Site web conforme à la DSGVO : les plugins WordPress

Publié le : 21 octobre 20208 mins de lecture

Il existe un grand nombre de plugins WordPress – gratuits ou payants – qui soit stockent des données personnelles dans une base de données (l’adresse IP suffit), soit les envoient à des serveurs externes Certains de ces plugins peuvent être désactivés en ajustant les paramètres de sauvegarde ou d’envoi des données, d’autres non, ce qui signifie : vous supprimez ce plugin et/ou recherchez une alternative conforme aux lois sur la protection des données.

Attention, cet article parle des plugins WordPress et de leur frénésie de collecte de données, qui ne respecte généralement pas les exigences du Règlement général sur la protection des données (DSGVO), et ne donne donc pas un avis personnel. Il ne s’agit également pas d’un avis juridique et si vous avez besoin d’une aide concrète pour la mise en œuvre du DSGVO sur votre site web, vous pouvez consulter un avocat.

Quels plugins sont sûrs ?

Ces quelques plugins proposés sont notamment très populaires auprès de la plupart des blogueurs et donc fréquemment utilisés. Ils ne devraient donc pas poser de problèmes au regard des lois sur la protection des données, mais il n’existe pas de garanties à 100 %.

  • Plugins pour l’optimisation des moteurs de recherche

Un plugin comme Yoast SEO est sûr selon son développeur, car il ne stocke aucune donnée personnelle. Et All in One SEO Pack est censé être absolument sûr.

  • Plugins de statistiques

Google Analytics en combinaison avec des plugins appropriés – par exemple Google Analytics pour WordPress de MonsterInsights – est sécurisé avec quelques ajustements tels que la signature d’un contrat et l’anonymisation des IP, mais ceux qui veulent s’en abstenir peuvent utiliser le plugin Statify par exemple. Selon les développeurs, il ne stocke aucune donnée personnelle.

  • Plugins pour les médias sociaux

Il vaut mieux ne pas utiliser les plugins officiels populaires pour certaines parties du contenu des médias sociaux, car ils collectent des données avant le premier clic. Il est recommandé d’utiliser Shariff Wrapper plutôt que les plugins officiels, car ils collectent des données avant le premier clic. Pour les règles anti-pourriel, il est conseillé de supprimer les cochements « Prendre en compte la base de données publique sur les pourriels » et « Bloquer les commentaires de certains pays », car ces deux fonctions accèdent à des serveurs externes.

  • Plugins de formulaire de contact

Le populaire plugin de formulaire de contact Formulaire 7 présente de nombreuses fonctionnalités intéressantes pour tous types d’utilisateurs. Pour intégrer l’avis de consentement dans le formulaire, l’installation du plugin WP GDPR Compliance est nécessaire.

  • Plugins de sécurité

Pour voir si quelqu’un essaie de se connecter à un site, l’installation plugin de sécurité tel Limit Login Attempts est indispensable. Toutefois, il stocke les adresses IP des personnes qui tentent illégalement d’accéder à la zone interne du site. Si l’utilisateur souhaite continuer à utiliser le plugin, ce dernier doit écrire une note dans la politique de confidentialité.

  • Backup-Plugins

Pour les sauvegardes ou les sauvegardes des sites web, vous pouvez utiliser BackWPup et Updraft. Ces plugins collectent des données personnelles si le site web ou le blog en collecte, par exemple dans les commentaires. Pour que les sauvegardes soient conformes aux données, vous ne devriez pas pouvoir récupérer de données personnelles sur le site.

  • Plugins de cache

Parmi les nombreux plugins de cache populaires, WP SuperCache est classé comme conforme à DSGVO.

  • Plugins d’enquête

Les sondages WP devraient être réglés sur « Ne pas se connecter aux options de la méthode de journalisation des sondages ». Toutefois, cette désactivation pourrait permettre des sondages multiples.

Quels plugins ne sont pas sûrs ?

Les plugins les plus critiques sont probablement ceux des médias sociaux qui sont mis à la disposition des utilisateurs par des réseaux comme Facebook. Ils transfèrent déjà des données au fournisseur de services si vous ne faites que visiter le site web et que vous n’avez pas encore effectué d’action sur les médias sociaux comme le partage ou la comparaison.

Mais les autres plugins de partage qui utilisent les boutons originaux des réseaux individuels ne doivent pas être utilisés non plus.

  • Un autre plugin problématique est Jetpack, qui transfère certaines données à WordPress.com, comme les adresses électroniques des utilisateurs enregistrés, les commentaires, etc. Les données exactes qui sont collectées et stockées se trouvent dans le support Jetpack. Le plugin est censé être conforme au DSGVO dans la nouvelle version.
  • Le plugin anti-spam Akismet envoie également des données à des serveurs externes, je le supprime donc directement lorsque je crée un nouveau site web avec WordPress. Une alternative est l’Anti-Spam-Bee mentionné ci-dessus.

Ces plugins ont été considérés comme peu sûrs pendant des années et ont donc été sur la « liste noire » pendant un certain temps.

Le problème pour la plupart des utilisateurs de WordPress est probablement de trouver quels plugins peuvent être utilisés sans risque et lesquels ne le peuvent pas, car après tout il n’y a pas d’indice interne si et si oui, quelles données le plugin respectif collecte et stocke.

C’est un risque que vous devez prendre, mais sans prendre ce risque, vous seriez sûrement plus inquiet. Le DSGVO est une bonne occasion de réduire le nombre de plugins utilisés dans vos installations et de vous informer dans les nombreux articles de blog qui ont créé des listes de plugins sûrs et dangereux et de rester à jour sur ce sujet.

Désactiver les polices de Google et les émojis sur un blog

En plus des plugins, il existe des polices de Google et des émojis qui sont chargés en externe et qui collectent donc également des données. Si vous souhaitez supprimer ces éléments de votre blog ou site web, vous pouvez le faire avec le plugin Autoptimize dans l’onglet Extras (supprimer les émois, supprimer les polices Google).

Il peut cependant arriver que le plugin ne fonctionne pas correctement avec tous les thèmes WordPress. Dans ce cas, les alternatives Disable Emojis et Disable Embeds.

Dans de nombreux thèmes, les polices Google peuvent être remplacées par les polices standard habituelles Arial, Tahoma, Helvetica etc. dans les paramètres du thème.

Supprimer les IP des commentaires

Si vous ne voulez plus sauvegarder les IP des utilisateurs qui font des commentaires, parce qu’elles appartiennent aux données personnelles, vous pouvez le faire avec le plugin Remove IP. La suppression des IP déjà sauvegardés dans les anciens commentaires n’est pas effectuée. Pour éviter que ce code ne soit constamment supprimé lors des mises à jour, l’utilisation d’un thème enfant peut être avantageuse.

Les vidéos intégrées de YouTube sont généralement insérées dans le site ou le blog avec le code intégré. Cela n’est pas non plus conforme aux nouvelles directives en matière de protection des données, car une connexion de données est déjà établie lorsque la page dans laquelle une vidéo est intégrée est appelée. Avec le plugin Embed Videos and respect Privacy, les données ne sont transférées que lorsque l’on clique sur le bouton Play.

Le fait que vous deviez maintenant vous demander si les plugins sont conformes ou non à la réglementation sur la protection des données vous prive du plaisir de rechercher et d’installer d’autres extensions fonctionnelles utiles pour votre blog.

Quiconque veut utiliser des plugins qui collectent des données personnelles même après l’entrée en vigueur de la nouvelle DSGVO, doit se rappeler d’étendre sa politique de confidentialité avec des notes appropriées. Cette étape importante peut être rapidement oubliée.

Plan du site