Lors d’un article précédent, nous présentions les nouvelles fonctionnalités RGPD de WordPress 4.9.6 .
Nous avions détaillé ce que le noyau WordPress prévoit pour la conformité RGPD, avec sa version 4.9.6. Cette nouvelle version était alors en phase Beta, et elle est maintenant disponible depuis hier jeudi 17 mai.
Bravo à l’équipe en charge de cette nouvelle version, très attendue du fait du délai de conformité RGPD, fixé au 25 mai. Bravo aussi à l’équipe de traduction de WP en français : nous avons mis un point d’honneur a fournir une traduction complète du CMS dès sa sortie !
Mais les fonctionnalités du noyau WordPress ne font qu’apporter une (excellente) base pour permettre aux sites d’être en règle. De nombreuses actions restent à mettre en place, et elles sont différentes pour chaque installation WordPress !
Ce que WordPress prend en charge pour la conformité RGPD
Pour résumer, les principales fonctionnalités RGPD intégrées nativement au cœur WordPress sont les suivantes :
- Consentement à l’enregistrement temporaire des données sur le formulaire de commentaire.
- Aide à la création d’une page de Politique de confidentialité, avec pré-remplissage des différentes sections et fonctions permettant aux développeurs de plugins d’ajouter leurs mentions pré-remplies également.
- Export des données personnelles : lorsque vous recevrez une demande d’export des données privées d’un utilisateur ou d’un visiteur de votre site, vous pourrez réaliser cet export en back-office dans Outils > Export de données personnelles. Il suffit d’y saisir une adresse email pour exporter toutes ces données.
- Suppression de données personnelles : de même que pour l’export, il suffit de saisir une adresse email sur l’écran Outils > Suppression de données personnelles pour exécuter une suppression de toutes les données personnelles liées à un email et stockées sur l’installation WordPress.
Ce sont ces deux dernière fonctionnalités qui m’ont intéressé : WordPress fournit la fonctionnalité d’export et de suppression des données personnelles, mais tout cela est manuel.
Si vous gérez un site avec des centaines/milliers d’utilisateurs (par exemple une boutique en ligne), comment automatiser tout cela avec un formulaire disponible en front-end ?
GDPR Data Request Form – un plugin WordPress d’export et suppression de données personnelles conforme au RGPD
Pour cela, nous avons publié le plugin GDPR Data Request Form . Disponible en anglais comme en français, ce plugin permet d’automatiser les demandes d’export et de suppression des données privées des visiteurs et des utilisateurs.
Cela se présente sous la forme d’un formulaire que vous pouvez placer en widget et/ou un shortcode à placer dans votre contenu, par exemple sur votre page de « Politique de confidentialité ».
Très simple à mettre en place, ce plugin permet d’afficher un formulaire permettant aux visiteurs de demander par eux mêmes la récupération et/ou la suppression de leur données privées. L’intérêt de cela est double :
- Cela vous évite de devoir réaliser ces opérations manuellement en back-office après réception de la requête d’un visiteur par email voire téléphone : c’est automatique.
- Le fait d’afficher une telle fonctionnalité en front dans votre page de Politique de confidentialité vous permet de montrer patte blanche : avec cette fonctionnalité vous montrez à vos visiteurs (et aux autorités de régulation / contrôle) que vous prenez en charge sérieusement les demandes légitimes de vos visiteurs concernant leur données privées 🙂
Le formulaire ne dispose pas de styles CSS pré-définis (sauf les messages d’erreur/succès) et il est par conséquent possible de l’intégrer à n’importe quel thème WordPress ! Très pratique pour les développeurs de thèmes, chaque élément HTML dispose de classes permettant de le mettre en forme comme on le souhaite.
Ce formulaire fonctionne en AJAX pour éviter tout rechargement de page lors de sa soumission, et il est parfaitement sécurisé : les données transmisses sont toutes vérifiées de façon drastique et un captcha question simple est ajouté pour éviter les demandes trop spammy. Un jeton unique (nonce) est aussi utilisé pour éviter toute faille de sécurité sur la soumission AJAX.
Exemple d’intégration du formulaire dans le thème par défaut Twenty Seventeen (ici en anglais mais le plugin est traduit en français à 100%) :
Le process général du plugin est simple et il est à 100% intégré au Core WordPress :
- L’utilisateur/visiteur utilise votre formulaire de demande concernant ses données confidentielles pour obtenir un export ou une suppression.
- Une demande est créée sur l’administration WordPress dans Réglages > Confidentialité.
- Un e-mail est envoyé à l’utilisateur/visiteur pour confirmer la demande.
- La demande est enregistrée comme confirmée sur l’administration WordPress dans Réglages > Confidentialité.
- Les données personnelles sont envoyées par e-mail à l’utilisateur ou au visiteur (en tant que lien de téléchargement valable 3 jours), ou supprimées, suivant le type de demande faite par l’utilisateur.
Voici l’écran natif WP permettant de suivre les demandes d’export réalisée sur le site à l’aide du plugin RGPD :
Voici la forme sous laquelle se présente l’export de données WordPress-RGPD reçu par le visiteur ou l’utilisateur :
Ayant contribué au Core de cette version 4.9.6 de WordPress dédiée au RGPD, l’agence WordPress Whodunit démontre l’importance de faire une veille continue sur les évolutions du noyau WordPress. Ce plugin a été publié un peu avant la sortie officielle de WP 4.9.6, ce qui veut dire qu’il a été développé une semaine avant que les nouvelles fonctionnalités natives ne soient documentées ! Cette capacité à anticiper l’évolution technique de WP est indispensable lorsque l’on s’occupe de la maintenance de sites basés sur une technologie open-source.
Bien entendu notre extension est libre, open-source et téléchargeable gratuitement sur le répertoire WordPress.org 🙂