pour la mise en conformité avec le RGPD :
- Si vous utilisez Google Statistiques, nous vous recommandons alors d’utiliser MonsterInsights et d’activer leur module de conformité à l’UE.
- WPForms est l’extension de formulaire de contact WordPress la plus conviviale et propose des champs RGPD et d’autres fonctionnalités.
- Cookie Notice est un plugin gratuit populaire pour ajouter une notification de cookie de l’UE, et il s’intègre bien avec des extensions de premier plan comme MonsterInsights et d’autres.
- RGPD Cookie Consent vous permet de créer une barre d’alerte sur votre site afin que l’utilisateur puisse décider d’accepter ou de rejeter les cookies et couvre le CCPA ainsi que le RGPD.
- WP Frontend Delete Account est une extension gratuite qui permet aux utilisateurs/utilisatrices de supprimer automatiquement leur profil sur votre site.
- OptinMonster est un logiciel de génération de prospects avancé qui offre des fonctionnalités de ciblage astucieuses pour booster les conversions tout en étant conforme au RGPD.
- PushEngage vous permet d’envoyer des messages push ciblés aux internautes après qu’ils aient quitté votre site et est entièrement conforme au RGPD.
- Smash Balloon vous offre un moyen conforme au RGPD d’intégrer des flux en direct et d’afficher des publications provenant de Facebook, Twitter, Instagram, YouTube, TripAdvisor, et plus encore.
- Novashare offre un moyen de permettre aux utilisateurs de partager votre contenu sur les médias sociaux sans collecter leurs données personnelles ni placer de cookies.
Vous trouverez plus d’options dans notre choix d’experts des meilleures extensions WordPress RGPD pour améliorer la conformité.
Nous continuerons à surveiller l’écosystème des extensions pour voir si une autre extension WordPress se démarque et offre des fonctionnalités substantielles de conformité au RGPD.
Réflexions finales
Le RGPD est entré en vigueur depuis mai 2018.
Peut-être avez-vous votre site WordPress depuis un certain temps et travaillez-vous à la mise en conformité avec le RGPD. Ou bien vous venez de vous lancer dans la création d’un nouveau site.
Quoi qu’il en soit, il n’y a pas lieu de paniquer. Il suffit de continuer à travailler pour se mettre en conformité et de le faire le plus rapidement possible.
Vous vous inquiétez peut-être des amendes élevées. Rappelez-vous que le risque d’être condamné à une amende est minime. Le site de l’Union européenne indique que vous recevrez d’abord un avertissement, puis un blâme, et que les amendes constituent la dernière étape si vous ne vous conformez pas à la loi et l’ignorez sciemment.
N’oubliez pas que l’Union européenne n’est pas à vos trousses. Elle agit pour protéger les données des utilisateurs et rétablir la confiance des gens dans les entreprises en ligne.
À l’heure où le monde devient numérique, nous avons besoin de ces normes. Avec les récentes violations de données de grandes entreprises, il est important que ces normes soient adaptées au niveau mondial.
Tout le monde y trouvera son compte. Ces nouvelles règles contribueront à renforcer la confiance des consommateurs et, partant, à favoriser la croissance de votre entreprise.
Nous espérons que ce tutoriel vous a aidé à apprendre comment devenir conforme au RGPD sur votre blog WordPress. Vous pourriez également aimer voir nos guides d’experts sur la façon de rendre votre site conforme au RGPD.
Guides d’experts sur la mise en conformité de votre site WordPress avec le RGPD
- Comment ajouter une case à cocher de confidentialité des commentaires RGPD dans WordPress.
- Comment ajouter une fenêtre surgissante sur les cookies dans WordPress pour le RGPD/CCPA.
- Comment savoir si votre site WordPress utilise des cookies ?
- Comment créer des formulaires conformes au RGPD dans WordPress ?
- Comment rendre les polices de Google plus confidentielles ?
- Comment désactiver Google Fonts sur votre site WordPress
- Comment ajouter une Politique de Confidentialité dans WordPress
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Avis de non-responsabilité
Nous ne sommes pas des avocats, et rien sur ce site ne doit être considéré comme un conseil juridique. En raison de la nature dynamique des sites, aucune extension ou plateforme ne peut offrir une conformité juridique à 100 %.
