WordPress 4.9.6 et la conformité RGPD

Le nouveau Règlement Général pour la Protection des Données est plus connu sous l’acronyme RGPD – ou en anglais GDPR (General Data Protection Regulation) – est l’un des mots-clés de 2018 pour les acteurs du web. Avec Gutenberg bien entendu (si vous voulez consulter notre série d’articles à ce sujet, c’est par ici), mais il est ici question du web en général et pas uniquement de WordPress.

À l’heure où j’ai écrit ces lignes, la béta de la prochaine version mineure de WordPress était en train d’être construite par l’équipe Core. Elle est maintenant disponible ici. En tant que co-directeur de la version précédente du CMS et contributeur de la team Core WordPress, je me suis impliqué dans le travail mené sur la GDPR en contribuant à quelques éléments de cette nouvelle version. Egalement co-responsable de la traduction de WordPress en français, j’ai aussi eu l’occasion de traduire ces nouvelles fonctionnalités en français.

Je propose donc dans cet article de faire un topo éclairé sur la prise en charge de la réglementation sur la protection des données par le noyau WordPress.

Le RGDP / GDPR et WordPress en quelques mots

Le 25 mai prochain, la réglementation européenne sur la protection des données s’appliquera. En tant que règlement Européen, les décisions concernées sont directement applicables pour tous les pays concernés, supplantant les lois des états de l’Union. Pas le choix, donc 🙂

Les objectifs du RGPD sont d’améliorer la protection des utilisateurs/visiteurs de votre site par un traitement de leurs données à caractère personnel et de vous responsabiliser en tant qu’acteur de ce traitement. Une augmentation du pouvoir des autorités de régulation est prévue afin de vérifier l’application de cette réglementation. Il s’agit donc d’une réglementation harmonisée sur l’ensemble du territoire européen.

Tout repose sur le fait que le consentement de l’utilisateur·ice doit être fait avant toute utilisation de ses données personnelles. Des moyens de revenir sur ce consentement doivent également être prévus et des mesures garantissant son application doivent être mises en place par des moyens vérifiables par les autorités.

Les données personnelles sur WordPress

Nativement, votre site web WordPress stocke de nombreuses données personnelles.

Une donnée personnelle au sens du RGPD, c’est :

  • les noms et prénoms
  • une adresse e-mail
  • un numéro de téléphone
  • une adresse IP
  • un numéro de téléphone
  • une adresse postale
  • une photo
  • tout comportement de navigation rattaché à l’une ou l’autre des données précédentes (par exemple, untel a visité mon site 3 fois avec l’adresse IP X.X.X.X ou unetelle a rempli mon formulaire de contact en me laissant ses informations perso)

Les données privées et WordPress

Comme la plupart des CMS, WordPress stocke de façon native un certain nombre de données :

  • Chez les utilisateurs connectés :
    • Dans le profil utilisateur : toutes les informations de profil, évidemment
    • Dans les sessions des utilisateurs : adresse IP et autres données techniques localisées ou liées à la configuration de chacun
  • Chez les utilisateurs non connectés :
    • Dans les commentaires : nom, prénom, email, site web, adresse IP, etc

De plus votre site WordPress doit impérativement proposer une page détaillant votre politique de confidentialité concernant les données privées des visiteurs.

Ce qui sera intégré dans le Core WordPress en version 4.9.6

Planning de sortie de la version 4.9.6 et du RGPD / GDPR

  • 3 mai 2018 : version béta pour tests fonctionnels et remontée de bugs éventuels.
  • 10 mai 2018 : release candidate pour les ultimes remontées de bugs.
  • 16 mai 2018 : dev chat hebdomadaire réservé au lancement de la suite de la conformité RGPD avec la version 4.9.7 de WordPress !
  • 17 mai 2018 : sortie de WordPress 4.9.6 et lancement des mises à jour automatiques sur 30% du web !

Tout ne sera donc pas livré avec la version 4.9.6, mais quasiment ! L’équipe du cœur WordPress y travaille cependant afin de fournir de façon native la meilleure compatibilité possible pour l’échéance du 25 mai.

Les nouveaux écrans de gestion de votre politique de confidentialité sur WordPress

Avec la version 4.9.6 de WordPress, trois nouveaux écrans font leur arrivée dans le back-office.

Note : dans les captures d’écrans de cet article, c’est une version de WordPress en anglais qui est montrée car ces nouvelles fonctionnalités sont encore en cours de traduction par l’équipe de traduction de WP en français.

La création d’une page concernant la politique de confidentialité de votre site

Visible à tout moment depuis le front-end de votre site, la page détaillant votre politique est obligatoire au même titre que les mentions légales permettant à vos visiteurs de vous identifier en tant que propriétaire du site.

