Le RGPD, abréviation de Règlement général sur la protection des données, est une loi de l’Union européenne qui protège la Confidentialité des utilisateurs/utilisatrices lors de l’utilisation de sites web.
Nous avons reçu des dizaines d’e-mails d’utilisateurs nous demandant d’expliquer le RGPD en termes simples et de partager des astuces pour rendre votre site WordPress conforme au RGPD.
Dans cet article, nous allons vous expliquer tout ce que vous devez savoir sur le RGPD et WordPress (sans les aspects juridiques complexes).
Clause de non-responsabilité
Nous ne sommes pas des avocats et rien sur ce site ne doit être considéré comme un conseil juridique.
Pour vous aider à naviguer facilement dans notre guide ultime sur WordPress et la conformité au RGPD, nous avons créé une table des matières ci-dessous :
- What Is the GDPR?
- Does the GDPR Apply to My WordPress Website?
- What Is Required of Website Owners Under the GDPR?
- Is WordPress GDPR Compliant?
- Additional Areas on Your Website to Check for GDPR Compliance
- Best WordPress Plugins for GDPR Compliance
- Final Thoughts
- Expert Guides on Making Your WordPress Site GDPR-Compliant
- Additional Resources
Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) est une loi de l’Union européenne (UE) qui est entrée en vigueur le 25 mai 2018. L’objectif du RGPD est de donner aux citoyens de l’UE le contrôle de leurs données personnelles et de modifier l’approche de la confidentialité des données des organisations à travers le monde.
Au fil des ans, vous avez probablement reçu des dizaines d’e-mails de la part d’entreprises comme Google au sujet du RGPD, de leurs nouvelles politiques de confidentialité et d’un tas d’autres questions juridiques. En effet, l’Union européenne a prévu de lourdes sanctions pour les personnes qui ne se conforment pas à la réglementation.
Les entreprises qui ne respectent pas les prérequis du RGPD s’exposent à de lourdes amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu). C’est une raison suffisante pour provoquer une panique généralisée parmi les entreprises du monde entier.
Qu’est-ce que le CCPA ?
L’État de Californie a introduit une législation similaire sur la confidentialité le 1er janvier 2020, bien que les amendes potentielles soient beaucoup plus faibles.
La loi californienne sur la confidentialité des consommateurs (CCPA) vise à protéger les informations personnelles des résidents californiens. Elle leur donne le droit de savoir quelles informations personnelles sont collectées à leur sujet, d’en demander la suppression et de refuser la vente de leurs données.
Dans cet article, nous nous concentrerons sur le RGPD, mais bon nombre des étapes que nous énumérons dans cet article vous aideront également à vous mettre en conformité avec le CCPA.
Cela nous amène à la grande question que vous vous posez peut-être :
Le RGPD s’applique-t-il à mon site WordPress ?
La réponse est OUI. Elle s’applique à toutes les entreprises, grandes et petites, dans le monde entier (et pas seulement dans l’Union européenne).
Si votre site WordPress a des internautes en provenance de pays de l’Union européenne, cette loi s’applique à vous.
Mais pas de panique. Ce n’est pas la fin du monde.
Si le RGPD peut monter jusqu’à ces niveaux élevés d’amendes, il commencera par un avertissement, puis un blâme, et enfin une suspension du traitement des données.
Et c’est uniquement si vous continuez à enfreindre la loi que les amendes importantes tomberont.
L’UE n’est pas un gouvernement maléfique qui vous veut du mal. Son objectif est de protéger les consommateurs innocents contre une manipulation imprudente des données qui pourrait entraîner une violation de leur vie privée.
À notre avis, l’amende maximale vise en grande partie à attirer l’attention des grandes entreprises comme Facebook et Google afin que cette réglementation ne soit PAS ignorée. En outre, cela encourage les entreprises à réellement mettre l’accent sur la protection des droits des personnes.
Une fois que vous aurez compris ce qui est nécessaire en vertu du RGPD et l’esprit de la loi, alors vous réaliserez que rien de tout cela n’est trop fou.
Nous partagerons également des outils et des astuces pour rendre votre site WordPress conforme au RGPD.
Qu’est-ce qui est nécessaire aux propriétaires de sites web en vertu du RGPD ?
L’objectif du RGPD est de protéger les informations d’identification personnelle (IPI) des utilisateurs/utilisatrices et d’obliger les entreprises à respecter des normes plus strictes lorsqu’il s’agit de la manière dont elles collectent, stockent et utilisent ces données.
