Le Règlement Général Européen pour la Protection des Données (RGPD ou GDPR en anglais) entre en vigueur le 25 Mai 2018. Les données sont à caractère personnel et peuvent concerner aussi bien des clients, des utilisateurs récurrents ou des visiteurs occasionnels d'un site. Le RGPD va impacter toutes les structures disposant d'un site internet proposant une intéraction avec des utilisateurs (formulaires, commentaires, téléchargements, espaces privés, likes, achats en ligne, localisation...), et même ceux qui n'offrent pas d'intéraction mais qui effectuent des statistiques de connexion et de tracking. Dès lors que des données à caractère personnel sont stockées dans une base de données, ces nouvelles règles Européennes vont s'appliquer.

1. Qu’est-ce que le RGPD ?

Commençons par le début, RGPD signifie Règlement Général sur la Protection des Données. Comme son nom l'indique, cette réglementation porte sur les données des utilisateurs enregistrées par les sites Web lorsque ceux-ci naviguent ou utilisent leurs services. L'objectif du RGPD est d'améliorer la confidentialité des données et la façon dont les entreprises abordent ou traitent cette question.

2. Cela va-t-il avoir un impact sur mon business?

Oui, dès que vous enregistrez des informations qui permettent d’identifier de façon unique un individu (par exemple des noms, photos, adresses email ou adresses IP), vous devrez vous conformer à cette nouvelle norme. Les seules exceptions sont les formulaires anonymes comme les sondages ou les formulaires de quiz qui ne collectent aucune donnée personnelle.
Cela affectera aussi bien les entreprises situées dans l'UE que celles situées en dehors de l'UE mais qui traitent des informations personnelles concernant les citoyens de l'UE.
La nouvelle législation entrera en vigueur le 25 mai 2018.

3. Quelles sont les exigences du RGPD ?

Consentement explicite : l’utilisateur doit donner son consentement explicite pour que le site puisse collecter ses informations. Ce consentement ne doit pas être caché au sein d’un long paragraphe «Termes et conditions», mais doit être distinct et très clair pour l'utilisateur.

Accès aux informations collectées : vous devez autoriser les utilisateurs à consulter les informations collectées par votre site.

Option pour supprimer l'information : vous devrez proposer aux utilisateurs un moyen simple de retirer leur consentement et de supprimer leurs informations de votre site.

4. Comment RSForm! Pro peut-il m’aider à être conforme ?

Le principe de consentement du RGPD

Le Règlement Général sur la Protection des Données, entrant en vigueur le 25 Mai 2018, implique l'accord de toute personne transmettant des données personnelles sur un site internet, pour que ce dernier les conserve dans sa base de données. Les données personnelles pouvant être l'adresse mail, le nom, l'adresse Ip etc... 
Ces données doivent pouvoir être accessibles pour l'utilisateur en modification et suppression.

Le consentement doit être donné de manière explicite, sans contrainte ni influence (plus de case pré-cochée).

Dans ce contexte l'activation par mail de la création de son compte par l'utilisateur (ou principe du "double opt-in"), est à favoriser.

Dans cet article nous allons voir comment un champ utilisateur va permettre de se conformer à certaines règles imposées par le RGPD (Règlement Général pour la Protection des Données).

1- Le principe du contentement

Le consentement consiste à autoriser de manière explicite, sans contrainte ni influence (de type case-précochée), un site à conserver ses propres données personnelles.

La notion de consentement est théoriquement associée à un type de données : une personne peut vouloir autoriser un site à conserver les informations associées à son compte (email notamment), mais pas les informations relatives à la soumission  d'un questionnaire.
Cette contrainte théorique et complexe, qui oblige à gérer le consentement par type de traitement et donc par composant au sein de Joomla, ne sera pas traitée ici car inhérente aux fonctionnalités des nombreux composants Joomla. De plus, en raison de sa complexité, ce sujet peut tout à fait évoluer au niveau du RGPD proprement dit.
Cependant vous trouverez sur notre site un exemple de mise en place de questionnaire incluant le recueil du consentement à la conservation des données, avec RSForm.

Nous allons donc développer ici la mise en place d'une case à cocher lors de la création du compte utilisateur Joomla : "J'autorise ce site à conserver mes données personnelles". Comme évoqué précédemment, les données personnelles sont celles rattachées au profil du compte.

Une des directives du RGPD est d'établir une cartographie des traitements de données personnelles intégrés à votre site internet.
Il s'agit d'une démarche :

• d'inventaire des traitements,
• d'inventaire des chaque donnée de chaque traitement,
• d'analyse des flux : comment les informations alimentent la base de données et quels traitements éventuels sont ensuite opérés
• d'identification des moyens concernés : par exemple les composants,
• de détermination d'une personne responsable.

Dans ce contexte d'inventaire, une des recommandations du RGPD est de définir quelles sont les données, voire les traitements dans leur ensemble, qui ne nécessitent pas d'être conservés dans la base de données de votre site?

Nous allons aborder les différentes questions à se poser pour rendre le traitement d'un formulaire compatible avec le RGPD.

Rappelons que les mails générés par la validation d’un formulaire n’entrent pas dans le périmètre d’application du RGPD. Celui-ci ne porte que sur les informations conservées dans votre base de données, sur votre serveur.

La démarche de mise en conformité au RGPD de votre site implique un inventaire des traitements de données personnelles.
Certains traitements sont évidents (formulaire de contact, newsletters), d'autres sont plus cachés ou périphériques; tel est le cas de Google Analytics. 

En effet, si vous avez mis en place Google Analytics pour étudier les comportements de vos visiteurs, il faut savoir que leurs adresses Ip sont collectées. Certes l'application Google Analytics ne relève pas de votre responsabilité, mais c'est par contre le cas dans la manière dont vous utilisez cet outil.

Nous allons donc voir dans ce court article comment rendre anonymes les adresses Ip de vos visiteurs au sein de Google Analytics.

Nous nous appuyons sur l'exemple d'un template Gantry.
La fonctionnalité d'anonymisation des adresses Ip proposée par ces templates est ainsi un argument de plus pour souligner leur qualité.

Joomla 3.9 est la première version à intégrer des fonctionnalités liées au RGPD. Nul doute que ces fonctionnalités constituent le début d'une orientation majeure du CMS Joomla en matière de conformité au RGPD.
Outre ces nouveautés que nous développons dans cet article, il faut savoir que l'équipe Joomla travaille sur l'environnement et les outils permettant aux éditeurs d'extensions d'intégrer les fonctionnalités RGPD, et au final faire bénéficier les utilisateurs d'un site 100% conforme.
Le RGPD est donc un domaine où Joomla évolue fortement et sur lequel les éditeurs d'extensions sont incités à s'impliquer.