WordPress version 4.9.6/7 : de nouveaux outils pour l’application du RGPD

La version 4.9.6 de WordPress est sortie le 17 mai 2018. Il s’agit d’une version de maintenance (correction de bugs et petites améliorations) et surtout de prise en charge des éléments les plus importants du RGPD.

La version 4.9.7 devrait sortir rapidement. L’équipe de direction sera nommée mercredi 6 juin 2018 et la version devrait voir le jour 3 ou 4 semaines plus tard. Il s’agira essentiellement de corrections concernant les fonctionnalités dévoilées sur WP 4.9.6.

Point rapide concernant les mises à jour automatiques vers WordPress 4.9.6

Compte-tenu de l’ampleur des modifications réalisées et contrairement aux usages habituels, les mises à jour automatiques des installations WordPress à travers le monde n’a pas été lancée tout de suite après la mise à disposition de cette nouvelle version.

Comme vous le savez, l’écosystème WordPress est riche : aucune installation WordPress n’est semblable à une autre, car nous utilisons tous des thèmes ou extensions différentes. Dans tout cet écosystème, quelques extensions se sont révélées incompatibles avec les changements introduits par WP 4.9.6.

Tous les éditeurs d’extensions disponibles sur WordPress.org et présentant une incompatibilité ont immédiatement été contactés, et tous ont rapidement pu mettre à jour leur code.

La mise à jour vers WordPress 4.9.6 peut donc se faire en toute sécurité.

La traduction des fonctionnalités RGPD du cœur WordPress

L’intégralité des nouvelles fonctionnalités de WordPress sont d’ores et déjà traduites en français, merci à l’équipe de traduction qui travaille pour que chaque nouvelle version soit parfaitement traduite avant même sa sortie. Nos traductions sont normalement conformes aux termes du RGPD en français (notamment en reprenant les termes utilisés par le site de la CNIL dans le glossaire WordPress), mais des erreurs peuvent toujours se glisser. Si tel est le cas, n’hésitez pas à publier toute demande de correction sur fr.wordpress.org/team : ce site est ouvert et tout le fonctionnement de la traduction de WordPress en français y est expliqué.

La conformité RGPD dans WordPress 4.9.6 / 4.9.7

Le Règlement Général sur la Protection des Données (RGPD) a été mis en application le 25 mai 2018. L’équipe « core » de WordPress a travaillé ardemment pour permettre aux utilisateurs et utilisatrices du CMS de se conformer à cette réglementation.

En effet via le RGPD, l’Union Européenne demande aux éditeurs et éditrices de sites internet (qu’il s’agisse d’organismes publics, privés, d’associations ou de particuliers) d’être transparents sur les données privées qu’ils collectent, utilisent ou partagent, et qui concernent leurs visiteurs. La réglementation demande également de permettre aux individus d’avoir la possibilité de demander de visualiser ou supprimer leurs données personnelles et de consentir (ou non) à l’utilisation de ces données.

Dans WordPress 4.9.6 et dans la version 4.9.7 à venir, WordPress prend en charge ce Règlement de plusieurs façons.

Les commentaires

Lors de la rédaction de commentaires, les visiteurs seront maintenant invités à consentir (ou non) à l’utilisation d’un cookie permettant de pré-remplir le formulaire de commentaire à leur prochaine visite sur le site.

Exemple de case à cocher sur le thème par défaut Twenty Seventeen

La page de Politique de confidentialité

Les propriétaires de sites peuvent maintenant définir une page de politique de confidentialité. Un lien vers cette page sera affiché sur les écrans de connexion et d’inscription.

Normalement, vous devriez ajouter un lien vers cette page de Politique de confidentialité sur chaque page de votre site, par exemple en utilisant le Menu de pied de page si votre thème en possède un.

Dans Réglages > Confidentialité vous avez la possibilité de sélectionner ou de créer votre page de Politique de confidentialité (cliquez pour agrandir dans un nouvel onglet)

Si vous cliquez sur le bouton « Créer une nouvelle page », la page « Politique de confidentialité » sera automatiquement créée et pré-remplie par un texte générique que vous n’aurez plus qu’à complèter avec vos informations.

Page de politique de confidentialité pré-remplie pour vous (cliquez pour agrandir dans un nouvel onglet)

De plus, un Guide a été ajouté pour vous aider à créer votre page de Politique de confidentialité. Un lien vers ce guide est fourni sur l’écran de modification de la page que vous avez sélectionnée comme étant votre page de Politique de confidentialité.

Note aux éditeurs d’extensions : si vous maintenez une extension qui collecte des données personnelles, vous pouvez inclure ces informations automatiquement sur la page de Politique de confidentialité de vos utilisateurs en suivant les méthodes définies dans la section Privacy du Handbook à destination des développeurs d’extensions (en anglais).