Cette page de politique de confidentialité doit contenir l’ensemble des dispositions s’appliquant à votre installation WordPress :

  • présentation du propriétaire du site
  • comment et pourquoi les données privées de tout ou partie des utilisateurs/visiteurs sont recueillies
  • quel est l’usage de ces données
  • avec quels autres acteurs ces données sont partagées
  • combien de temps ces données sont-elles conservées
  • en tant qu’utilisateur/visiteur, quels sont vos droits sur ces données
  • où ces données sont elles envoyées
  • comment demander la suppression ou la modification de ces données
  • informations de contact du site web (et le cas échéant, redirigeant vers le service de traitement approprié)

Dans WordPress 4.9.6, cela se matérialise sous la forme d’une page contenant un texte prêt à l’emploi, traduit dans chacune des langues dans laquelle WordPress est disponible.

L’écran de création de votre page de politique de confidentialité se trouve dans Réglages > Confidentialité

Réglages confidentialité

Sur cet écran, vous trouverez la possibilité de sélectionner votre page de politique de confidentialité ou de la créer directement :

Page confidentialité

Si votre site est en français, vous n’aurez donc plus qu’à utiliser l’utilitaire de création de votre page de politique de confidentialité, et utiliser les paragraphes qui vous concernent sur cette page ! Une fonctionnalité de développement spécifique permet d’ailleurs aux extensions d’y glisser leurs paragraphes dédiés.

Privacy notice

Vous serez d’ailleurs même directement invité·e à le faire via une infobulle disposée sur le menu de votre back-office après avoir mis à jour votre site.

L’export et la suppression des données privées de vos utilisateurs

Chaque utilisateur ou utilisatrice doit avoir la possibilité de demander la récupération/consultation des données privées stockées sur votre site, et éventuellement leur suppression.

S’il est relativement simple de proposer un formulaire de contact pour cela, il est beaucoup moins évident de récupérer un fichier contenant toutes ces données pour les envoyer au visiteur, et d’être à même d’effectuer leur suppression.

La encore, le cœur WordPress apporte une réponse, en proposant un menu dédié, dans Outils > Export des données personnelles ou Outils > Suppression des données personnelles :

Export Personal Data

Un premier écran vous permet de rechercher un utilisateur sur la base de son adresse email et de lui envoyer ses informations personnelles par email. Un fichier ZIP contenant l’ensemble des informations stockées sur le site lui sera alors envoyé et rendu disponible via un lien périssable automatiquement au bout de trois jours.

Export données personnelles

Un autre écran permet quant à lui de supprimer les données personnelles d’un utilisateur. De la même façon, cela fonctionne tout simplement en recherchant l’adresse email de l’utilisateur.

Les données privées des auteurs de commentaires

Lors de la rédaction de commentaires, les visiteurs de votre site auront maintenant droit à une case à cocher leur demandant s’ils sont d’accord avec la conservation de leurs informations personnelles dans le but de pré-remplir le formulaire de commentaire.

Données commentaires

Ce qui ne sera pas pris en charge par le cœur WordPress : les dépendances applicatives et développements spécifiques

Bien entendu, en ce qui concerne vos extensions (c’est ce que l’on entend par « dépendance applicative »), tout dépendra de ce que vous utilisez.

Les règles ne sont pas les mêmes si vous utilisez des extensions de formulaires, de gestion de newsletters ou (et surtout) une boutique en ligne WooCommerce.

Dans tous les cas, ces fonctionnalités natives de WordPress 4.9.6 (qui seront encore améliorées sur WordPress 4.9.7) sont utilisables par les plugins / extensions pour que leurs éditeurs puissent y incorporer leur actions/filtres spécifiques. Ainsi, WooCommerce va par exemple utiliser les outils d’export et de suppression de données du Core WordPress pour y ajouter la gestion des données personnelles des clients de votre boutique.

Pour résumer, plus qu’offrir quelques écrans permettant à votre site de se conformer au RGPD, le cœur WordPress fournit carrément un panel d’outil prêt à l’emploi pour l’ensemble de l’écosystème.

Rendez-vous le 15 mai pour la sortie de cette nouvelle version !

Quelques ressources sur le RGPD et WordPress

Vous avez aimé ? Partagez !

17 commentaires

    • Merci beaucoup Emmanuel pour ce commentaire très sympa, ça fait plaisir tout à la fois en tant qu’auteur de l’article et contributeur Core !

      On est ravis que cet article ait autant plu !
      Bonne journée,
      Jb

  1. Merci pour ces éléments.
    J’ai bien fait de ne pas me précipiter sur des extensions mal abouties et d’attendre la réponse de l’équipe.
    On verra par la suite comment gérer les plugins tiers. Je suis sure que les “blockbusters” tels WooCommerce vont se mettre rapidement en règle. A voir pour les autres !

  2. Merci beaucoup pour cet article.
    Ben y a du boulot maintenant!

    Bravo pour ce boulot les teams WordPress toujours au top!

  3. Bravo, j’attendais ce genre d’article pour savoir comment mettre mes sites en conformité. Le fait que ce soit inclus dans le core de WP est particulièrement rassurant.

  4. Merci pour cette mise au point sur l’évolution de WordPress !

    Je viens d’installer en localhost la version bêta de WordPress 4.9.6 afin de mieux étudier les divers scénarios qui pourraient être retenus en vue de répondre aux exigences du RGPD.

    Mon constat :

    Sauf erreur de ma part, cette bêta ne semble pas dotée de fonctionnalité de « bandeau » qui invite les visiteurs à acquiescer (ou non) aux diverses conditions d’un site quant à la gestion des données et de leur protection.

    J’ai pour exemple le site de la CNIL (https://www.cnil.fr/fr) qui, d’entrée de jeu, met en œuvre cette fonctionnalité.

    Ma question :

    Est-il planifié de pourvoir WordPress (version 4.9.7 ou autre) avec une telle fonctionnalité ?

    Si non, j’envisagerais alors d’installer la solution appelée « TARTEAUCITRON.JS » qui est justement utilisée sur le site de la CNIL et qui est présentée dans cette page : https://www.cnil.fr/fr/solutions-centralisees-de-recueil-de-consentement-aux-cookies-les-gestionnaires-de-tag

    Merci à l’avance pour tout commentaire !

    • Bonjour Gilles,

      Merci pour ce retour !
      Oui tout à fait ! Cette partie n’est pas prise en charge par le cœur en version 4.9.6 🙂
      L’objectif du premier jeu d’évolutions concernant le RGPD est de mettre en place la gestion des données privées en back-office, afin de permettre aux administrateurs de disposer d’un moyen de récupérer/supprimer/envoyer les données privées de leurs utilisateurs.

      Pour en revenir au bandeau de consentement, il n’est pas dans le jalon 4.9.6 et n’est pas planifié pour 4.9.7, car il est n’est pas dans le scope du core WordPress. C’est du “Plugin territory” comme on dit, c’est à dire que ce n’est pas dans le périmètre du cœur. Il pourrait y être mais je pense que la raison principale pour laquelle il n’y est pas c’est que 1) Il y a sans doute pas mal de variations suivant les États ; 2) Il existe déjà de nombreux plugins pour le mettre en place. Par exemple, celui-ci est traduit à 95% en français et annonce une bonne compatibilité avec la réglementation européenne 🙂

      Sinon, le script proposé par la CNIL est bien et tout à fait utilisable, mais il demande quelques manipulations techniques de base pour pouvoir être intégré au thème (dont la création d’un thème enfant si ce n’est pas déjà le cas, ou bien la création d’une petite extension le contenant), et pour un site multilingue, il faudra faire quelques manips supplémentaires pour charger les textes dans la bonne langue. Rien d’insurmontable, mais un peu de manips techniques à prévoir 😉

      – –

      Merci aussi à Isabelle, Scarlet et Li-An pour leur commentaires !

  5. Bonjour,

    Un grand merci pour ces détails concrets. Je m’apprêtais à mettre les mains dans le cambouis dès aujourd’hui, pour être fin prêt. Je vais attendre le 15 mai. Comme d’habitude, ne pas confondre vitesse et précipitation…

    J’imagine qu’il y aura d’autres précisions de votre part, au rythme des prochaines mises à jour conformes au RGPD.

    Bonne semaine !

    Stéphan

  6. Merci pour l’article complet et rassurant en tant que Webmaster ! Je vais arrêter de cherche des plugin tiers pour la mise en norme RGPD et me servirait en effet du noyau WordPress pour faire les mises à jour.
    Une question cette nouvelle mise à jour intégrera t-elle la nouvelle normalisation d’affichage des cookies ?

    Merci

  7. Merci beaucoup pour cet article très complet qui nous éclaire grandement sur toutes les actions que nous allons avoir à mettre en place avant le 25 mai. Si avec tout ça, plus les commentaires, plus l’excellent article de WP Marmite nous ne savons pas comment faire, c’est à désespérer…
    La marche à suivre est suffisamment explicite pour libérer quelques neurones et conserver tous ses cheveux !
    Super travail et super article. Merci !

