À l’agence, nous utilisons maintenant depuis plusieurs années Gravity Forms pour créer la plupart des formulaires utilisés sur les sites de nos clients. Et dès lors qu’il est question de formulaires, la question du respect de la législation européenne sur les données privées se pose !
Bonne nouvelle : Gravity Forms intègre tout ce qu’il faut pour réaliser des formulaires conformes.
En revanche, cela demande quelques manipulations.
Pour rappel, concernant les formulaires, le RGPD impose les contraintes suivantes :
- Le consentement doit être donné expressément par la personne remplissant le formulaire.
- Ce consentement doit contenir tous les informations permettant de comprendre ce à quoi l’on consent.
- Ce consentement doit être stocké au même titre que les données du formulaire.
- Le visiteur doit disposer d’un droit de consultation (export) et de suppression de ses données personnelles.
C’est parti pour un petit tour d’horizon des éléments permettant de réaliser des formulaires conformes au Règlement général sur la protection des données.
La gestion du consentement avec Gravity Forms
Depuis la version 2.4, un champ de recueil du consentement est disponible sur Gravity Forms. Ce champ est disponible dans la partie « Champs avancés » de l’outil de création de formulaires. Il est simplement intitulé « RGPD ».
Une fois inséré, vous pourrez donner un libellé à ce champ, à la case à cocher associée, ainsi qu’un description longue permettant de détailler ce à quoi la personne remplissant le formulaire consent.
Pensez bien à cocher la règle « Nécessaire » afin de rendre la case à cocher obligatoire afin de soumettre le formulaire !
Paramétrer les réglages concernant les données personnelles sur Gravity Forms
Une fois votre formulaire créé et enregistré, rendez-vous dans Réglages > Données personnelles.
Sur cet écran, nous allons pouvoir paramétrer notre formulaire afin qu’il soit 100% respectueux de la législation en matière de protection des données personnelles.
Sur cette page de réglages, plusieurs options sont disponibles :
- Stockage des adresses IP : sauf si vous en avez obligatoirement besoin (auquel cas il faudrait le mentionner sur la case à cocher de gestion du consentement), nous conseillons de cocher cette case, afin d’éviter de stocker l’adresse IP de la personne ayant rempli le formulaire. La plupart du temps, vous n’avez aucun besoin d’obtenir cette information.
- Politique de conservation : nous vous conseillons de déplacer les entrées dans la corbeille automatiquement. Une fois cette case cochée, vous pourrez définir manuellement le nombre de jours à partir duquel supprimer ces informations. La plupart du temps, 10 mois de retention sont largement suffisants.
- Activation de l’intégration avec les outils d’export/suppression des données personnelles de WP : il est nécessaire de cocher cette option pour permettre aux outils proposés par le cœur WordPress de fonctionner au cas où l’on vous ferait ce type de demande. Cela peut notamment directement venir du régulateur, à savoir la CNIL
- Champ d’identification : utilisé par WordPress pour générer les exports et pour gérer les demandes de suppression de données privées, ce champ est obligatoire et doit correspondre à un champ de type e-mail déjà présent dans le formulaire. Sans cela, il sera impossible pour Gravity Forms de faire correspondre la demande d’export/suppression de données à des données effectivement présentes en base de données.
- Sélection des champs de données personnelles : parmi tous les champs de votre formulaires, sélectionnez ceux qui concernent des données personnelles et qui sont donc concernés par les demandes d’export et de suppression de données.
Et voilà, votre formulaire Gravity Forms est maintenant conforme au RGPD !
En outre, nous vous conseillons d’installer notre extension GDPR Data Request Form et de la placer dans votre page de mentions légales. Cela permettra à vos visiteurs de générer eux même leur demande d’export ou de suppression de données personnelles, de façon automatisée.
Pour en savoir plus sur cette extension dédiée au RGPD dans WordPress, consultez l’article que nous avions publié pour sa sortie.