Ces données personnelles comprennent les noms, les adresses e-mail, les adresses physiques, les adresses IP, les informations sur la santé, les revenus, etc. de vos utilisateurs/utilisatrices.
Alors que le règlement RGPD fait 200 pages, voici les piliers les plus importants à connaître :
Vous devez obtenir un consentement explicite pour collecter des informations personnelles
Si vous collectez des données à caractère personnel auprès d’un résident de l’UE, vous devez obtenir un consentement ou un droit explicite, spécifique et sans ambiguïté.
En d’autres termes, vous ne pouvez pas envoyer des e-mails non sollicités à une personne qui vous a donné sa carte de visite ou qui a rempli le formulaire de contact de votre site. Il s’agit là d’un indésirable. Vous devez au contraire permettre à cette personne d’accepter de recevoir votre lettre d’information marketing.
Pour qu’il soit considéré comme un consentement explicite, vous devez exiger un accord positif. La case à cocher ne doit pas être cochée par défaut, doit contenir un libellé clair (pas de jargon juridique) et doit être distincte des autres termes et conditions.
Vos utilisateurs/utilisatrices ont droit à leurs données personnelles
Vous devez informer les individus où, pourquoi et comment leurs données sont traitées et stockées.
Une personne a le droit de télécharger ses données personnelles et le droit d’être oubliée.
Cela signifie qu’ils ont le droit d’exiger que vous supprimiez leurs données à caractère personnel. Lorsqu’un compte clique sur un lien de désinscription ou vous demande de supprimer son profil, vous devez effectivement le faire.
Vous devez notifier rapidement les violations de données
Les auteurs/autrices doivent signaler certains types de violations de données aux autorités compétentes dans les 72 heures, sauf si la violation est considérée comme inoffensive et ne présente aucun risque pour les données individuelles.
Toutefois, si une violation présente un risque élevé, l’entreprise doit également informer immédiatement les personnes concernées.
Cela permettra, espérons-le, d’éviter les dissimulations comme celles de Yahoo qui n’ont été révélées qu’au moment de l’acquisition.
Vous devrez peut-être désigner un délégué à la protection des données
Si vous êtes une entreprise publique ou si vous traitez de gros montants d’informations personnelles, vous devez désigner un délégué à la protection des données.
Cela n’est pas nécessaire pour les petites entreprises. En cas de doute, consultez un avocat.
Résumé en langage clair de ce qui est nécessaire
En clair, le RGPD garantit que les entreprises ne peuvent pas indésirable les gens en leur envoyant des e-mails qu’ils n’ont pas demandés. Les entreprises ne peuvent pas non plus vendre les données des personnes sans leur consentement explicite.
Les entreprises doivent supprimer les comptes des utilisateurs/utilisatrices et les désinscrire des listes d’e-mails lorsque cela leur est demandé. Elles doivent également signaler les violations de données et, d’une manière générale, améliorer la protection des données.
Cela semble plutôt bien, du moins en théorie.
Mais vous vous demandez probablement ce que vous devez faire pour vous assurer que votre site WordPress est conforme au RGPD.
Cela dépend en fait de votre site (nous y reviendrons ultérieurement).
Commençons par répondre à la plus grande question que nous ont posée les utilisateurs/utilisatrices :
WordPress est-il conforme au RGPD ?
Oui, le logiciel cœur de WordPress est conforme au RGPD depuis WordPress 4.9.6, qui a été publié le 17 mai 2018. Plusieurs améliorations liées au RGPD ont été ajoutées pour y parvenir.
Il est important de noter que lorsque nous parlons de WordPress, nous parlons de WordPress.org auto-hébergé. Ce dernier est différent de WordPress.com, et vous pouvez apprendre la différence dans notre guide sur WordPress.com vs. WordPress.org.
Cela dit, en raison de la nature dynamique des sites, aucune plateforme, extension ou solution unique ne peut offrir une conformité RGPD à 100 %. Le processus de conformité au RGPD variera en fonction du type de site que vous avez, des données que vous stockez et de la façon dont vous traitez les données sur votre site.
D’accord, vous vous demandez peut-être ce que cela signifie en termes simples ?
Eh bien, par défaut, WordPress est livré avec les outils d’amélioration du RGPD suivants :
Case à cocher pour le consentement aux commentaires
Avant mai 2018, WordPress stockait par défaut le nom, l’e-mail et le site Web du commentateur sous forme de cookie sur le navigateur de l’utilisateur. Cela permettait aux utilisateurs/utilisatrices de laisser plus facilement des commentaires sur leurs blogs préférés, car ces champs étaient pré-remplis.
