Plugin WordPress RGPD : export et suppression de données personnelles avec WP 4.9.6

RGPDPublié le 18 mai 2018 par Jean-Baptiste Audras

Lors d’un article précédent, nous présentions les nouvelles fonctionnalités RGPD de WordPress 4.9.6.

Nous avions détaillé ce que le noyau WordPress prévoit pour la conformité RGPD, avec sa version 4.9.6. Cette nouvelle version était alors en phase Beta, et elle est maintenant disponible depuis hier jeudi 17 mai.

Bravo à l’équipe en charge de cette nouvelle version, très attendue du fait du délai de conformité RGPD, fixé au 25 mai. Bravo aussi à l’équipe de traduction de WP en français : nous avons mis un point d’honneur a fournir une traduction complète du CMS dès sa sortie !

Mais les fonctionnalités du noyau WordPress ne font qu’apporter une (excellente) base pour permettre aux sites d’être en règle. De nombreuses actions restent à mettre en place, et elles sont différentes pour chaque installation WordPress !

Ce que WordPress prend en charge pour la conformité RGPD

Pour résumer, les principales fonctionnalités RGPD intégrées nativement au cœur WordPress sont les suivantes :

Ce sont ces deux dernière fonctionnalités qui m’ont intéressé : WordPress fournit la fonctionnalité d’export et de suppression des données personnelles, mais tout cela est manuel.

Si vous gérez un site avec des centaines/milliers d’utilisateurs (par exemple une boutique en ligne), comment automatiser tout cela avec un formulaire disponible en front-end ?

GDPR Data Request Form – un plugin WordPress d’export et suppression de données personnelles conforme au RGPD

Pour cela, nous avons publié le plugin GDPR Data Request Form. Disponible en anglais comme en français, ce plugin permet d’automatiser les demandes d’export et de suppression des données privées des visiteurs et des utilisateurs.

Cela se présente sous la forme d’un formulaire que vous pouvez placer en widget et/ou un shortcode à placer dans votre contenu, par exemple sur votre page de «Politique de confidentialité».

Très simple à mettre en place, ce plugin permet d’afficher un formulaire permettant aux visiteurs de demander par eux mêmes la récupération et/ou la suppression de leur données privées. L’intérêt de cela est double :

Le formulaire ne dispose pas de styles CSS pré-définis (sauf les messages d’erreur/succès) et il est par conséquent possible de l’intégrer à n’importe quel thème WordPress ! Très pratique pour les développeurs de thèmes, chaque élément HTML dispose de classes permettant de le mettre en forme comme on le souhaite.

Ce formulaire fonctionne en AJAX pour éviter tout rechargement de page lors de sa soumission, et il est parfaitement sécurisé : les données transmisses sont toutes vérifiées de façon drastique et un captcha question simple est ajouté pour éviter les demandes trop spammy. Un jeton unique (nonce) est aussi utilisé pour éviter toute faille de sécurité sur la soumission AJAX.

Exemple d’intégration du formulaire dans le thème par défaut Twenty Seventeen (ici en anglais mais le plugin est traduit en français à 100%) :

Personal Data Request

Le process général du plugin est simple et il est à 100% intégré au Core WordPress :

Voici l’écran natif WP permettant de suivre les demandes d’export réalisée sur le site à l’aide du plugin RGPD :

Export Personal Data

Voici la forme sous laquelle se présente l’export de données WordPress-RGPD reçu par le visiteur ou l’utilisateur :

Personal Data Export

Ayant contribué au Core de cette version 4.9.6 de WordPress dédiée au RGPD, l’agence WordPress Whodunit démontre l’importance de faire une veille continue sur les évolutions du noyau WordPress. Ce plugin a été publié un peu avant la sortie officielle de WP 4.9.6, ce qui veut dire qu’il a été développé une semaine avant que les nouvelles fonctionnalités natives ne soient documentées ! Cette capacité à anticiper l’évolution technique de WP est indispensable lorsque l’on s’occupe de la maintenance de sites basés sur une technologie open-source.

Bien entendu notre extension est libre, open-source et téléchargeable gratuitement sur le répertoire WordPress.org 🙂

15 Commentaires

  1. https://thierrymaesen.be
    Thierry Maesen19 mai 2018

    Des millions de MERCI ! pour ce plugin…Jb Audras

  2. http://www.creanet64.fr
    Isabelle20 mai 2018

    Bravo pour la réactivité !
    Merci encore
    Je teste tout de suite ce plugin sur qq sites avant de voir si je peux le déployer sur tous.
    En revanche, la version 4.9.6 que j’ai testée sur 2 sites n’efface pas les données lors de mes tests. La requête est bien envoyée par mail, validée par l’utilisateur, mais quand je clique sur « effacer les données » dans le nouvel écran… l’utilisateur n’est pas supprimé.
    D’autres ont observé ce comportement ?

  3. Deuns2622 mai 2018

    Bonjour merci pour pour votre plugin, j’ai par contre un souci avec cette mise à jour de worpdress RGPD et votre plugin.
    Un lien est envoyer pour confirmer l’action pour l’exemple « exporter les données.
    Mais dans ce lien il y ‘a le début de l’adresse de connection de mon admin wordpress que j’ai modifier c normal?
    Ducoup j’ai modifier ce lien pour la sécurité et du coup il se retrouve facilement pour tous le monde.
    Merci

  4. https://tweetpress.fr/fr/
    Julien Maury22 mai 2018

    Merci pour l’extension JB, c’est non seulement une bonne idée en soi mais ça va aider pas mal de monde donc merci pour le partage.

    J’ai une suggestion sur l’implémentation pour les prochaines releases, peut-être utiliser has_shortcode() ou proposer un filtre pour enlever tes scripts là où ça n’est pas nécessaire car pour le moment ils se chargent partout partout, mieux vaudrait les charger seulement quand le formulaire est affiché.

  5. http://www.whodunit.fr
    Jb Audras23 mai 2018

    Hello Deuns26, merci pour votre commentaire.
    Oui, le lien porte sur wp-login.php (ou autre adresse de connexion), du coup ce lien apparaît en clair. Je crois avoir vu passer un ticket pour la version 4.9.7 à venir à ce sujet. A suivre, donc.

    Salut Julien, merci pour ton commentaire 🙂
    La prochaine version de l’extension arrive aujourd’hui et cette amélioration est prévue ! On m’a déjà remonté cette suggestion, et c’est effectivement hyper pertinent. Merci à toi 🙂

  6. Benjamin Lupu26 mai 2018

    Excellent 🙂 Merci pour cette extension bien utile. Petite remarque : il faut préciser dans le formulaire que l’identité du demandeur devra être vérifiée.

    1. http://www.whodunit.fr
      Jb Audras26 mai 2018

      Hello Benjamin,

      Merci pour ton retour, et pour cette remarque pertinente. Tu as raison et je viens d’ouvrir une issue sur le repo Github du projet pour intégrer ça dans la prochaine version : https://github.com/audrasjb/gdpr-data-request-form/issues/9

      Merci 🙂
      Jb

  7. http://e-melyne.fr
    MELYNE28 mai 2018

    Bonjour,
    Merci pour cette extension. Elle simple et efficace.
    Après avoir fait plusieurs tests, il me semble qu’elle ne permet pas d’accéder (ou supprimer) aux données recueillies via un formulaire de contact.
    (Ou j’ai manqué quelques choses 😉 ) Est-ce exact ?

    1. http://www.whodunit.fr
      Jb Audras11 septembre 2018

      Bonjour @MELYNE,

      Tout dépend d’où sont enregistrées les données du formulaire et de si l’extension propose un support des fonctionnalités natives de WordPress. Je crois que Gravity Forms travaillait dessus cet été.

