Je me posais une petite question et j’aurais aimé avoir votre retour. Dans le cadre d’une association, on est entrain de plancher sur les mentions légales (le président et entrain de gérer le truc avec l’avocat).
Mais je me posais une question, en tant qu’utilisateur de Wordpress pour notre site internet, comme l’on auto-héberge le site, est ce que l’on doit activer une bannière pour les cookies ?
Parce que c’est moi qui nous ai bricoler notre YunoHost, et donc je n’ai pas sciemment mis des cookies (bon à part pour les réunions du bureau mais ceux là sont digéré et non numérique ^^).
Du coup, il y a t’il quand même des cookies lorsqu’on utilise un wordpress autohébergé ? J’imagine que oui, en provenance des thèmes et extension pour qu’il aient des stats d’utilisations ?
Vous déposez des cookies non-nécessaires au fonctionnement du site, par exemple pour de la pub ?
Non ? Alors pas besoin de bandeau de cookie.
Les cookies essentiels au fonctionnement du site, on ne peut pas les refuser, et il n’y a pas besoin d’en faire un bandeau d’information.
Seuls les cookies supplémentaires (je me retiens de dire inutiles…) doivent faire l’objet d’un consentement libre et éclairé (bandeau de cookie, etc).
D’accord, merci je pensais que c’était obligatoire pour tout les cookies, je pensais pas qu’il y avait une distinction.
Mais les extensions que j’utilise ne risque pas d’en ajouter sans mon consentement et ainsi rendre le bandeau obligatoire ?
La distinction est facile à résumer au quotidien : si on me demande de valider des cookies, c’est qu’on veut faire un truc qui n’est pas utile au fonctionnement du site (dit autrement, en général: me pister/vendre de la pub)
J’imagine que ça dépend de l’extension et de son rôle et mode de fonctionnement.
Si c’est une extension de statistiques par exemple, tout en local, utilisant des cookies (c’est pas dit), je ne sais pas trop.
Certaines ont maintenant une option “compatibilité RGPD”.
Déjà le terme de cookies est impropre vis à vis du RGPD. Le RGPD concerne tous les moyens de suivis des utilisateurices.
A partir de là, un thème wordpress qui, par exemple, utilise un CDN et qui ne règle pas correctement le Referer envoie (potentiellement involontairement) la liste des pages consultées à ce CDN d’un point de vue technique. Hors du point de vue RGPD, ce n’est pas censé arrivé car ce comportement n’est pas nécessaire au fonctionnement du site (principe de minimisation). Sans compter que c’est de l’envoie de données hors UE.
Donc la conclusion, c’est qu’à moins de demander le consentement (et dans ce cas identifier les entités en jeu), il faut nettoyer le thème pour éviter les fuites de données, car la responsabilité de la sécurité des données personnelles revient au responsable de traitement du site.
Pour terminer, je dirais que si déjà les gros sites respectais le RGPD au lieu de faire semblant ce serait déjà bien. Je veux dire que ton site associatif est vraiment une goutte d’eau face à la réalité de ce qu’il se passe avec les gros sites web.
Du coup le conseiller de l’asso nous conseille de mettre quand même un bandeau au cas ou pour éviter d’être embêter. J’ai l’impression qu’il maitrise moins le sujet que vous ^^.
Je vais mettre le bandeau je pense car je n’ai pas les connaissances pour cette histoire de nettoyage de thème et d’identification.
Merci pour les réponses qui étaient riches d’informations, je vais quand même tenter de creuser ces différentes pistes de sécurisation.