En cas de doute, il est préférable de consulter un avocat spécialisé dans le droit de l’internet afin de déterminer si vous êtes en conformité avec toutes les lois applicables dans votre juridiction et dans vos cas d’utilisation.
Ressources complémentaires
- L’hystérie du RGPD Partie I et Partie II par Jacques Mattheij
- Infographie sur la protection des données par la Commission européenne
- Principes du RGPD par la Commission européenne
- Le RGPD et MonsterInsights – tout ce qu’il faut savoir sur la conformité au RGPD de Google Analytics.
- Fonctionnalités d’amélioration du RGPD pour WPForms – tout ce que vous devez savoir sur la conformité au RGPD de vos formulaires WordPress.
- WooCommerce et le RGPD – tout ce que vous devez savoir sur la conformité au RGPD de votre boutique en ligne.
- OptinMonster et le RGPD – tout ce que vous devez savoir sur la conformité au RGPD et les formulaires d’opt-in en marketing e-mail.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Teresa Cuervo
I use Jetpack plugin for my contact form and stats (among others) How to make their contact form compliant?
Thanks
Dan
One thing that people don’t seem to be discussing is the comment section. Right here, in this very form, you just asked me for my email address, as does every standard WP comment form. But nowhere are you telling me what this email address will be used for. You aren’t using it for follow up because I’m not going to subscribe to that option.
The default WP comment behaviour is just to ask for people’s email address but with no particular purpose, which also goes against GDPR, right? You have to have a purpose to ask for someone’s data now.
This seems so obvious that I wonder what I’m missing. They clearly thought about comments and added that new cookie comment check-box, so why is nothing mentioned about the email address collection in the first place?
Faizan
Thelanguage you use o explain this GDPR issue,is tremendously unique. ALL in one solution for small projects like mine. From this I get to know completely about GDPR and Now I can analyze where i have to improve.
Thanks
Rahadian
Wonderful guide, I thought this compliance is not affecting me, although I wonder what is this « GDPR compliance » people talking about, and this article provide me with clear explanation. Now I know I should update my website and must follow this compliance. Thank you for sharing this information.
Q
Thank you for a very detailed explanation AND most of all for curbing panic. I can look at decent solutions and implement GDPR compliance on my website with ease now that I know what it entails.
Himadri Saha
Hi, Thanks for your nice, clear and explanatory article. I am using Sumome to generate my subscriber base. Do you have any idea whether this is GDPR compliant?
Editorial Staff
Hi Himdari,
You’d have to ask the Sumo team as to what they’re doing about GDPR
Administrateur
Aliyy Oke
What a succinct and we’ll informative article. This article has quite enlightenment effect on understanding what GDPR is. Until now I never knew that this law is just going to be taking its effect from 25th of May and there has been a lot buzzes and news of it here and there for a long time now. Thank you for the wonderful post.
Waqas
I run a cybersecurity news website and I have never collected anything from any visitor other than email for sending readers notifications about new news articles.
Do I have to go through all this headache as well? Also, do we have to show GDPR compliance popup to visitors like we do with cookie consent popup?
Thanks for the great article.
Gary Sonnenberg
I think you’re going to get a lot of hits on this article.
I agree with others that it’s the best one out there so far. Thanks!
Jeff Coombs
Hey!
How would I know – or – what can I do on my WordPress site to make sure there are no cookies being used so I don’t have to have the cookie warning or any other policy (GDPR etc) to worry about?
(I just have a few « how-to » guides on there, nothing else – no comments etc or any contact boxes etc).
* Thank you for taking the time to create this GDPR post – greatly appreciated!
JC.
Cheryl Harrison
Other sources say that GDPR applies only to people/company in the EU, NOT to EU citizens who happen to be in the US.
We have enabled country blocking so our site is simply not available anywhere but the US and Canada.
Is it your (non-legal) opinion that we therefore do not need to comply?
glenda taylor
I have used WP Simple Membership Plug in on my website. What do I need to do to update the forms there?