      A suivre,
      Jb Audras

  8. http://bcl-avocat.com
    Barberis6 juillet 2018

    Bonjour
    Tout le monde parle de données.
    Ma question est : quelles données sont traitées par ce plug.
    En effet, si j’ai bien compris, il s’agit de celles du CORE de WordPress.
    Pour un débutant comme moi, cela veut dire quoi exactement ?
    Est ce qu’il s’agit de celles laissées dans les commentaires, le formulaire de contact ou autres lorsqu’ils font partie intégrante du CORE ou du thème de WordPress.
    Les données qui sont dans la BDD de chez l’hébergeur, comment le développeur peut-il les traiter. Existe-il un plug pour cela.
    Sur le site que je gère, il y a un plug de Rendez-vous dont les données se trouvent dans la BDD. Comment je fais pour les supprimer.
    En résumé, pour moi, GDPR Data Request Form c’est bien, mais il ne résout pas le problème de toutes données diverses collectées sur un site.
    J’ai testé plusieurs fois le plug avec les e-mails retrouvés dans la BDD et c’est un fiasco.
    Pouvez-vous éclairer ma lanterne.
    Cordialement et Bon week-end

    1. http://www.whodunit.fr
      Jb Audras11 septembre 2018

      Bonjour @Barberis,

      Oui, cette extension traite toutes les données qui sont accessibles par le cœur WordPress, dont les données des extensions (plugins) qui déclarent se conformer aux guidelines WordPress ainsi qu’au RGPD (GDPR si extension anglophone).

      L’extension ne peut en revanche pas agir avec les extensions qui ne supportent pas les fonctionnalités natives WordPress (et les bonnes pratiques liées) ni les extensions qui ne respectent pas les bonnes pratiques en terme d’enregistrement des données personnelles. Dans ce cas là, la seule solution c’est de contacter l’éditeur de l’extension 🙂

      Bonne journée, et mes excuses pour le délai de réponse.
      Cordialement,
      Jb Audras

  9. Vincent Ouvrat27 août 2018

    Bonjour,

    Merci pour ce plugin fort pratique.

    Question bête mais je n’ai pas trouver l’information.

    Comment mettre le formulaire en français?

    Merci d’avance pour la réponse.

    1. http://www.whodunit.fr
      Jb Audras11 septembre 2018

      Bonjour @Vincent Ouvrat,

      Merci pource retour. Votre installation WordPress est elle en français ? L’extensions est disponible dans une dizaine de langues dont le français et l’anglais, et c’est carrément directement le CMS WordPress qui s’occupe de la switcher d’une langue à l’autre en fonction de la langue que vous avez défini sur le site. S’agit-il d’un site multilingue ? Quelle extensions est utilisée : WPML, Polylang, Autre ? (elle marche parfaitement avec Polylang) ? C’est un multisite ?

      A vous lire,
      Jb Audras

  10. http://www.pointksolutions.fr
    Gerard Kévin14 septembre 2018

    Bonjour, et tout d’abord merci pour cette extension ! Après appel de ma part chez vous, on ma conseiller de pauser ma question ici !
    J’ai donc une petite question concernant cette fameuse loi RGPD. J’ai un site internet qui n’utilise qu’un formulaire de contact basique pour des demandes de prestations (Géré avec Caldera Forms). Est-ce que quand l’internaute me fait une demande via ce formulaire, ses données sont stockées à quelques parts dans mon site ? Car avec l’extension aucune données sont enregistrée quand je fait ce test ! Est-ce que donc WordPress enregistre juste les données quand nous activons les commentaires ? Merci d’avance pour votre réponse.

    1. http://www.whodunit.fr
      Jb Audras14 septembre 2018

      Bonjour Gerard Kévin !

      Nous n’utilisons pas cette extension même si nous la rencontrons parfois lors de nos prestations de maintenance.

      Caldera Forms utilise ses propres fonctions pour les exports/suppressions de données personnelles. Plus d’infos ici : https://calderaforms.com/doc/setting-caldera-forms-gdpr-data-requests/

      Bien à vous,
      Jb

Poster un commentaire

Echangeons sur votre site WordPress

Partageons ensemble une première vision de votre projet

Être rappelé
leo dolor. justo commodo Aliquam amet, massa ipsum lectus