  8. Je crois que l’on oublie ici l’essentiel du RGPD. Ce n’est pas seulement l’affichage d’une page web sur des mentions légales édulcorées. La grosse nouveauté est l’opt-in, ce qui veut dire, que l’utilisateur du site doit accepter explicitement la récolte des informations y compris les cookies. S’il n’accepte pas, il ne peut pas continuer sa navigation. Je ne vois rien de tout cela dans la mise à jour 4.9.6. Ca le “cookie notice” classique (par exemple celui de ADFactory) n’est pas conforme au RGPD puisqu’il se base sur l’opt out (on prend une acceptation par défaut)

    • Bonjour Marcus, merci pour ce commentaire,

      > Ce n’est pas seulement l’affichage d’une page web sur des mentions légales édulcorées
      Ça tombe bien car le cœur WP ne fait pas seulement cela 🙂

      Pour ce qui est de l’op-tin et les cookies, cela ne peut pas être pris en charge par le cœur car cela dépend des extensions et développements spécifiques réalisés/installés par le site, de ses dépendances donc. En revanche le cœur doit fournir les moyens de réaliser les actions imposées par la réglementation, à savoir :

      • permettre à l’administrateur du site de récupérer les données individuelles d’un utilisateur et de lui transmettre ou de les supprimer/anonymiser. Actuellement ce n’est pas le cas, ça le sera à partir de 4.9.6 puis 4.9.7.
      • fournir à l’administrateur ainsi qu’aux éditeurs d’extensions une interface unifiée permettant de gérer l’ensemble des données confidentielles et paramétrages spécifiques, sur lesquels les éditeurs pourront se baser pour y apporter leurs éléments spécifiques complémentaires.
      • fournir aux éditeurs d’extensions les moyens de se conformer au RGPD : à travers des hooks et et filtres disposés sur chaque élément clé : notamment l’enregistrement, la transmission, la suppression et l’anonymisation ou la modification de données privées

      Donc pour revenir aux cookies, le cœur ne fournira pas de gestionnaire de cookies opt-in (il ne le faisait pas avant et ne le fera donc pas après) car il ne peut pas connaître à l’avance ce qui est nécessaire en fonction de l’installation WordPress. Mais les cookies ne sont pas le seul point couvert par le RGPD, loin s’en faut, et les utilitaires de bannières « cookie consent » précédents (je n’utilise pas celui que vous citez, je ne peux donc pas en parler plus que cela) sont en tout cas pour certains en train d’évoluer pour apporter cette conformité.

      J’ai d’ailleurs échangé cette semaine avec l’auteur de Tarteaucitron.js (recommandé par la CNIL), qui devrait faire évoluer son extension WP, car les conditions d’utilisation de celle-ci sont peu compatible avec une adoption massive actuellement. A suivre donc !

  9. Bonjour,
    Doit-on avoir une page Mentions Légales et une page Politique de confidentialités ?
    Comment régler le plugin Caldera Forms ?
    Merci

  10. Bonjour et merci pour cette explication et contribution.

    Je trouve ça super que WordPress prenne à bras le corps le problème de conformité à la RGPD et les solutions trouvées me semblent très convaincantes. Mes espoirs les plus optimistes n’allaient pas si loin.

    Par contre, c’est dommage que ça ne soit pas l’occasion de se mettre au même niveau de conformité avec les contraintes légales précédentes. Je pense en particulier aux mentions légales. Leur absence peut avoir des conséquences importantes elles aussi : jusqu’à un an d’emprisonnement, 75 000 € d’amende pour les personnes physiques et 375 000 € pour les personnes morales (source : https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228 ). Du coup, c’est dommage de ne pas prévoir une page qui ferait “Mentions légales et politique de confidentialité”. En tous cas, au niveau du theme twentyseventeen, je n’ai pas trouvé comment renommer le lien qui apparait dans le footer sans utiliser un theme enfant ou une autre technique qui fait taper du code php (ce qui n’est pas très user friendly).

    • Hello,

      @Er.V,
      Les mentions légales et la politique de confidentialité peuvent se trouver sur la même page, mais il sera plus simple de mettre en lien la politique de confidentialité si elle se trouve sur une page à par 🙂

      @Ju_vqal,
      Merci beaucoup !

      @Mathia,
      Tout cela est tout à fait pertinent sauf que pour les mentions légales, il ne s’agit pas d’une problématique que le cœur WordPress peut prendre en charge dans la mesure où les règles sont différentes dans chaque pays du monde. Par exemple, les sanctions et le lien que vous indiquez ne s’appliquent qu’en France 🙂
      En revanche disposer d’une page de politique de confidentialité dépasse le simple cadre du RGPD. D’ailleurs, dans l’administration WordPress, les options de la dernière mise à jour ne s’administrent pas dans une page d’option intitulée «RGPD» mais «Confidentialité» (Privacy en anglais) 😉

  11. Bonjour,
    Merci pour votre réponse @Jb_Audras
    Je trouve que le RGPD concerne surtout les entreprises, on ne sait pas trop comment faire un site d’un particulier, un blog personnel.
    Merci

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *