Voilà deux choses dont on parle de plus en plus : le RGPD et la loi de finance sur la TVA. Loin d’être des mesurettes, ces deux nouvelles législations vont avoir un impact très important sur la façon dont nous concevons un site Internet. Mais les sites existants sont également concernés.
La loi de finances 2018 et le RGPD sont deux sujets qui font énormément parler d’eux, et plus particulièrement le RGPD (ou règlement général sur la protection des données). Si ces deux nouvelles législations n’ont pas forcément de lien l’une avec l’autre, elles influencent toutes les deux la façon dont les prestataires web vont concevoir des sites Internet. Elles ont également un impact sur les nouvelles obligations légales des propriétaires de site. Mais comme toute nouvelle loi, il n’est pas toujours aisé de s’y retrouver. Alors qui est concerné ? Qu’est-ce que cette législation va imposer à un site Internet ? Quelles sont ces obligations et quels sont les risques encourus si on ne se met pas dans les clous ? On va donc commencer par le RGPD, puis on abordera la loi de finances 2018 sur la TVA. Et si cet article se focalise parfois sur WordPress, ce qui est avancé ici vaut pour la plupart des sites Internet, de façon générale.
1. Le règlement général sur la protection des données (RGPD)
Cette nouvelle législation est une réglementation européenne au sujet de la protection des données personnelles. Adoptée par le Parlement européen, elle va entrer en vigueur le 25 Mai 2018 et les entreprises auront un peu de temps devant elles pour se mettre dans les règles. L’objectif de cette réglementation est de mieux protéger les personnes en leur permettant d’avoir une meilleure maîtrise de leurs données personnelles, sans que cela n’affecte la possibilité d’accéder à un service. On parle donc bien de l’usage qui est fait des données. La grosse différence avec certaines lois, dont l’application est parfois peu suivie, c’est que les autorités mettront les moyens qu’il faut afin de s’assurer l’application du RGPD.
1.1 Avantages
Le point positif, c’est une harmonisation des pratiques en matière de gestion des données personnelles à l’échelle européenne. Ce qui posait problème jusque là, c’est que parfois on ne disposait de peu, voir d’aucun moyen de pression pour faire corriger ou supprimer ses données personnelles sur des sites étrangers. On était également dans le flou sur l’usage qui était parfois de nos informations.
Autre point positif : le règlement, qui va donc permettre aux utilisateurs de mieux maîtriser leurs données, s’adresse à toute entreprise hors Union Européenne (UE) qui traite des données relatives aux activités des organisations de l’UE. Ces mêmes sociétés sont également soumises à cette réglementation dès que des résidents de l’UE sont concernés.
Parmi ces obligations, on retrouve le fait de demander un consentement explicite aux personnes fournissant leurs données personnelles, le droit à l’effacement des données (différent du droit à l’oubli) ou encore la portabilité des données. Le profilage des personnes (comme le propose par exemple Google Analytics) devra également faire l’objet d’un consentement de la part de l’internaute. Pour ma part, je considère que ce dernier point devrait plutôt être géré directement par les navigateurs que par les concepteurs de site, mais c’est un autre débat.
Enfin, les entreprises auront également une obligation de sécurisation du service web qu’elles proposent. La normalisation du SSL (URL en HTTPS) est une bonne chose qui va dans ce sens. Et si pour ma part je sécurise toujours mes installations WordPress, sans quoi ce dernier est une vraie passoire, ce n’est pas le cas de nombreux prestataires.
1.2 Qui est concerné ?
Cette nouvelle législation concerne toute personne, entreprise ou organisation, qui serait amenée à collecter ou traiter des données personnelles de résidents de l’UE. Ainsi, que vous ayez collecté des adresses e-mails pour vos campagnes d’e-mailing, que vous disposiez d’un site e-commerce, ou que vous animiez un blog professionnel ayant une section commentaire (liste non exhaustive) : vous êtes concernés. Et si vous êtes une entreprise, ça marche aussi pour les données relatives à vos employés. Bref, comme le dirait Guenièvre dans Kaamelott : on est pas sorti du sable.
1.3 Responsabilité des prestataires
En tant que prestataires, on pourrait penser que nous ne sommes pas concernés. Et bien pas de bol : on l’est quand même. Car ce règlement impose plusieurs obligations aux prestataires web qui sont en charge de la création du site Internet. L’article 28 de cette législation impose que le contrat entre un client et son prestataire précise plusieurs obligations. Pour ma part, cela va se traduire par la mise à jour prochaine de mes conditions générales de vente.
Quelles sont ces obligations ? Tout d’abord, le prestataire s’engage à ne traiter les données personnelles « que sur instruction documentée du responsable du traitement » et à garantir la confidentialité de ces données. Jusque là, rien de bien surprenant.
Mais il doit aussi « prendre toutes les mesures requises « pour la sécurité du traitement. Et c’est là que ça se corse, puisque cette notion de sécurité n’est pas précisée par le RGPD. Nous pouvons simplement en conclure que le prestataire a le devoir de faire en sorte que ces données ne soient pas accessibles à un tiers pour être détournées. Si le règlement ne précise pas les mesures à mettre en place, le prestataire pourra aussi s’en remettre aux instructions du responsable de traitement de l’entreprise cliente.
Enfin, le prestataire doit s’engager à permettre la réalisation d’audits et apporter des preuves du consentement, ce qui est assez logique en soi. Ne nous le cachons pas, tout ce travail supplémentaire va par la même augmenter le prix des devis pour la conception de futurs sites Internet.
1.4 Les risques
On pourrait très bien faire l’autruche et ne pas broncher en espérant que notre cas passe à l’as. Après tout, ce n’est qu’un petit site e-commerce, un petit blog dans votre coin, vous traitez peu de données, etc. Mais la concurrence étant ce qu’elle est, un petit mot bien placé (ce qui s’est déjà vu) de quelqu’un aux idées mal placées pourrait coûter cher : 2% à 4% du chiffre d’affaires annuel du concerné mis en cause. Dans la limite de 20 millions d’euros pour les cas les plus graves. Bref, c’est loin d’être une broutille et beaucoup plus facilement réalisable que ces amendes sans queue ni tête auxquelles le droit français nous a habitués jusque là.
1.5 Quel impact sur votre WordPress ?
Les mesures à prendre sont nombreuses. Et si elles ne sont pas forcément compliquées à mettre en place, leurs effets demanderont parfois de changer sa tactique d’approche, tant de l’utilisateur que de la communication. Par exemple :
- Avec ou sans WordPress vous devez nommer, en interne ou en externe, un DPO (Délégué à la Protection des Données). Celui-ci sera en charge de gérer le registre interne de traitement des données, qui est également une autre obligation. Attention ! N’allez pas confier cette tâche à quelqu’un qui ne pige rien ou qui est éloigné du sujet. Terminé le bricolage, là c’est du sérieux.
- Avoir une politique de confidentialité claire comme de l’eau de roche : en gros, il faut y expliquer très clairement ce que vous collectez, ce que vous en faites, où vous le stockez et quelles mesures de sécurité ont été mises en place.
- Même punition pour vos conditions générales de ventes, surtout si vous faites du e-commerce.
- Conséquence du point précédent, c’est qu’à chaque fois qu’une donnée est collectée, votre site doit faire un renvoi à la politique de confidentialité et doit demander le consentement éclairé de l’internaute. Ca passe, par exemple, par l’ajout d’une case à cocher (et non d’un simple message d’avertissement) à chaque formulaire de contact ou d’inscription au site. D’un point de vue marketing, cette mesure risque de considérablement réduire les taux de transformation des pages et des appels à actions, puisqu’elle va ajouter une action supplémentaire à faire par l’utilisateur.
- Concernant les formulaires et autres inscriptions, vous ne pouvez plus collecter des données sans rapport avec l’usage final de l’inscription. Cette mesure, si elle s’entend, va malheureusement complexifier énormément l’analyse des usagers et clients d’un site pour pouvoir mieux répondre à leurs besoins.
- Dans la même lignée que le premier point, des CGU (ou conditions générales d’utilisation, quand il est nécessaire d’en avoir) qui soient mises en conformité avec le RGPD.
- Faciliter l’édition ou la suppression des données par les utilisateurs : la plupart des outils de WordPress permettent ça assez facilement. Pour ma part, j’ai toujours recommandé cette pratique pour plusieurs raisons. Mais certains s’en gardaient bien afin de conserver des données qui, pourtant, ne servaient plus à rien à partir du moment où un utilisateur ne veut plus entendre parler d’un site. Pour faire au plus simple, je recommande la création d’un formulaire spécifique dans la page des CGU afin de faciliter des demandes ayant attrait à la suppression ou modification des données.
- Les commentaires WordPress et avis clients, quand il y en a, passent également à la moulinette. Ainsi ne devront-ils plus être postés que par des personnes inscrites et connectées au site et leur consentement devra être demandé à chaque fois. Cette mesure signe clairement la mort des commentaires. Pour ma part, je les ai désactivés depuis longtemps pour d’autres raisons. Mais sur des sites qui voulaient conserver une activité en dehors des réseaux sociaux, cela va poser un vrai problème, malheureusement.
- La sécurité et encore la sécurité : je le redis, WordPress est une passoire et ce ne sont pas des plug-ins de sécurité qui se chargeront seuls du boulot. Bref, appelez votre concepteur web et dites-lui de bien de veiller à sécuriser proprement votre site. Ce n’est pas compliqué à mettre en place pour lui. Idem pour l’usage d’un certificat SSL, protocole qui tend de toutes façon à se généraliser. En cas de fuite de données, vous avez l’obligation de prévenir la CNIL.
- Il existe une exception quant à la demande de consentement : les logs d’erreurs générés par le serveur. Le consentement n’est pas obligatoire, mais les données devront être supprimées au bout d’un an.
- Dernier point noir : les intégrations de vidéos Youtube, TwitterCard, Facebook Comment, Google Map et consort deviennent tout simplement illégales tant que les services derrières collectent des données. Mais compte tenu de l’étendue de ces fonctionnalités, on peut espérer que les géants du web se mettent en conformité afin que ces fonctionnalités puissent être conservées.
- Enfin, cette réglementation est rétroactive : toute personne dont des données ont été collectées devra être informée et pourra bénéficier de cette nouvelle législation. Et là, autant dire qu’on va pouvoir faire un ménage salvateur (ce qui est une bonne chose). Concrètement, ça veut dire que vous devez vous mettre en conformité et prévenir les gens concernés par les données que vous possédez. L’absence de consentement fera figure de refus (et là, autant dire que ça va piquer).
1.6 Pour aller plus loin
La CPME, organisation patronale dont je suis membre, a réalisé un excellent guide pour les entreprises. Celui-ci va bien au-delà de la question du web et couvre l’ensemble des mesures à prendre afin de mettre l’entreprise en conformité. Je me suis d’ailleurs appuyé dessus lors d’une intervention sur Saint-Brieuc à ce sujet. Vous pouvez le télécharger ici.
1.7 En conclusion
Vous le voyez, ce n’est pas une mince affaire. J’ai tenté d’être aussi synthétique que possible, mais le sujet est loin d’être simple à aborder. Si cette législation apporte indéniablement beaucoup de choses aux utilisateurs, force est de constater qu’elle va aussi participer à l’assèchement du web. Par ailleurs, elle va être un vrai casse-tête pour bon nombre d’entreprises afin de se mettre en conformité. Pour les y aider, la CNIL a toutefois également produit ce petit guide sur le sujet (bien que je lui préfère celui de la CPME).
2. La loi de finances 2018
Passons désormais au sujet suivant avec cette autre nouvelle législation. Il s’agit d’une loi qui impacte plusieurs choses, WordPress en fait partie. Chaque nouvelle loi de finances apporte son pesant de changement en matière d’économie et d’entrepreneuriat. En l’occurrence, cette nouvelle mouture entrée en vigueur le 1 Janvier 2018 prévoit de doubler les seuils du chiffre d’affaires du régime de micro-entrepreneur, la baisse de l’impôt sur les sociétés et quelques autres joyeusetés. Je vous passe alors les détails, votre comptable vous en parlera bien mieux que moi. Concentrons-nous sur WordPress.
Parmi certaines dispositions, il y en a une qui doit retenir notre attention :
Utilisation d’un logiciel de caisse certifié obligatoire au 1er janvier 2018 pour les commerçants. Dans le cadre de la lutte contre la fraude fiscale, les professionnels doivent utiliser uniquement des systèmes de caisse certifiés, dont les données ne pourront pas être altérées. Seuls les logiciels et systèmes de caisse, principaux vecteurs des fraudes constatées à la TVA, sont concernés par la mesure – Article 105 de la loi de finances pour 2018, modifiant l’article 286 du code général des impôts. (Source)
Cette disposition a pour but de lutter contre la fraude. Tandis que 97 milliards s’enfuient chaque année dans les paradis fiscaux, on continue de traquer le moindre euro d’erreur chez le chef d’entreprise. Cherchez l’erreur… Mais la loi étant ce qu’elle est, il faut bien rentrer dans le rang.
2.1 Qui est concerné ?
Cette nouvelle législation concerne toute personne, entreprise ou organisation, qui dispose d’un site e-commerce et est soumis à la TVA. Même le particulier vendant ses bibelots sur le Bon Coin est concerné. Micro-entrepreneurs, passez votre chemin, vous êtes saufs. Si en revanche vous êtes concernés par la TVA, alors ce qui suit vous concerne directement. Jusque là, vous vous demandez sûrement le lien entre cette loi et votre site e-commerce… Et bien c’est tout simplement parque WooCommerce, Prestashop et touti quanti sont désormais considérés comme des logiciels de caisse.