En raison de l’obligation de consentement prévue par le RGPD, WordPress a ajouté une case à cocher de consentement au formulaire de commentaire.
Les utilisateurs/utilisatrices peuvent laisser un commentaire sans commenter cette case. Toutefois, il devra saisir manuellement son Nom, son e-mail et son site à chaque fois qu’il le fera.
Astuce : Assurez-vous d’être connecté lors du test pour vérifier que la case à cocher est bien présente.
Si la case à cocher ne s’affiche toujours pas, il est probable que votre thème surcharge le formulaire de commentaire WordPress par défaut. Voici un guide étape par étape sur la façon d’ajouter une case à cocher de confidentialité des commentaires RGPD dans votre thème WordPress.
Fonctions d’exportation et d’effacement des données personnelles
WordPress offre aux propriétaires de sites les outils dont ils ont besoin pour se conformer aux exigences du RGPD en matière de traitement des données et honorer les demandes d’exportation de données personnelles des utilisateurs ainsi que leur retrait.
Les fonctionnalités de traitement des données se trouvent dans le menu Outils de l’interface d’administration de WordPress. De là, vous pouvez aller à Exporter les données personnelles ou Effacer les données personnelles.
Générateur de politique de confidentialité
WordPress dispose d’un générateur de politique de confidentialité intégré. Il dispose d’un modèle de politique de confidentialité prédéfini et vous offre des conseils sur ce qu’il faut ajouter. Cela vous aide à être plus transparent avec les utilisateurs/utilisatrices en termes de données que vous stockez et comment vous traitez leurs données.
Vous pouvez en savoir plus dans notre guide sur la création d’une politique de confidentialité dans WordPress.
Ces trois fonctionnalités sont suffisantes pour rendre un blog WordPress par défaut conforme au RGPD. Cependant, votre site comportera probablement des zones supplémentaires qui devront également être en conformité.
Zones supplémentaires sur votre site à vérifier pour la conformité au RGPD.
En tant que propriétaire de site, vous utilisez peut-être diverses extensions WordPress qui stockent ou traitent des données, et celles-ci peuvent avoir une incidence sur votre conformité au RGPD. Les exemples les plus courants sont les suivants :
- Formulaires de contact
- Statistiques
- Marketing expéditeur
- Magasins en ligne
- Sites d’adhésion
- Et plus encore
Selon les extensions WordPress que vous utilisez sur votre site web, vous devrez agir en conséquence pour vous assurer que votre site est conforme au RGPD.
Un grand nombre des meilleures extensions WordPress ont ajouté des fonctionnalités d’amélioration du RGPD. Jetons un coup d’œil à quelques-uns des domaines les plus courants que vous devrez prendre en compte.
Google Analytics
Comme la plupart des propriétaires de sites web, vous utilisez probablement Google Analytics pour obtenir des statistiques sur votre site. Cela signifie que vous pourriez collecter ou suivre des données personnelles telles que des adresses IP, des identifiants d’utilisateurs, des cookies et d’autres données pour le profilage du comportement.
Pour être en conformité avec le RGPD, vous devez effectuer l’une des opérations suivantes :
- Anonymiser les données avant le début du stockage et du traitement.
- Ajouter une superposition qui donne une notification sur les Cookie et demande aux utilisateurs/utilisatrices leur consentement avant le suivi.
Ces deux points sont assez difficiles à réaliser si vous vous contentez de coller manuellement le code de Google Analytics sur votre site. Cependant, si vous utilisez MonsterInsights, l’extension Google Analytics la plus populaire pour WordPress, vous avez de la chance.
Ils ont publié un module de conformité avec l’UE qui aide à automatiser le processus ci-dessus.
MonsterInsights a également publié un excellent article de blog sur le RGPD et Google Analytics. C’est une lecture indispensable si vous utilisez Google Analytics sur votre site.
Formulaires de contact
Si vous utilisez un formulaire de contact dans WordPress, vous devrez peut-être ajouter des mesures de transparence supplémentaires. Cela est particulièrement vrai si vous stockez les entrées du formulaire ou si vous utilisez les données à des fins de marketing.
Voici quelques éléments à prendre en compte pour rendre vos formulaires WordPress conformes au RGPD :
- Obtenir le consentement explicite des utilisateurs/utilisatrices pour stocker leurs informations.
- Obtenez le consentement explicite des utilisateurs/utilisatrices si vous envisagez d’utiliser leurs données à des fins de marketing par e-mail, par exemple en les ajoutant à votre liste d’e-mails.
- Désactiver les cookies, les agents utilisateurs et le suivi des adresses IP pour les formulaires.
- Respecter les demandes de suppression des données.
- Si vous utilisez une solution de formulaire SaaS, assurez-vous d’avoir un accord de traitement des données avec vos fournisseurs de formulaires.
La bonne nouvelle est que vous n’avez pas besoin d’organiser un accord de traitement des données si vous utilisez une extension WordPress comme WPForms, Gravity Forms ou Ninja Forms.
Ces extensions stockent les entrées de vos formulaires dans votre base de données WordPress, de sorte que pour rester conforme au RGPD, il vous suffit d’ajouter une case à cocher de consentement avec une explication claire.
WPForms, l’extension de formulaire de contact que nous utilisons sur WPBeginner, dispose de plusieurs améliorations RGPD pour vous permettre d’ajouter facilement un champ de consentement RGPD, de désactiver les cookies des utilisateurs, de désactiver la collecte d’IP des utilisateurs et de désactiver les entrées en un seul clic.
Vous pouvez consulter notre guide étape par étape sur la création de formulaires conformes au RGPD sur WordPress.
Formulaires d’accord pour le marketing e-mail
Comme pour les formulaires de contact, si vous disposez de formulaires d’opt-in pour le marketing e-mail (fenêtres surgissantes, barres flottantes, formulaires en ligne, etc.), vous devez vous assurer d’obtenir l’accord explicite des utilisateurs/utilisatrices avant de les ajouter à votre liste.
Cela peut se faire de deux manières :
- Ajoutez une case à cocher sur laquelle l’utilisateur doit cliquer avant de procéder à l’accord.
- Prérequis : double-optin à votre liste d’e-mails.
Les meilleures solutions de génération de prospects comme OptinMonster ont ajouté des cases à cocher de consentement RGPD et d’autres fonctionnalités nécessaires pour vous aider à rendre vos formulaires d’opt-in par e-mail conformes.
Vous pouvez en savoir plus sur les stratégies RGPD pour les marketeurs sur le blog d’OptinMonster.
Magasins e-commerce et WooCommerce
Si vous utilisez WooCommerce, l’extension e-commerce la plus populaire pour WordPress, alors vous devez vous assurer que votre site est en conformité avec le RGPD.
Heureusement, l’équipe de MonsterInsights a préparé un guide approfondi sur la façon de rendre un stock WooCommerce conforme au RGPD.
Annonces de reciblage
Si votre site utilise des pixels de reciblage ou des publicités de reciblage, vous devrez obtenir le consentement de l’utilisateur.
Vous pouvez le faire en utilisant une extension comme Cookie Notice. Vous trouverez des instructions détaillées dans notre guide sur l’ajout d’une fenêtre surgissante de cookies dans WordPress pour le RGPD/CCPA.
Polices de caractères Google
Les polices Google sont un excellent moyen de personnaliser la typographie de votre site WordPress.
Cependant, il a été trouvé que Google Fonts violait les réglementations du RGPD. En effet, Google connecte l’adresse IP de votre internaute à chaque fois qu’une police est chargée.
Heureusement, il existe quelques façons de gérer cela pour que votre site soit conforme au RGPD. Par exemple, vous pouvez charger vos polices localement, remplacer Google Fonts par une autre option ou les désactiver.
Vous pouvez apprendre comment faire dans notre guide sur la façon de rendre Google Fonts confidentiel.
Les meilleures extensions WordPress pour la mise en conformité avec le RGPD
Il existe plusieurs extensions WordPress qui peuvent vous aider à automatiser certaines parties de la mise en conformité avec le RGPD.
Cependant, aucune extension ne peut offrir une conformité à 100 % en raison de la nature dynamique des sites.
Méfiez-vous de toute extension WordPress qui prétend offrir une conformité RGPD à 100%. Ils ne savent probablement pas de quoi ils parlent, et il est préférable pour vous de les éviter complètement.
Vous trouverez ci-dessous notre liste d’extensions recommandées pour la mise en conformité avec le RGPD :
- Si vous utilisez Google Statistiques, nous vous recommandons alors d’utiliser MonsterInsights et d’activer leur module de conformité à l’UE.
- WPForms est l’extension de formulaire de contact WordPress la plus conviviale et propose des champs RGPD et d’autres fonctionnalités.
- Cookie Notice est un plugin gratuit populaire pour ajouter une notification de cookie de l’UE, et il s’intègre bien avec des extensions de premier plan comme MonsterInsights et d’autres.
- RGPD Cookie Consent vous permet de créer une barre d’alerte sur votre site afin que l’utilisateur puisse décider d’accepter ou de rejeter les cookies et couvre le CCPA ainsi que le RGPD.
- WP Frontend Delete Account est une extension gratuite qui permet aux utilisateurs/utilisatrices de supprimer automatiquement leur profil sur votre site.
- OptinMonster est un logiciel de génération de prospects avancé qui offre des fonctionnalités de ciblage astucieuses pour booster les conversions tout en étant conforme au RGPD.
- PushEngage vous permet d’envoyer des messages push ciblés aux internautes après qu’ils aient quitté votre site et est entièrement conforme au RGPD.
- Smash Balloon vous offre un moyen conforme au RGPD d’intégrer des flux en direct et d’afficher des publications provenant de Facebook, Twitter, Instagram, YouTube, TripAdvisor, et plus encore.
- Au lieu de charger les boutons de partage par défaut avec des cookies de suivi, l’extension Shared Counts charge des boutons de partage statiques tout en affichant le nombre de partages.
Vous trouverez plus d’options dans notre choix d’experts des meilleures extensions WordPress RGPD pour améliorer la conformité.
Nous continuerons à surveiller l’écosystème des extensions pour voir si une autre extension WordPress se démarque et offre des fonctionnalités substantielles de conformité au RGPD.
Réflexions finales
Le RGPD est entré en vigueur depuis mai 2018.
Peut-être avez-vous votre site WordPress depuis un certain temps et travaillez-vous à la mise en conformité avec le RGPD. Ou bien vous venez de vous lancer dans la création d’un nouveau site.
Quoi qu’il en soit, il n’y a pas lieu de paniquer. Il suffit de continuer à travailler pour se mettre en conformité et de le faire le plus rapidement possible.
Vous vous inquiétez peut-être des amendes élevées. Rappelez-vous que le risque d’être condamné à une amende est minime. Le site de l’Union européenne indique que vous recevrez d’abord un avertissement, puis un blâme, et que les amendes constituent la dernière étape si vous ne vous conformez pas à la loi et l’ignorez sciemment.
N’oubliez pas que l’Union européenne n’est pas à vos trousses. Elle agit pour protéger les données des utilisateurs et rétablir la confiance des gens dans les entreprises en ligne.
À l’heure où le monde devient numérique, nous avons besoin de ces normes. Avec les récentes violations de données de grandes entreprises, il est important que ces normes soient adaptées au niveau mondial.
Tout le monde y trouvera son compte. Ces nouvelles règles contribueront à renforcer la confiance des consommateurs et, partant, à favoriser la croissance de votre entreprise.
Nous espérons que ce tutoriel vous a aidé à apprendre comment devenir conforme au RGPD sur votre blog WordPress. Vous pourriez également aimer voir nos guides d’experts sur la façon de rendre votre site conforme au RGPD.
Guides d’experts sur la mise en conformité de votre site WordPress avec le RGPD
- Comment ajouter une case à cocher de confidentialité des commentaires RGPD dans WordPress.
- Comment ajouter une fenêtre surgissante sur les cookies dans WordPress pour le RGPD/CCPA.
- Comment savoir si votre site WordPress utilise des cookies ?
- Comment créer des formulaires conformes au RGPD dans WordPress ?
- Comment rendre les polices de Google plus confidentielles ?
- Comment désactiver Google Fonts sur votre site WordPress
- Comment ajouter une Politique de Confidentialité dans WordPress
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Avis de non-responsabilité
Nous ne sommes pas des avocats, et rien sur ce site ne doit être considéré comme un conseil juridique. En raison de la nature dynamique des sites, aucune extension ou plateforme ne peut offrir une conformité juridique à 100 %.
En cas de doute, il est préférable de consulter un avocat spécialisé dans le droit de l’internet afin de déterminer si vous êtes en conformité avec toutes les lois applicables dans votre juridiction et dans vos cas d’utilisation.
Ressources complémentaires
- L’hystérie du RGPD Partie I et Partie II par Jacques Mattheij
- Infographie sur la protection des données par la Commission européenne
- Principes du RGPD par la Commission européenne
- Le RGPD et MonsterInsights – tout ce qu’il faut savoir sur la conformité au RGPD de Google Analytics.
- Fonctionnalités d’amélioration du RGPD pour WPForms – tout ce que vous devez savoir sur la conformité au RGPD de vos formulaires WordPress.
- WooCommerce et le RGPD – tout ce que vous devez savoir sur la conformité au RGPD de votre boutique en ligne.
- OptinMonster et le RGPD – tout ce que vous devez savoir sur la conformité au RGPD et les formulaires d’opt-in en marketing e-mail.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Abin
Seems it is the lengthy process to correct all the checks against each clause, do we have any plugin available to do correction across the WordPress blog?
Prithvi Raj
This is impossible to enforce.
Who is going to go around and check if every single site is following this?
What are newbie website owners going to do?
It is hard enough to create a website and get a few people to come and read, and now you also have to deal with rubbish like this?
To put it in plain English, the EU intended that big giants like Google and FB don’t screw with data.
This law is not for the average Joe. There are hundreds of laws ordinary people break everyday by visiting simple websites, and doing simple thing online. Nobody can enforce laws like GDPR on small business owners.
If you’re getting big, you definitely need to comply, it also makes sense, if you’re bigger, you have more resources.
Prithvi
I doubt if this GDPR can be enforced for small businesses, does the EU plan on going after every single small website?
I’m not based in the EU, this regulation does not apply to me, at least not at this level (I’m a small business).
Even if it does apply, I can’t make any changes for every single regulation that comes about in different countries.
I’d like to see how this plays out over the years, it is primarily meant for giants, not for ordinary people.
Jeanne
Thanks for the article! I am glad to know the WP is all over this topic.
Geoff
The Ginger plugin works, it is simple to use and will block 3rd party cookies if the user wishes to not accept cookies but still see the website in question.
Christophe Huget
Hello, I use Iubenda to manage my Privacy Policy, the page is not physically on our website, it’s hosted on Iubenda.com. There’s no option to add a link to an external link.
owolabi Thankgod
I was sent a message by google that I should log into my adsense account and accept their new privacy policy and I have done that
Is this same as GDPR because I am getting increasingly confused after reading this article
Please what am I to do to make my wordpress site GDPR complaint because as for me, i have not done anything whatsoever.
Guust
The article says there are fines for companies, so what if my business is not carried on by a company?
And what about hobby websites and blogs, as in non-business websites?
Either the article is not complete or misleading?
Can you clarify?
Thanks
Nanette Irvine
Thank you for your informative article. I have a question in regard to a blog I write. I have a self hosted Wordpress site with a Divi theme. It is not a business, no marketing, no advertising – purely sharing a personal journey. I do offer people the opportunity to receive a notice when the next post is up. Their name and email address is stored in Aweber. Do I have to have Privacy notice etc for GDPR compliance?
Mamun
Very informative article. Really I was confused about the term GDPR. Now it’s clear to me…Thanks buddy
Bill
I disagree with assuming the EU can dictate to a business without a physical location in an EU country. This is a sovereignty issue most US citizens would have issue with like the tea tax which basically started the American colonies fight for independence. The EU cannot globally criminalize an action they do not like and penalize a US citizen, or other citizen outside their umbrella of power, based on such action. To say they can is the height of socialist arrogance.
Nor does the EU have dominion over the internet. If they do not like the way the rest of the world does business they are free to lock their coddled citizens in a make believe world much like the Chinese do.
JC
True indeed but then there is DMCA which is an American law designed to protect copyright that people also follow regardless of soveriegnty. And Americans seem not to fight paying tax abroad even when their physical location and employment does not fall under American jurisdiction.
Geoff
Of course the EU can criminalise certain actions globally.
Currently – The sale of illicit goods to the EU can be made illegal and any EU police force make arrests for certain actions carried out by people entering the EU.
The point is, this is a step towards protecting the data of anyone residing within the EU (even non-EU nationals). If a US based organisation releases data that is personal to me for their own gain or because they did not protect it properly – they should be penalised.
Nathan
Yes! I thought I was the only one who’s thinking this way. Is there a legal precedent for something like this? A citizen from the EU visits my site and all of the sudden they have the right to legislate what I can and can’t do? I think everyone is jumping on the GDPR train because it means more work (i.e. more money) for developers. Is anyone else willing to just say that the emperor doesn’t have any clothes?
Tony Tremblay
I don’t think they will go after anyone outside the Euro zone. What they could do howerver is force Google to integrate them in the search engine ranking factors. This way, every website could be affected…
John
Can we choose to block business in Europe? There’d be ZERO reason for me to even come up over there… I don’t even want their money!
Magrt
Sadly that’s more problems for you.
Apparently EU has a rule, that will take effect this year that prohibits geoblocking. Am not a lawyer but basically that rule will prevent you from blocking out EU members from your site and attract fines .
Bill
Yes John, you most certainly can block all EU based traffic and forget the whole mess.
Latunde
Thank you for sharing this awesome information
GeeLew Grinds Carpentier
GDPR understanding is real right now
Amanda
Hi, thank you all, Editorial Staff, SO much for this wonderful and helpful article, with all the helpful links and resources!! And I am so grateful to see a mostly positive and thankful response from our fantastic community of bloggers. I am so proud to be a part of this. And I really love your respectful treatment of the « spirit of this law. »
Joe
This was fantastic! I only wish it included AdSense, as a lot of site owners use that, too.
nancie
Thank you! Was looking for something simple like this for weeks…
Amar Ilindra
Thanks for the detailed guide.
But I feel you missed Google Adsense part.
For EU users, we need to get consent for personalized/non-personalized ads.
It would be really helpful for people if you update the article with the changes we need to make with Adsense.
WPBeginner Support
Hi Amar,
AdSense has issues GDPR related guidelines for publishers. Basically, you will need to disclose your ads in the privacy policy and cookie usage. You will need to show a cookie popup to get user consent.
Administrateur
Mike
What if a person’s business is only local to Western Canada
Geoff
If that business interacts with a person residing within the EU – then yes they do.
Lawrence Elliott
What about using the Facebook Comments plugin? Is that in compliance? If not, how can we make it so?
WPBeginner Support
Hi Lawrence,
All Facebook embeds set cookies and track users across the web, you will need to disclose this information and get explicit user consent for those cookies.
Administrateur
Una
Thank you so much for this very useful article.
Editorial Staff
Glad you found it helpful
Administrateur
Dawn Daniel
Very good Article Thank you sharing this informative article. easy to understand
balu
I don’t use Google Analytics plugin in wordpress. But I placed Google Analytics code in header file of Wordpress Theme. What can I do for this problem.
WPBeginner Support
Hey Balu,
You will still need to comply with the GDPR by manually adjusting settings.
Administrateur
Clare
This WAS plain English. Thank you.
Editorial Staff
You’re welcome
Administrateur
David Lightfoot
Well that’s just brilliant. In order to eliminate spam, they have now set it up so every website, that I have ever sent my email to, anywhere in the world is going to email me some kind of spam about their « new privacy rules ». Idiots.
C.J. Haynie
Thank you so much for putting this together! It’s been a big help. I just run a personal blog but have managed to change a few of my plugins to be more compliant. I need to look at monster insights about their free version of their addon, but I think for the most part I should be fine.
Cheers to you all!
Take care of yourselves.
Suzanne
« If your website has visitors from European Union countries, then this law applies to you. »
Correction, « If your website has visitors from European Union countries, then this law applies to THEM. »
This article makes no reference to which countries have treaties with the EU that would allow the EU to usurp their sovereignty to enforce, prosecute, and fine people within them, for having the « wrong check boxes » in their contact forms.
The EU doesn’t get to swallow the earth like some amoeba. I am neither a citizen, serf, nor resident of the EU. My websites are all hosted in non-EU countries. If you can show me the list of countries that have signed on to a treaty to allow the EU to prosecute people for non-GDPR-approved check boxes within their borders, I’ll consider choosing or updating my own plugins/contact forms, thank you very much, or updating my .htaccess to block all EU IP addresses from visiting.
And that’s how it’s played.
Jean Jeudi
Good to know that your site can do without visitor from Europe. I reckon your are not providing important services or goods. Maybe you should read a bit more what the EU requires from companies tar getting European customers. Most of the topics are common sense e.g not to share information you receive with third parties without a previous approval. Similar laws exist ever since for sharing photos showing third parties in social media.
I know that I am already a transparent person thanks to google and friends but at least I want to have the right to check what they have collected on me and to stop distribution of this information
Geoff
I’m afraid the EU does… if you want to play fast and loose with personal data, feel you have a right to send me crap emails me if I didn’t sign up, store information about me with permission, release information about me to 3rd parties (intentionally or not)… then you shouldn’t have a website.
Chris Bukoski
This post seems relevant for wordpress.org (as mentioned). What about wordpress.com sites?
Thanks!
Jonathan Soto Gregg
This is important information. Thanks for sharing. Can i share this in my blog?
Editorial Staff
Hi Jonathan, we don’t allow folks to copy our entire articles. However if you want to link to our article from your own original content blog post, then absolutely
Administrateur
Gidon Ariel
Great article, I will certainly try to find it and refer to it if I ever need to worry about this.
But since you say that worst case, i will first be given a warning, I will focus on other things and be motivated by real 3rd degree urgency then instead of spending hours now – a few hours before the « deadline » – for something that will probably never affect me.
Sorry chums, this sounds like Bug2000’s little brother.
Cheers!
Jasmin Patterson
First off, thank you for explaining this so simply!
Second, a question. I have a small self-hosted WP blog and I send new posts and updates to my readers but don’t sell them anything at this point. I’m using the Mailmunch plug in for opt-in forms, integrated with my Mailchimp email list.
If I enable double-opt in for my email newsletter opt-in forms, do I need to also have legal language on each of those opt-in forms specifically stating that users information will be stored in my email marketing client and that they can unsubscribe at any time? Or is the double opt-in sufficient to be compliant? Should I perhaps include storage information in a privacy policy also/instead?
Thanks!
Jose E. Marques
Excelent article. Exactly what everybody needs to hear. Keep up the excelent work. Blessings.
Chirag artani
GDPR is now started, I’ll update new policy in my website because it’s important and we are legal workers !
Emily
Thank you so much! I updated WordPress and am not seeing the comment consent, is it a setting that needs to be turned on I cant seem to find it if so. Maybe because I am using Genesis? Any help would be appreciated. Thanks again
WPBeginner Support
Hi Emily,
Please see our article on how to add comment privacy checkbox in WordPress.
Administrateur
Koshy George
Is there a way I can block EU users from accessing my wordpress site or put a splash screen saying EU users are not welcome?
vas
Thank you!
Ben
Best guide! Thanks so much.
Aimee
I have a blog that doesn’t do ANY monetizing. Actually it doesn’t get many views because I only do blogging as a hobby so far. What exactly do I need to do to be compliant with the new law? Does the law affect me if I »m not a business and not making money from my blog?
WPBeginner Support
Hi Aimee,
It depends on plugins and tools you use on your website and how they collect and store personal information.
Administrateur
Hannah
Fantastic article! Luckily we’ve already implemented most of what you suggest for both ourselves and our clients, but we had a very longwinded way of getting there. It would have been so much quicker and easier if we’d read your clear and straightforward article first! WordPress seems to have been a bit late to the party in terms of GDPR compliance but at least we’re there now – just in the nick of time!
Kresten Bergsøe
The Cookie Notice plugin is NOT GDPR compliant – not even compliant with current cookie legislation in the EU.
Before you set a cookie you have to have consent – Cookie Notice does not support the blocking of cookies at all.
Klemen
Pheew. Feel really good to read this article. Honestly, I’m dealing with this late and learning about this honestly scared the shit out of me and got me overwhelmed. Happy to hear that it’s not the end of the world and that if I take a step at a time towards compliance it’s gonna be all right.
Ashutosh
I had the privacy policy page created before all of this. So can I just do « Use this page » in the Privacy settings of WP or should I create a new page and delete the old one?
Editorial Staff
You can just update your old privacy policy page to add new text as needed.
Administrateur
Joeri
Hi,
I have a WordPress shop. How can I see that I have cookie tracking?
Thanks.
Mette Bruyant-Langer
Hi, this is an excellent article and a great practical and respectful approach to GDPR.
I’m a 58 year old Danish business lawyer with a lifetime corporate background in European medico industry and having gone olderpreneur with my husband 4 years ago. So I KNOW about European data protection from the early 2000 days.
Now, I’m getting a grip on GDPR for our website and SaaS application to make sure we’re compliant. And your article turned out to be the perfect place to start.
So thanks, and a good day to you.
/Mette
Nuala
Thank you for the article.
Laura
Hi, thank you for this post.
However, on out website, i do not see the extra checkbox: save my name, email and website in this browser etc.
Any idea why this is not shown?
Thank you very much!
Editorial Staff
The checkbox will need extra configuration on your theme. We’re working on creating a tutorial on how to do that and then will be updating this guide as well.
Administrateur
Claudia
Thank you! That would really help!
DANIELE GALASSI
Hi great article indeed.
wordpress self upgraded tonite to last version, but still my comments box don’t show the GDPR checkbox.
They only show:
notify me by mail new comments
notify me by mail new posts
is there some option i should activate?
Joost
Gravtiy Forms stores entries by default. So you know…
Alex
Thank you so much for this awesome article!!!
John Nixon
Thank you for this. I’ve been trying to prepare for GDPR for months, and I thought I’d considered every aspect. It’s reassuring to see I’m about 90% clear, but your piece has pointed me to one or two things I missed. (Check box for the contact form!)
I still don’t really understand how the Wordpress data handling features work though. They don’t seem to help me find all the data (IP addresses?) that visitors may have left. As far as I can see I’m going to have to manually remove comments (with associated e-mail addresses) for anyone who asks. Is that right?
WPBeginner Support
Hi John,
Yes. Your privacy policy page should have a form where users can request access to their data and ask for its complete removal.
Administrateur