Une des directives du RGPD est d'établir une cartographie des traitements de données personnelles intégrés à votre site internet.
Il s'agit d'une démarche :
- d'inventaire des traitements,
- d'inventaire des chaque donnée de chaque traitement,
- d'analyse des flux : comment les informations alimentent la base de données et quels traitements éventuels sont ensuite opérés
- d'identification des moyens concernés : par exemple les composants,
- de détermination d'une personne responsable.
Dans ce contexte d'inventaire, une des recommandations du RGPD est de définir quelles sont les données, voire les traitements dans leur ensemble, qui ne nécessitent pas d'être conservés dans la base de données de votre site?
Ne pas stocker les soumissions d'un formulaire
C'est une décision radicale mais quand on exploite un formulaire c'est :
- toujours pour permettre un échange d'informations par mail
- parfois pour exploiter sur le site (ou de façon externe) ces données. Il peut arriver que l'on n'exploite pas réellement ces données, voire qu'une ne sache même pas qu'elles sont conservées dans la base de données.
Pour intervenir sur le stockage ou non des soumissions à vos formulaires, il faut parcourir leurs paramètres. Voici quelques exemples de composants de formulaires.
RSForm Pro
Aller dans l'onglet "Propriétés", puis dans le menu de gauche sélectionner "Infos formulaire"
Naviguer vers le bas jusqu'à la partie "Soumissions". Vous constaterez que par défaut RSForm enregistre les données dans la base de données et stocke également l'adresse Ip. Mettre ces 2 paramètres à Non.
Egalement vous pouvez décider de supprimer les soumissions que vous avez reçues et qui sont probablement obsolètes pour la plupart.
Aller en Composanst/RSForm PRo/Gestion des soumissions.
Sélectionner le formulaire concerné.
En-dessous de la liste affichée, tout en bas à droite, sélectionnez "Tout", afin de pouvoir sélectionner toutes les soumissions et les supprimer avec le bouton 
du menu du haut.
BreezingForms
En "Manage Forms" cliquer sur le titre du formulaire.
Aller dans l'onglet "Advanced" et cliquer sur "More options"
Tout en bas de l'onglet "Settings", pour le paramètre "Log to Database" remplacer par "No" la valeur par défaut "Nonempty values".
Pour supprimer les soumissions, aller en "Manage Records". S'il y a beaucoup de soumissions, en-dessous de la liste des soumissions indiquez 500 pour "Nombre d'enregistrements", afin de les sélectionner et les supprimer toutes.
La suppression s'effectue avec le bouton "Delete" dans le menu du haut.
Flexicontact
Ce composant ne permet pas de paramétrer sélectivement par formulaire, le stockage ou non des soumissions. Le paramétrage ci-dessous concernera tous les formulaires.
En "Configuration", mettre le paramètre "Enregistrement" à Non.
Pour supprimer les soumissions, il faut aller en "Journal", sélectionner "Toutes les dates", sélectionner tous les enregistrements puis cliquer sur le bouton "Supprimer".
Conserver un traitement de données mais limiter ses informations
Pour un formulaire, donner la possibilité à l'utilisateur de supprimer ses informations
Il est possible de gérer le cas suivant :
- vous souhaitez conserver les soumissions,
- les utilisateurs ne sont pas connectés,
- mais dans un souci de conformité RGPD, vous souhaitez donner la possibilité à chaque personne ayant utilisé le formulaire de supprimer lui-même ses données transmises via le formulaire.
Cette possibilité existe avec les versions les plus récentes de RSForm : un lien de suppression des informations est à placer dans l'email utilisateur.
Nous avons rédigé un article pour décrire la procédure de mise en place de la suppression des soumissions à un formulaire en conformité au RGPD.
Toutes les informations sont-elles utiles?
Se poser la question de l'utilité réelle d'une information va :
- alléger votre base de données,
- vous inciter à vous concentrer sur l'essentiel et peut-être rafraîchir certaines procédures,
- rassurer les visiteurs et limiter les risques de contentieux.
Quelques exemples : le genre, la date d'anniversaire, parfois le téléphone, des questions telles que "Souhaitez-vous être rappelé?" ...
Ces informations certes anodines, vont rendre les visiteurs suspicieux quant à leur exploitation commerciale éventuelle. Si elles ne sont véritablement pas exploitées, supprimez-les de vos formulaires.
Toutes les données sont-elles d'actualité?
Il s'agit de rafraîchir votre base de données. Des données obsolètes alourdissent votre base de données et peuvent contrevenir à la conformité du RGPD.
Nous avons évoqué les soumissions aux formulaires mais les exemples sont légion :
- comptes utilisateurs Joomla : souvent des utilisateurs désactivés sont conservés mais non supprimés,
- comptes utilisateurs Acymailing : il est très simple d'exporter la liste des utilisateurs Acymailing avec les champs "confirmed_date", "lastopen_date" et "lastclick_date",
- comptes utilisateurs boutiques en lignes : de la même façon ces composants offrent des fonctions d'export des utilisateurs avec des champs de dates (enregistrement, dernière visite),
- les emails des boutiques en ligne : les emails liés aux statuts des commandes sont souvent conservés et peuvent être supprimés selon leur ancienneté (exemple pour l'administration d'Hikashop en Clients/Journal des emails)
Donc se conformer au RGPD consiste aussi à réactualiser les traitements de données et leurs contenus.
Voir nos forfaits d'audit pour la mise en conformité RGPD de votre site
Articles qui devraient vous intéresser
Quel hébergeur et hébergement Joomla 3.9 faut-il choisir ?
Comment réaliser un formulaire de contact compatible RGPD