La prise en charge des données privées et des demandes d’export/suppression des utilisateurs

Tout visiteur de votre site doit avoir la possibilité de demander la récupération ou la consultation des données privées stockées sur votre site, et également leur suppression. Depuis la version 4.9.6 de WordPress deux menus dédiés sont proposés, accessibles via Outils > Export des données personnelles ou Outils > Suppression des données personnelles.

Ainsi, si vous recevez une telle demande, vous êtes en mesure de fournir un export de données personnelles au visiteur à l’aide de l’adresse de messagerie qu’il vous aura fourni par e-mail.

L’écran d’export des données privées de vos visiteurs. On voit que les demandes d’export disposent « d’états » (en attente, supprimé, terminé, etc.) permettant de suivre leur résolution et les envois faits aux demandeurs. (cliquez pour agrandir dans un nouvel onglet)

L’écran de suppression de données privées se présente exactement comme l’écran d’export.

Ce que ne peut pas faire le cœur WordPress pour assurer la conformité au RGPD, parce que c’est le territoire des extensions

Comme vous l’avez vu, le cœur prend en charge les prérogatives qui sont les siennes afin de vous aider à être en conformité avec la Réglementation Européenne sur les Données Privées.

En revanche, l’équipe de développement du cœur de WordPress ne peut savoir à l’avance quelles sont les extensions et les paramétrages spécifiques que vous avez faits sur votre site. L’objectif du noyau WordPress est de fournir une base saine permettant aux éditeurs d’extensions et aux administrateur·ices de sites WP d’aller plus loin. Ainsi :

  • Les cookies ne font pas partie du périmètre d’intervention du cœur WordPress car cela dépend fortement de votre installation et de vos extensions.
  • Le consentement sur vos différents formulaires (contact, newsletters, etc.) : il doit être pris en charge par votre extension de gestion de formulaires.
  • La prise en charge des demandes d’export/suppression des données privées : cela doit être pris en charge par des extensions spécifiques, WordPress ne permettant que d’effectuer ces opérations d’export/suppression de façon manuelle en back-office.
  • La prise en charge dans ces formulaires des données issues de vos extensions et développements spécifiques : cela doit être fait par les éditeurs d’extensions et développeurs.

Quelques extensions permettant d’aller plus loin vis à vis des fonctionnalités proposées dans le cœur WordPress

Les extensions RGPD / GDPR « tout en un »

Ce sont des extensions qui proposent de prendre en charge l’intégralité de votre conformité RGPD.
Attention cependant :

  • Il n’y a pas de certification RGPD : c’est à vous de vous assurer de votre propre conformité en fonction des données que vous récoltez.
  • Ces extensions œuvrent généralement en parallèle des fonctionnalités du cœur WordPress. Suivez donc leur actualité de près pour voir si elles vont s’intégrer au fonctionnement natif à l’avenir car il y a nécessairement un doublonnage de fonctionnalités qui peut finir par être complexe à maintenir à long terme.

Dans les extensions « tout en un », citons :

Remerciements et crédits de WordPress 4.9.6

Cet article est en partie issu d’une traduction de cet article de WordPress.org, par Allen Snook, l’un des deux co-leads de WordPress 4.9.6 avec Jonathan Desrosiers et avec l’assistance de Sergey Biryukov.

Merci aux personnes ayant contribué au développement de WordPress 4.9.6 :

Aaron D. CampbellAaron JorbinabdullahramzanAdam SilversteinAlain SchlesserallendavAndrea FerciaAndrea MiddletonAndrew OzzAyesh KarunaratneBirgir Erlendsson (birgire)bridgetwillardBurlington BytesChetan PrajapaticlaudiuCorey McKrillDaniel BachhuberDavid HerreraDominik Schilling (ocean90)Ella Van DorpeEric DaamsFernando ClaussenGarrett HyderGary PendergastHeather BurnsHelen Hou-SandiherregroenIan DunnibelangerimathJb AudrasJeffrey PaulJeremy FeltJesper V NielsenJJJJoe McGillJohn BlackbournJonathan DesrosiersJosephajrfKåre Mulvad SteffensenLaken HafnerlaurelfulfordlbeniciomacbookandrewMarius L. J.Mel ChoyceMichael NelsonMike JolleyPascal CasierpbrockspostphotosPrashant BaldhaPressTigersprogramminRobin CornettSergey BiryukovStefano LissaStephane Daury (stephdau)Subrata SarkarTammie ListerteddytimethomasplevyTimothy JacobsTobias ZimpelTom J NowellTor-Bjorn FjellnerTowhidul IslamvoneffWilliam Earnhardt, and Xenos (xkon) Konstantinos.

Merci également à l’équipe de traduction fr_FR pour la version française de cette nouvelle version de WordPress :

AlexAurélien JoahnyBastien HoClément Polito, Didier WolforgEBrockwayFrmo, Fx Benard, Jb AudrasJenny DupuyLaurent NaudierLuciano CroceSébastien SERRE, et tangogolf.