Le nouveau règlement européen sur la protection des données personnelles (RGPD) modifie de façon profonde la façon dont sont traitées les informations transmises par les utilisateurs des sites. Depuis toujours, Joomla! permet l'enregistrement aisé de "membres", que ce soit pour avoir accès à une partie privée du site, pour recevoir une newsletter, pour participer à un forum ou, de manière en général plus complète, pour faire des achats en ligne.

Mais le RGPD introduit de nouveaux droits accordés aux utilisateurs (droit d'accès, droit à la portabilité, droit à la rectification et droit à l'oubli) ainsi que des devoirs aux propriétaires des sites (preuve du consentement, sécurité des données).

Voyons comment Fabrik peut nous aider à satisfaire aux critères du RGPD.

La sécurité des données informatiques repose sur trois grands principes :

Premier principe : la confidentialité

Seules les personnes autorisées ont accès aux données qui leur sont réservées.

Dans la pratique, cela consiste le plus souvent à protéger l'accès aux données sensibles (administration du site, accès au serveur, accès aux comptes email,...) par une combinaison de nom d'utilisateur et de mot de passe. Ce dernier doit être fort, c'est-à-dire impossible à deviner et unique pour chaque accès. De plus il devrait être changé fréquemment. Aujourd'hui, avec la multiplication des comptes et services, cela devient de plus en plus difficile sans un gestionnaire de mots de passe.

Mais la confidentialité implique aussi la mise en oeuvre d'une autre règle de sécurité, celle du moindre privilège : si un utilisateur n'est responsable que de la mise à jour des articles, il n'est pas nécessaire de lui donner un accès complet à toute l'administration du site. C'est ce qu'on appelle la gestion des niveaux d'accès (ACL en anglais). Dans Joomla!®, vous pouvez gérer l'accès des utilisateurs de manière très précise.

S'il y a deux composants indispensables à tout site Joomla!®, il s'agit bien d'Akeeba Backup et d'Admin Tools, de préférence dans leurs versions professionnelles. Rappelons à ce propos que la version gratuite d'Admin Tools n'est PAS une extension de sécurité : elle permet d'exécuter quelques tâches utiles dans l'administration du site mais ne le protègera pas contre les attaques extérieures, via un WAF (Web Application Firewall - Pare-feu d'Application Web) et un fichier .htaccess, comme le fait la version Pro.

Ces deux extensions, incluses dans notre offre d'hébergement spécialisé pour Joomla! et installées d'office sur les sites de tous nos clients, viennent de bénéficier d'une toute nouvelle interface, dans le style "flat design" qui est la tendance actuelle sur la toile. Ceci est probablement réalisé en prévision de l'intégration avec la future interface de Joomla! 4.

Je suis un professionnel de l'Internet. A ce titre, je visite beaucoup de sites pour me tenir au courant des nouvelles tendances de design, pour des recherches sur des produits ou pour prospecter de nouveaux clients. C'est en me livrant à cette dernière activité que je suis tombé sur le site d'un commerçant de mon département. Et j'ai tout de suite pu constater que son site était victime d'un piratage : dès que vous arrivez sur le site, vous êtes redirigé vers un autre domaine avec une extension .tk. Cette extension concerne les domaines situés aux îles Tokelau, un archipel de l'Océan Indien sous souveraineté de la Nouvelle-Zélande ! Pas grand chose à voir avec mon commerçant nîmois.

Il s'agit d'un cas classique de hameçonnage (peut-être plus connu sous le nom de phishing) : sur la page vers laquelle vous êtes redirigé, un message vous indique que votre ordinateur est infecté et que vous devez appeler d'urgence un numéro de téléphone pour le débloquer ou cliquer sur un gros bouton vert portant le label "Retour vers la sécurité".

Inutile de vous dire que quand vous rencontrez ce genre de message, il ne faut surtout pas cliquer sur le bouton, ni appeler le numéro de téléphone ! Mais alors que faire ?

Le 27 avril 2016, le Parlement européen a voté une nouvelle directive appelée Règlement général de la Protection des Données (RGPD). Elle impose des procédures très précises, et parfois contraignantes, à tous ceux qui collectent, stockent et utilisent des données personnelles des personnes physiques citoyennes de l'EEE (l'Espace économique européen).