WPBeginner Support
Hi Glenda,
Individual plugins will address GDPR compliance on their own. Please reach out to plugin’s support and they will point you in the right direction.
Administrateur
rodrigo
Congratulations for a very informative and well explained article. A very good starting point for further reading.
Tamara
Thank you for this
About the plugins you recommend, so you recommend downloading ALL OF THEM right?
Thank you
Tamara
Editorial Staff
They’re all good plugins. You can use the ones that you need
Administrateur
Carolyn Astfalk
This is a very helpful article. I’d previously addressed all of these issues in the fashion you recommend, but there is one thing I cannot find an answer to despite searching and posting in multiple places:
What about WP blog subscriptions? Nothing in the WP or JetPack updates that I can find provides that check box of consent for blog subscribers. Don’t those email and WP subscriptions require consent too?
WPBeginner Support
Hi Carolyn,
They have addressed some of these issues, to learn more please contact their support forums and they will point you in the right direction.
Administrateur
Dan
Understanding Title 9 is key.
Here’s a link,
http://www.privacy-regulation.eu/en/article-9-processing-of-special-categories-of-personal-data-GDPR.htm
Dan
This is a good resources as well,
https://www.compliancejunction.com/gdpr-for-small-business/
Quoting below –
What effect could the GDPR have on small businesses?
For the purposes of the GDPR, a small business is classified as one with fewer than 250 employees. Any business with more than 250 employees is required to comply with the GDPR and is required to nominate a Data Protection Officer (DPO).
Businesses with fewer than 250 employees are required to comply with the GDPR if their data processing could affect the rights and freedoms of individuals, if they process personal data on a regular basis, or if they process data which is covered by Article 9 of the GDPR, which includes sensitive data such as that relating to religious beliefs. If any of these apply to a small business, it needs to ensure that it complies with all aspects of the GDPR.
Dan
You are omitting the part of GDPR that gives exemptions to companies with less than 200 employees. At least I didn’t see any mention of it.
Editorial Staff
I believe that part is specific to requiring a Data Protection Officer. However I do agree that risk of penalty is lower for smaller businesses, but it doesn’t mean that they shouldn’t do their best to comply.
-Syed
Administrateur
Brian77
WordPress 4.9.6 is not GDPR-compliant, not at all, sorry. Core-content in backend available to all user roles including subscriber is hosted on third party servers without information and/or consent. User IPs are stored in database without notice, just look for session_token. User IPs are stored for comments. User email is used in filename for GDPR data export. Exported meta fields from user profile are hardcoded, export will be incomplete in most cases. And there are a lot of of bugs like privacy policy page can not be edited by editors, your clients need full admin access to edit that page now, good luck with that.
Wayne Rose
What a great article, the first bit of sense i have read about the mysterious GDPR, I found that this was informative to start off with and also helpful with advising on plug-ins to add to my website to help make it compliant.
Thank you very much, i can now breathe a sigh of relief!
Dawson Johnson
Amazing article, thanks so much.
A few questions:
— With regard to MonsterInsights, is the « anonymize IP » feature in the free version sufficient for GDPR compliance with regard to Google Analytics? Or is there critical functionality associated with the paid version (and EU Compliance Addon)?
— I’m a bit concerned about third-party ads (via networks like Taboola, RevContent, etc). What exactly is and isn’t required of publishers given that we in no way control or process the data that they collect / cookies they store?
— With regard to Cookie Plugins, are there any that A) actually block third-party cookies on your site based on a lack of consent or opt-out and B) can be geotargeted to EU users?
I’m a US based publisher, so I don’t want to show opt-out messages (and risk losing track / ad dollars) to visitors who are outside Europe.
WPBeginner Support
Hi Dawson,
Please see MonsterInsights’ blog post for more details.
You will need to reach out to each network, and most likely they will already have documentation on how to prepare for GDPR compliance.
As for cookie plugins, surely there will be more plugins coming out to address different requirements.
Administrateur
stefan
Hi,
Not identifying people that post on your blog can be dangerous for many sites. If someone threatens to sue you and you have insurance, I think you need to inform about it and be able to identify the person so that you can protect yourself against legal claims. As a result, you can’t ask for consent because if you do, the person have to right to be forgotten. So, I am using legitimate interest. By the way, I think the privacy policy offers by WordPress is missing some GDRP requirements such as the identification of the legal basis for each processing.