Oui, vous avez bien lu. Et c’est totalement débile, on est bien d’accord.
2.2 Pourquoi ça pose problème ?
Les logiciels de caisse certifiés devront garantir l’inaltérabilité des données, comme vous avez pu le lire. Sauf que WordPress et WooCommerce sont des outils Open Source, dont le code est accessible. Ainsi, il vous est tout à fait possible de modifier le contenu de votre base de données. Jusque là ça ne posait pas de problème, puisque l’usage d’un logiciel de caisse en parallèle à un site e-commerce était une pratique courante. Mais la nouvelle loi assimilant les outils e-commerce à des logiciels de caisse, ils sont donc soumis aux mêmes obligations que ces derniers.
Ce principe de certification veut aussi dire que si quelque chose modifie le fonctionnement de WooCommerce, ce quelque chose devra être certifié lui aussi. On comprend alors que tous les modules complémentaires et thèmes graphiques compatibles avec la législation ne seront pas légions et les petits sites e-commerces vont être de plus en plus nombreux à se ressembler.
Certifier son outil d’e-commerce signifie certifier tout le site, l’ensemble de son installation, avec tous les modules qui le composent. Chaque mise à jour apportant son lot de modifications, l’outil est donc à certifier à nouveau. Et c’est là que ça devient ironique : si on décide de faire moins souvent les mises à jour par commodité, on ne respecte alors plus le RGPD qui nous force à faire le maximum pour que nos données et celles de nos clients (que nous collectons) soient sécurisées. Ces deux nouvelles législations rendent le sujet du e-commerce assez compliqué à gérer.
Pire encore : en tant que prestataire, comme pour le RGPD, nous pouvons également être considérés comme responsables si jamais les conclusions d’un contrôle s’avéraient négatives. La bonne nouvelle, c’est que ça va faire la chasse à tous ces charlatans qui pourrissent la conception web depuis longtemps, faisant du mauvais travail et cassant les prix.
2.3 Quelles solutions existent-il ?
Pour le moment, malheureusement aucune. Le mieux que vous puissiez faire, c’est d’utiliser un vrai logiciel de caisse certifié dès que vous faites du e-commerce. La bonne nouvelle, c’est qu’Automatic, la société qui édite WordPress, planche officiellement sur la question depuis un moment et va apporter une solution certifiée d’ici cet été. Cette dernière passera par l’ajout d’un module complémentaire qui permettra de sauvegarder les données sur un serveur, afin que celles-ci ne puissent être altérées. C’est sur ces données que reposera alors un éventuel contrôle. Mais cette solution ne concerne que WordPress et WooCommerce, pas les éléments additionnels pouvant altérer le fonctionnement de WooCommerce.
Sachant cela, j’envisage pour ma part la préparation d’un pack global WordPress, spécialement destiné au e-commerce et que je compte faire certifier. Si entrer dans le processus de certification représente une certaine charge administrative et me coûtera quelques centaines d’euros, ça me permettra en revanche de pouvoir proposer un outil mettant mes clients en accord avec la législation. De quoi faire la différence sur un secteur comme Saint-Brieuc et les Côtes d’Armor (petit placement de mots clés au passage).
Enfin, une autre bonne nouvelle, parce qu’il y en a une : l’État est tout à fait conscient du problème et qu’une transition d’envergure comme celle-ci sera très longue. La France c’est quand même près de 200 000 sites e-commerce. Autant de sites dont les activités sont sur la sellette et qui doivent vérifier si leur outil est bien certifié et pallier le problème, le cas échéant. Il n’y aura aucune répression avant 2019.
3. Des maux pour un bien
Comme vous le voyez, 2018 signe l’arrivée d’un très gros chantier, tant pour les concepteurs de site que pour ceux qui disposent déjà d’un site Internet. S’il y a du pour et du contre dans les deux cas, cela va surtout nous demander encore plus de pédagogie afin de faire comprendre à nos clients pourquoi cela va coûter plus cher. À l’arrivée, c’est un assèchement du web, mais aussi la fin du charlatanisme et autres créateurs de sites à la sauvette ou à l’ancienne. Ces sujets faisant peur, peut-être souffrirons-nous d’une légère baisse de commandes au début, mais gageons que c’est pour en avoir davantage ensuite et proposer enfin à nos clients les outils à la hauteur de leurs ambitions.