Dans la phrase qui précède, tous les termes sont importants : 

  • la réglementation concerne toutes les organisations (sociétés, associations, indépendants, collectivités, …), peu importe leur taille
  • elle touche tous les aspects de la gestion des informations
  • elle concerne toutes les données à caractère personnel, pas seulement celles dites "sensibles"
  • elle s'applique aux personnes physiques, les données des entreprises ne sont pas concernées. Notez cependant qu'il s'agit autant des données internes à l'organisation (celles de ses employés ou collaborateurs) que des externes(celles de ses prospects et clients).
  • elle s'applique aux données des résidents européens : une société non-européenne traitant des données de ressortissants de l'UE est concernée, pas une société européenne qui traiterait exclusivement des données de citoyens résidant hors de l'Union. Notez également qu'on parle bien de personnes résidant sur le territoire européen, pas de citoyens, donc cela concerne aussi la façon dont vous traitez les informations de touristes chinois de passage dans votre établissement du fin fond de la Corrèze.
  • il s'agit bien de l'Espace économique européen, pas de l'UE. L'EEE comprend, outre les états membres de l'Union européenne, l'Islande, le Lichtenstein et la Norvège.

Comme vous le pressentez, tout va être dans les nuances, les détails et surtout le contexte. Nous avons essayé de déblayer au mieux le terrain pour que vous puissiez faire les adaptations nécessaires. Toutefois, nous ne prétendons pas couvrir toutes les situations possibles. En cas de doute, nous vous recommandons de prendre contact avec votre conseil juridique pour des éclaircissements.

Un client, qui administre deux sites, nous a soumis un cas intéressant : depuis quelques mois, il constate une chute spectaculaire des statistiques de référencement entre ses deux sites : les liens fonctionnent correctement mais Google Analytics ne semble plus en mesure de comptabiliser l'un ou l'autre site comme origine du clic. Le phénomène n'a pas été constaté avec d'autres sites référents.

Après quelques recherches, nous avons pu percer le mystère !

Pendant plusieurs années, une des faiblesses principales du CMS Joomla!® a été la Gestion des Droits d'Accès (ACL en anglais). Ayant uniquement trois niveaux d'accès, non modifiables, elle était trop rudimentaire pour répondre aux besoins d'un site professionnel. Par conséquent, des extensions tierces étaient nécessaires.

Heureusement, depuis la version 1.6, un sytème ACL complet est inclus nativement dans Joomla!. Mais avec la puissance, est venue aussi la complexité. La configuration des droits d'accès n'est pas une opération à entreprendre à la légère; une solide réflexion sur l'organisation de la gestion du site et une bonne planification des tâches sont indispensables avant de démarrer.

Nous n'entrons pas ici dans tous les détails de la gestion des droits d'accès, mais nous présentons seulement un exemple concret que vous rencontrerez sans doute, si plusieurs personnes doivent intervenir dans la gestion du site.

Récemment, le blog de Sucuri a publié un article sur les possibles utilisations malveillantes du manager de balises de Google. C'est une occasion de rappeler, une fois de plus, que la sécurité doit rester votre priorité, particulièrement lorsque vous utilisez des outils aussi puissants dans un site Joomla!®, ou n'importe quel autre CMS.

Qu'est-ce que le Google Tag Manager ?

Si (presque) tout le monde connaît Google Analytics, l'outil d'analyse de traffic Internet de Google, beaucoup de propriétaires de sites n'ont pas entendu parler de ce gestionnaire de balises. Le Google Tag Manager est un outil gratuit qui permet aux gestionnaires d'insérer (assez) facilement une multitude de balises sur les pages de leurs sites.

En effet, si vous voulez en même temps :

  • étudier le comportement des visiteurs avec une (ou plusieurs) solution analytique
  • gérer des campagnes de remarketing
  • suivre les résultats de vos campagnes publicitaires Facebook, ou d'autres réseaux sociaux
  • comptabiliser les événements se déroulant sur votre site, tels que les clics sur certains boutons ou sur le lien vers un numéro de téléphone
  • ajouter un service de chat en direct, comme Zopim par exemple,
  • ...

vous devez chaque fois insérer un script sur la ou les pages correspondantes, ce qui peut rapidement s'avérer fastidieux ou très compliqué.

Avec le gestionnaire de balises, vous avez une seule ligne de code à insérer dans votre template, tout le reste est configuré au sein du gestionnaire, par vous-même ou par un administrateur que vous désignez et qui n'aura pas besoin d'avoir accès à votre site.

Nous suivre

Newsletter

Lisez nos derniers articles et profitez d'annonces spéciales.
Je comprends qu’en m’abonnant, je choisis explicitement de recevoir la newsletter et que je peux facilement et à tout moment me désabonner.
Better Web - Agence Joomla!

BETTER WEB
Téléphone : +33 6 34 10 80 69
Email : info@betterweb.fr

Administrateur Joomla! 3 certifié

Le nom Joomla!® est utilisé sous licence limitée d'Open Source Matters, le propriétaire mondial de la marque de commerce. Better Web n'est ni affilié ni soutenu par Open Source Matters ou le projet Joomla.