Stephanie Markou
By far one of the best articles on GDPR compliance when it comes to plugins and websites. Do you have any examples of privacy policies that show data categories and GDPR compliant terms that would cover plugins in general (in lieu of listing every single plugin used on a website). Thank you!
Elvis Nyamekye
Hi, I just wanted to say thanks for writing this article. Didn’t really understand this GPDR Update until today. Thanks so much.
McCool Travel
Wonderful guide to GDPR. Answers many of the question I had. Thank you.
Riccardo
The best article about GDPR compliance for Wordpress that I have read so far! Thank you!
Editorial Staff
Thanks Ricardo
Administrateur
Eleni
Hello, thanks for all these information but I do have one last question. My blog is personal, which means I do not give analytics or data to no-one, or I don’t have advertises.
Do I still have the obligation to obey to the new regulations?
Thanks in advance
Editorial Staff
Hi Eleni,
According to the regulation, yes if you have a website (personal or business or anything else) you would still have to comply. You can wait and see how they enforce it on small personal blogs since there is no precedent of that yet, but if all you have to do is anonymize IP addresses on your analytics, then it’s not that big of a deal
Administrateur
Trish
Thanks for the great article. I’m using your Insert Headers and Footers plug-in, how do I anonymize IP addresses on that?
Editorial Staff
That plugin only offers you the ability to add scripts. It does not have functionality like anonymizing IPs because that’s specific to individual scripts that you might be loading.
Andrei
Hi guys,
First of all thank you for this great article.
I have a question regarding the export personal data tool.
If my understanding is correct, a user can access his personal data by contacting the admin and waiting for an email response. I may be wrong, but it’s not a very user-friendly approach. And it also puts a big load on the admin if working with a big user database.
Is there a way to make this process automatically? Maybe a plugin that automatically exports & downloads the user, instead of having the admin do it manually?
Cheers,
Andrei
WPBeginner Support
Hi Andrei,
Hopefully, soon there will be some plugins available to automate the process. Right now, a user will have to contact an admin.
Administrateur
Peter Derek
Thank you for your informative article which I will read more thoroughly. However, I am obliged at this point to mention an issue which has caught my eye. You make mention of ‘EU citizens’ and ‘EU resident’ which are incorrect terms. No one can be legally resident in the EU as such, but only in their respective countries. The EU is not a country, but a bureaucracy which is basically an economic entity that enables free trade among its separate member states and has its own regulations to which member states are subject. The countries of Europe are situated in a landmass geographically, but each have their own identity and culture. Therefore it would be more accurate to refer to the GDPR in terms of relevance to member countries.
Editorial Staff
Hi Peter,
I am glad you found the article helpful. My goal with this article is to break down things to it’s simplest level. While the distinction exists on local levels, from the sake of this article any long-term resident of an EU member nation is considered an EU resident.
The law is being passed by EU as a whole with signatures from each member nation.
Administrateur
Benjamin
This is the best Guide i’ve been reading so far about GDPR. Thank you very much!
Editorial Staff
Thanks Benjamin, glad you found it helpful
Administrateur
Agnes
Thanks for the detailed info? Beyond the legal stuff, practical help and tools to make it possible are very needed here.
Editorial Staff
Hi Agnes, we added the tools in this article that can help you automate parts of the GDPR process.
Administrateur
Che
Hi, Can we write our own privacy policy or do we need a lawyer?
Also, can we copy the privacy policy of another site (certain sentences)?
Editorial Staff
Hi Che,
You can most definitely use the default WordPress privacy policy through the generator in 4.9.6. Just make sure you add everything that you’re collecting because there’s no such thing as one-size fits all.
Administrateur
Sieglinde
I am still confused. My website has a Add To Cart button but the shopping cart is at PayPal, not on my computer, they advise me when I have an order by email so I can ship to the name and address given the item ordered. I have not heard boo from PayPal about these regulations. I don’t store anything other than the name of the buyer and the ship-to address given to me.
