Plugin WordPress RGPD : export et suppression de données personnelles avec WP 4.9.6

Lors d’un article précédent, nous présentions les nouvelles fonctionnalités RGPD de WordPress 4.9.6.

Nous avions détaillé ce que le noyau WordPress prévoit pour la conformité RGPD, avec sa version 4.9.6. Cette nouvelle version était alors en phase Beta, et elle est maintenant disponible depuis hier jeudi 17 mai.

Bravo à l’équipe en charge de cette nouvelle version, très attendue du fait du délai de conformité RGPD, fixé au 25 mai. Bravo aussi à l’équipe de traduction de WP en français : nous avons mis un point d’honneur a fournir une traduction complète du CMS dès sa sortie !

Mais les fonctionnalités du noyau WordPress ne font qu’apporter une (excellente) base pour permettre aux sites d’être en règle. De nombreuses actions restent à mettre en place, et elles sont différentes pour chaque installation WordPress !

Ce que WordPress prend en charge pour la conformité RGPD

Pour résumer, les principales fonctionnalités RGPD intégrées nativement au cœur WordPress sont les suivantes :

  • Consentement à l’enregistrement temporaire des données sur le formulaire de commentaire.
  • Aide à la création d’une page de Politique de confidentialité, avec pré-remplissage des différentes sections et fonctions permettant aux développeurs de plugins d’ajouter leurs mentions pré-remplies également.
  • Export des données personnelles : lorsque vous recevrez une demande d’export des données privées d’un utilisateur ou d’un visiteur de votre site, vous pourrez réaliser cet export en back-office dans Outils > Export de données personnelles. Il suffit d’y saisir une adresse email pour exporter toutes ces données.
  • Suppression de données personnelles : de même que pour l’export, il suffit de saisir une adresse email sur l’écran Outils > Suppression de données personnelles pour exécuter une suppression de toutes les données personnelles liées à un email et stockées sur l’installation WordPress.

Ce sont ces deux dernière fonctionnalités qui m’ont intéressé : WordPress fournit la fonctionnalité d’export et de suppression des données personnelles, mais tout cela est manuel.

Si vous gérez un site avec des centaines/milliers d’utilisateurs (par exemple une boutique en ligne), comment automatiser tout cela avec un formulaire disponible en front-end ?

GDPR Data Request Form – un plugin WordPress d’export et suppression de données personnelles conforme au RGPD

Pour cela, nous avons publié le plugin GDPR Data Request Form. Disponible en anglais comme en français, ce plugin permet d’automatiser les demandes d’export et de suppression des données privées des visiteurs et des utilisateurs.

Cela se présente sous la forme d’un formulaire que vous pouvez placer en widget et/ou un shortcode à placer dans votre contenu, par exemple sur votre page de « Politique de confidentialité ».

Très simple à mettre en place, ce plugin permet d’afficher un formulaire permettant aux visiteurs de demander par eux mêmes la récupération et/ou la suppression de leur données privées. L’intérêt de cela est double :

  • Cela vous évite de devoir réaliser ces opérations manuellement en back-office après réception de la requête d’un visiteur par email voire téléphone : c’est automatique.
  • Le fait d’afficher une telle fonctionnalité en front dans votre page de Politique de confidentialité vous permet de montrer patte blanche : avec cette fonctionnalité vous montrez à vos visiteurs (et aux autorités de régulation / contrôle) que vous prenez en charge sérieusement les demandes légitimes de vos visiteurs concernant leur données privées 🙂

Le formulaire ne dispose pas de styles CSS pré-définis (sauf les messages d’erreur/succès) et il est par conséquent possible de l’intégrer à n’importe quel thème WordPress ! Très pratique pour les développeurs de thèmes, chaque élément HTML dispose de classes permettant de le mettre en forme comme on le souhaite.

Ce formulaire fonctionne en AJAX pour éviter tout rechargement de page lors de sa soumission, et il est parfaitement sécurisé : les données transmisses sont toutes vérifiées de façon drastique et un captcha question simple est ajouté pour éviter les demandes trop spammy. Un jeton unique (nonce) est aussi utilisé pour éviter toute faille de sécurité sur la soumission AJAX.

Exemple d’intégration du formulaire dans le thème par défaut Twenty Seventeen (ici en anglais mais le plugin est traduit en français à 100%) :

Personal Data Request

Le process général du plugin est simple et il est à 100% intégré au Core WordPress :

  • L’utilisateur/visiteur utilise votre formulaire de demande concernant ses données confidentielles pour obtenir un export ou une suppression.
  • Une demande est créée sur l’administration WordPress dans Réglages > Confidentialité.
  • Un e-mail est envoyé à l’utilisateur/visiteur pour confirmer la demande.
  • La demande est enregistrée comme confirmée sur l’administration WordPress dans Réglages > Confidentialité.
  • Les données personnelles sont envoyées par e-mail à l’utilisateur ou au visiteur (en tant que lien de téléchargement valable 3 jours), ou supprimées, suivant le type de demande faite par l’utilisateur.

Voici l’écran natif WP permettant de suivre les demandes d’export réalisée sur le site à l’aide du plugin RGPD :

Export Personal Data

Voici la forme sous laquelle se présente l’export de données WordPress-RGPD reçu par le visiteur ou l’utilisateur :

Personal Data Export

Ayant contribué au Core de cette version 4.9.6 de WordPress dédiée au RGPD, l’agence WordPress Whodunit démontre l’importance de faire une veille continue sur les évolutions du noyau WordPress. Ce plugin a été publié un peu avant la sortie officielle de WP 4.9.6, ce qui veut dire qu’il a été développé une semaine avant que les nouvelles fonctionnalités natives ne soient documentées ! Cette capacité à anticiper l’évolution technique de WP est indispensable lorsque l’on s’occupe de la maintenance de sites basés sur une technologie open-source.

Bien entendu notre extension est libre, open-source et téléchargeable gratuitement sur le répertoire WordPress.org 🙂

Vous avez aimé ? Partagez !

15 commentaires

  1. Bravo pour la réactivité !
    Merci encore
    Je teste tout de suite ce plugin sur qq sites avant de voir si je peux le déployer sur tous.
    En revanche, la version 4.9.6 que j’ai testée sur 2 sites n’efface pas les données lors de mes tests. La requête est bien envoyée par mail, validée par l’utilisateur, mais quand je clique sur “effacer les données” dans le nouvel écran… l’utilisateur n’est pas supprimé.
    D’autres ont observé ce comportement ?

  2. Bonjour merci pour pour votre plugin, j’ai par contre un souci avec cette mise à jour de worpdress RGPD et votre plugin.
    Un lien est envoyer pour confirmer l’action pour l’exemple “exporter les données.
    Mais dans ce lien il y ‘a le début de l’adresse de connection de mon admin wordpress que j’ai modifier c normal?
    Ducoup j’ai modifier ce lien pour la sécurité et du coup il se retrouve facilement pour tous le monde.
    Merci

  3. Merci pour l’extension JB, c’est non seulement une bonne idée en soi mais ça va aider pas mal de monde donc merci pour le partage.

    J’ai une suggestion sur l’implémentation pour les prochaines releases, peut-être utiliser has_shortcode() ou proposer un filtre pour enlever tes scripts là où ça n’est pas nécessaire car pour le moment ils se chargent partout partout, mieux vaudrait les charger seulement quand le formulaire est affiché.

  4. Hello Deuns26, merci pour votre commentaire.
    Oui, le lien porte sur wp-login.php (ou autre adresse de connexion), du coup ce lien apparaît en clair. Je crois avoir vu passer un ticket pour la version 4.9.7 à venir à ce sujet. A suivre, donc.

    Salut Julien, merci pour ton commentaire 🙂
    La prochaine version de l’extension arrive aujourd’hui et cette amélioration est prévue ! On m’a déjà remonté cette suggestion, et c’est effectivement hyper pertinent. Merci à toi 🙂

  5. Excellent 🙂 Merci pour cette extension bien utile. Petite remarque : il faut préciser dans le formulaire que l’identité du demandeur devra être vérifiée.

  6. Bonjour,
    Merci pour cette extension. Elle simple et efficace.
    Après avoir fait plusieurs tests, il me semble qu’elle ne permet pas d’accéder (ou supprimer) aux données recueillies via un formulaire de contact.
    (Ou j’ai manqué quelques choses 😉 ) Est-ce exact ?

    • Bonjour @MELYNE,

      Tout dépend d’où sont enregistrées les données du formulaire et de si l’extension propose un support des fonctionnalités natives de WordPress. Je crois que Gravity Forms travaillait dessus cet été.

      A suivre,
      Jb Audras

  7. Bonjour
    Tout le monde parle de données.
    Ma question est : quelles données sont traitées par ce plug.
    En effet, si j’ai bien compris, il s’agit de celles du CORE de WordPress.
    Pour un débutant comme moi, cela veut dire quoi exactement ?
    Est ce qu’il s’agit de celles laissées dans les commentaires, le formulaire de contact ou autres lorsqu’ils font partie intégrante du CORE ou du thème de WordPress.
    Les données qui sont dans la BDD de chez l’hébergeur, comment le développeur peut-il les traiter. Existe-il un plug pour cela.
    Sur le site que je gère, il y a un plug de Rendez-vous dont les données se trouvent dans la BDD. Comment je fais pour les supprimer.
    En résumé, pour moi, GDPR Data Request Form c’est bien, mais il ne résout pas le problème de toutes données diverses collectées sur un site.
    J’ai testé plusieurs fois le plug avec les e-mails retrouvés dans la BDD et c’est un fiasco.
    Pouvez-vous éclairer ma lanterne.
    Cordialement et Bon week-end

    • Bonjour @Barberis,

      Oui, cette extension traite toutes les données qui sont accessibles par le cœur WordPress, dont les données des extensions (plugins) qui déclarent se conformer aux guidelines WordPress ainsi qu’au RGPD (GDPR si extension anglophone).

      L’extension ne peut en revanche pas agir avec les extensions qui ne supportent pas les fonctionnalités natives WordPress (et les bonnes pratiques liées) ni les extensions qui ne respectent pas les bonnes pratiques en terme d’enregistrement des données personnelles. Dans ce cas là, la seule solution c’est de contacter l’éditeur de l’extension 🙂

      Bonne journée, et mes excuses pour le délai de réponse.
      Cordialement,
      Jb Audras

  8. Bonjour,

    Merci pour ce plugin fort pratique.

    Question bête mais je n’ai pas trouver l’information.

    Comment mettre le formulaire en français?

    Merci d’avance pour la réponse.

    • Bonjour @Vincent Ouvrat,

      Merci pource retour. Votre installation WordPress est elle en français ? L’extensions est disponible dans une dizaine de langues dont le français et l’anglais, et c’est carrément directement le CMS WordPress qui s’occupe de la switcher d’une langue à l’autre en fonction de la langue que vous avez défini sur le site. S’agit-il d’un site multilingue ? Quelle extensions est utilisée : WPML, Polylang, Autre ? (elle marche parfaitement avec Polylang) ? C’est un multisite ?

      A vous lire,
      Jb Audras

  9. Bonjour, et tout d’abord merci pour cette extension ! Après appel de ma part chez vous, on ma conseiller de pauser ma question ici !
    J’ai donc une petite question concernant cette fameuse loi RGPD. J’ai un site internet qui n’utilise qu’un formulaire de contact basique pour des demandes de prestations (Géré avec Caldera Forms). Est-ce que quand l’internaute me fait une demande via ce formulaire, ses données sont stockées à quelques parts dans mon site ? Car avec l’extension aucune données sont enregistrée quand je fait ce test ! Est-ce que donc WordPress enregistre juste les données quand nous activons les commentaires ? Merci d’avance pour votre réponse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *