Retour en arrière : le 25 mai 2018, le Règlement Général pour la Protection des Données (RGPD) entrait en vigueur. De son côté, WordPress sortait le 17 mai sa version 4.9.6, dédiée à l’implémentation de fonctionnalités permettant aux propriétaires de sites de pouvoir facilement procéder à l’export ou à la suppression des données lorsque les usagers le demandent.
Côté Whodunit, forts de notre participation à la mise en place de ces outils dans WordPress, nous vous avions préparé une petite extension visant à automatiser le processus de demande d’export et de suppression de données personnelles depuis votre page de politique de confidentialité, via un petit formulaire permettant aux personnes visitant le site de générer elles-mêmes leur demande.
Une extension qui a séduit un petit public, puisqu’elle est aujourd’hui installée sur plus de 7000 sites WordPress. Cette extension a aussi été citée plusieurs fois afin d’être intégrée directement dans le cœur du CMS. Les discussions sont toujours en cours à ce sujet, mais dans tous les cas elle reste disponible en tant qu’extension libre et 100% gratuite sur le répertoire officiel des extensions WordPress.
Le 12 décembre 2020, nous avons sorti une nouvelle version majeure de cette extension, introduisant une fonctionnalité qui nous a souvent été demandée sur le forum de support sur le répertoire WordPress.org. Après un rapide rappel des fonctionnalités de GDPR Data Request Form et de l’intérêt de cette extension, nous vous présenterons cette nouvelle fonctionnalité.
Tour d’horizon de l’extension WordPress GDPR Data Request Form
Pourquoi utiliser l’extension GDPR Data Request Form ?
La fonctionnalité principale de cette extension est de proposer un formulaire d’automatisation des demandes d’export et de suppression des données personnelles des visiteurs.
Une fois l’extensions installée, ce formulaire peut être mis en place en quelques clics, via un widget, un bloc Gutenberg ou encore un shortcode dédié. Il est possible de proposer l’export ou la suppression des données privées, ou encore de laisser le visiteur choisir entre les deux options.
Voici par exemple ce à quoi ressemble ce formulaire sur notre page de politique de confidentialité :
L’intérêt de ce formulaire est double… voire triple. D’une part il permet d’automatiser le process de récupération et d’envoi des données personnelles des gens. Sinon, le processus est manuel et quelque peu rébarbatif.
De plus, la présence d’un tel formulaire sur la page de politique de confidentialité ou de mentions légales de votre site est un gage de transparence pour vos visiteurs, qui peuvent alors à tout moment vérifier les données collectées par le site.
Enfin, en toute honnêteté, la présence de ce formulaire permet aussi de « montrer patte blanche » vis à vis du régulateur (en France, il s’agit de la CNIL), dont les agents peuvent alors potentiellement sans problème tester l’export et la suppression de données directement par eux-mêmes, sans avoir à entrer contact avec vous.
Bref, c’est une bonne chose pour vous comme pour vos visiteurs. 😎
Fonctionnement de l’extension
Le process général de l’extension est simple et il est à 100% intégré au Core WordPress :
- La personne utilise votre formulaire de demande concernant ses données confidentielles pour obtenir un export ou une suppression.
- Une demande est créée sur l’administration WordPress dans Réglages > Confidentialité.
- Un e-mail est envoyé à la personne pour confirmer la demande.
- La demande est enregistrée comme confirmée sur l’administration WordPress dans Réglages > Confidentialité.
- Les données personnelles sont envoyées par e-mail à la personne (en tant que lien de téléchargement valable 3 jours), ou supprimées, suivant le type de demande choisie.
Nouveautés de décembre 2020 : possibilité de définir l’email de la personne déléguée à la protection des données pour les emails de notification
Depuis quelques jours, une nouvelle fonctionnalité est disponible, suite à des demandes à la fois de la part de certains de nos clients grands comptes qui disposent d’une personne déléguée à la protection des données, et aussi de la part de certaines personnes utilisant l’extension, sur les forums WordPress.org.
En effet, par défaut WordPress utilise l’e-mail du compte d’administration principal de WordPress pour envoyer les notifications e-mail transmises lors des demandes d’export et de suppression de données. Il n’y a par défaut pas de moyen sur WordPress de modifier ce fonctionnement sans intervenir dans le code. Or, il arrive assez souvent que le DPD (délégué à la protection des données, DPO pour Data Protection Officer) ne soit pas la personne en charge de l’administration du site, voire que ce DPD n’ait même pas accès au back-office du site. Dans ce cas il est important de pouvoir changer cette adresse.
La nouvelle version de GDPR Data Request Form ajoute la possibilité de définir par vous même l’e-mail à utiliser pour ces notifications. Pour cela, allez simplement dans Réglages > Confidentialité puis définissez l’e-mail à utiliser 😎