If people sign up for my wordpress.com blog to « follow », all I have is their email address and actually am personally never in touch with them. So what do I need to do?
Editorial Staff
Hey there,
You would need to update your privacy policy and add what information you store. Add a cookies notice on your blog if you’re adding cookies on the user’s browser and that’s about it.
Administrateur
Mark Corder
According to this (very helpful!) article, WP 4.9.6 now has Comments Consent by default. I’m always running the latest version (and I do have the new Privacy setting) but I don’t see this showing on my Comment forms, nor do I see a way to turn it on. I am running a « subscribe » plugin (Subscribe to Comments Reloaded) and this is all I see. Could this be blocking it? Otherwise, how do I activate this feature?
Editorial Staff
Hi Mark,
WordPress 4.9.6. added the comment consent box by default. Are you logged out when you’re checking this?
Administrateur
Mark Corder
Yes – I’ve logged-out, cleared both the WP cache and the browser’s, forced refreshes, tried different browsers … everything I can think of. I installed a clean version of WP 4.9.6 on a test server with NO plugins, and I can see it there – but not on any of the live sites I manage.
I’m still trying things … If I discover the problem, I’ll let you know. In the meantime, anyone have any ideas?
Mark Corder
OK, after a lot of reading and digging through the WP files, this seems to be a problem with some themes. As of WP 4.9.6, a « $cookies_consent » parameter was added, and while virtually all themes will have their own Comments Forms, many of them will not make use of this parameter – hence the fact that it doesn’t show up. For more information on what’s happening here (and needs to happen), see this article at WordPress.org : https://make.wordpress.org/core/2018/05/17/changes-that-affect-theme-authors-in-wordpress-4-9-6/ .
While this explains the problem and offers a way to fix it, I’m afraid this level of hacking to include a new parameter in the array may be beyond the average person that WPBeginner is focused on… So what to do?
* Contact your theme’s author and ask if they plan to update their theme to include this parameter … and best of luck to you.
* Switch to a theme that’s GDPR compliant and will show this checkbox option on the Comments Form. (The « bundled » WP themes like Twenty Seventeen and such have all been updated to show it.)
I predict that in the future you’re going to get a lot of questions about this very issue – you may even want to write a dedicated article about it!
And while I’m waiting to hear back from a couple of theme developers, I plan to roll up my sleeves and try adding this parameter myself. (Said the fearless code-hacker – who uses child-themes and backs everything up first!)
I hope this helps explain why this feature is probably not showing up for lots of others … and keep up the great work, folks!
Editorial Staff
Thanks for the link Mark. We’re going to work on getting this guide up ASAP
Marge
The comment consent box isn’t showing up for me, either. I’m logged out and using an incognito browser. I have seen others say the same thing in another forum.
Maria Spyrou
Hi! It seems I have the same problem here! I’m running Wordpress 4.9.6 and there is no consent checkbox for Comments. It goes without saying that I wasn’t logged in when I checked. Any ideas?
Laura Weed
And what do we do about Wordpress.com blogs? I wrote a privacy policy and I enabled the cookies notice, even though it does not go away when you click accept and close.
You also forgot Article 21. If your website is accessible and collects data from EU citizens, but you are not located in the EU, you are required to have a representative that IS located in the EU in case a local supervising authority needs to get hold of you. This is mandatory.
Editorial Staff
Hi Laura,
Data protection officer is not mandatory. You can review the infographic that we linked to in additional resources section of this article which is by the European Union themselves.
This is what it says in regards to a Data Protection Officer:
« This is not always obligatory. It depends on the type and amount of data you collect, whether processing is your main business and if you do it on a large scale. »
I’m certain more services will come out and offer representative services at scale for affordable prices.
Administrateur
Karin
This is good news .. unless I’m missing something loll
Guess this means that WP will stop sharing our IP’s addresses every time we comment – was not crazy about that .. Wish I knew that before to ensure my VPN’s always active loll But I was a newbie n guess I missed it
All good. I love WP, I love blogging there; been meeting some really great people. Thanks
Mike C
« around the world (not just in the European Union). »
Please, I’d like to know the source of this information. EU laws do not, and can not apply to US citizens. As I understand, GDPR will only apply to multi national corporations, i.e. ones that have some business unit(s) registered in the EU. Please cite the US statute that states GDPR regulations apply to US citizens operating a business out of the USA. I’ve not been able to find one, and no one has been able to point me to one as of yet. I think all this fear mongering is just plain wrong. EU regulations apply in the EU and US regulations apply in the US. The US has its own privacy related laws. Please advise?
Editorial Staff
Hi Mike,
By doing business online and making your website available to the entire world, you expose yourself to the jurisdiction of each state and country. It is a quite common argument that EU laws like GDPR does not apply here in US. That’s actually not true. We just haven’t seen them strictly enforced on companies outside of EU (or large multi-national corporation). This does not mean that it can’t happen.
A foreign government or entity can bring a legal case against you (for any reason), win in their respective jurisdiction and file for a motion in your local jurisdiction for a judgement claim. As you can imagine, the cost of doing this is very high, and this is why it doesn’t happen often.
However saying it can’t happen would be a mistake.
Again I’m no lawyer, and as I stated in the article above, people won’t get fined right away. You’ll get a warning first, then reprimand, and then fine. A lot of fear mongering is being done around fines right now, and I wanted to clarify that here in this article.
-Syed
Administrateur
Neghie Thervil
Since you’re not a lawyer, maybe it’s best not to give this kind of advice. There is a lot of misinformation in your comment and is the kind of info that causes widespread unnecessary panic.
Barbara Holtzman
As the « EU » launched two massive lawsuits against Alphabet (Google and Android) and Facebook as soon as the law went into effect, it’s pretty clear this law was and is a thinly veiled ruse to « get » those two companies.
As a one to sometimes three-person shop, with a company that rarely grosses over $1k (although I’m hoping to crank it up to $10k over time), the EU can have a fun go at me for the couple bucks in fines they might get.
More likely I’ll just block all non-US IP addresses [Israel can stay too, the EU will never let them in], and refuse to communicate or do any business with anyone in the EU. Since most of the research I do is US based anyway, and academic research at that, most likely no one will care.
I’ve always had a double-opt-in, don’t share any info with anyone policy, and my data is double anonymized with a proprietary algorithm. I don’t mind adding all the cookie and privacy warnings and such, so I’m probably in compliance anyway. But I don’t like the EU telling the rest of the world what it can and can’t do by fiat.
I hope Google and Facebook pull out of the EU along with me. Watching that and the fallout afterward will really be a hoot.
Christine Robinson
What are the rules for a non-hosted WordPress.com website? Only used for personal posts, not marketing anything. But I do have worldwide followers. Noticed you addressed WordPress.org only. Thank you!
Editorial Staff
Hi Christine, everything we do on WPBeginner is focused for helping self-hosted WordPress.org users.
I’d recommend reaching out to WordPress.com team to see what they’re doing about GDPR for their hosted sites.
-Syed
Administrateur
Vatsala Shukla
Thanks for the simple plain English post. I’ve shared it forward in a Facebook Group where one of the Group members had concerns about GDPR. Thank you for validating my understanding about GDPR and what we need to do for compliance without overwhelm.
Editorial Staff
Cheers
Administrateur
Luis Aquino
Thank you, thank you, thank you for a an easy to understand article!
Editorial Staff
You’re welcome Luis
Administrateur
Christos
Hello,
I’ve been using the free version for a while and could not be happier.
However, with regards to the GDRP integration, is that available only with a payment plan?
Thank you for a great plug-in! (Already a subscriber and happy to remain one)
Christos
Editorial Staff
Hi Christos, which plugin are you talking about?
For MonsterInsights, the EU compliance addon is available on paid plans only. For WPForms, it has enhancements for both Lite and Pro users (depending on individual needs).
Administrateur
Carole
Our website is for our organization and informational in nature. We don’t sell anything or have a blog. Do I still need to be GDPR compliant?
Editorial Staff
If you’re storing user’s data or adding cookies to their browsers, then yes
Administrateur
Vidya SUry
That’s a concise guide. Jetpack offers the cookie banner with a cookie policy. Today there was a pop up on the dashboard announcing help with the WP Privacy Policy–helping to populate the Privacy Policy subheadings.
My question is: why would one need a GDPR plug in when WP’s tools are available?
Also, how does the export/erase data work? From where do website visitors request that info?
Thanks Syed
Editorial Staff
Not everyone will need third-party GDPR plugins. It will depend on the type of site you have and your needs. If you’re using Google Analytics, then you would need the MonsterInsights EU compliance addon that either anonymizes IP address or integrates with a cookie notices plugin.
Adding an email in your privacy policy that a visitor can use to email you to request data export / erasure would work sufficiently. Alternatively, you can use a form plugin like WPForms to create a form on your site for that.
Administrateur
Fernando Tellado
Hi!
Sorry but WordPress isn’t GDPR compliant because it lacks of the first layer of information that must be agreed by the user. Las version of WordPress only doesn’t save the cookie but doesn’t have a place where to inform to the user that his name, IP, email, etc are going to be saved to the database, and doesn’t have the (not checked) checkbox to agree to this personal data storing.
Curiously, WooCommerce’s next version will include this type of feature in the new Privacy & Accounts tab.
Hugs!
Editorial Staff
Let’s see if WordPress adds that. I am not a lawyer, but in my opinion this can be addressed in the privacy policy. When the user submits the comment, they understand this information is being stored. However if you want to use their information for something other than just displaying comment (i.e sending a comment notification, email newsletters, etc) then you have to get additional consent.
I also expect a lot more plugins to come out to solve GDPR related issues
Administrateur
Alison Rayner
Thank you for producing an easy to understand and follow article on GDPR – the first time I’ve come across something that’s relevant and cuts through all the jargon!
Editorial Staff
Glad you found it helpful Alison
Administrateur
Pat Sonnenstuhl
I do not do financial transaction, nor store any information on my websites. I do charge any money for my sites. will i still need to go thru these costly hoops ?
Pat
Editorial Staff
Hi Pat, if you’re not using Google Analytics or adding any cookies to user’s browser, then you don’t need to do anything
Administrateur
Farukh
Thank you so much for posting this article. I was waiting from many days to listen your thoughts on GDPR. It is helpful and specially simple english. Thank you so much for helping on this matter.
Editorial Staff
You’re welcome Farukh
Administrateur
Julie Strietelmeier
I’d like to know what to do about Amazon affiliate links. How do we become compliant with them? I’ve tried to ask Amazon but they will not provide any advice.
Editorial Staff
Depending on who you ask, you will get differing opinions. Some will say because the referral cookies don’t get added on your site, you don’t have to do anything regarding affiliate links (it’s the merchant’s responsibility).
Others will recommend to use a cookie notice on your site and add Affiliate Links section in your privacy policy.
Administrateur
Julie Strietelmeier
I’ve been trying to find someone’s privacy policy where they mention affiliate links from Amazon and others like Skimlinks but haven’t been successful yet. Do you know of one that I can « borrow »?
Editorial Staff
Not yet, but we will be updating our privacy policy to add that in the coming days.
Christos
That actually makes sense – cookie disclaimer and affiliate notice. I use an affiliate notice in the base footer of my site and a cookie consent.
As long as we are transparent with all that we do there can be no comebacks – theoretically!!!
Christos
Dave Soucy
Nicely done. I’ll be sending my clients to read this instead of re-inventing the wheel and writing my own version.
Editorial Staff
Thanks Dave – glad you found it useful
Administrateur
Kichtrickster
Thanks for the article, great points! I honestly feel ready, but still feel like after a few days I’ll find out some stuff that will be totaly new for me.
https://www.omnisend.com/blog/gdpr-hub/the-3-foundations-of-the-gdpr/ for example here they say that you even need consent to see and save their IP information and such, and so much more. So I mean they disagree with cookie policy? Too bad then, can’t follow ’em anymore. Tough luck really.
Editorial Staff
Yes you do need their consent to store IP information. That’s why in our guide we recommend that you anonymize IP for Google Analytics and use Cookie Notice or similar solution to get permission.
Administrateur