Un an après avoir demandé l’effacement de mes données personnelles sur WordPress.org, mon compte a finalement été supprimé. Cette histoire ne parle pas seulement de WordPress® ou du RGPD. Elle pose une question plus fondamentale : comment mesurer l’attachement d’un projet aux libertés individuelles ?
Il y a quelques semaines, Matt Mullenweg publiait un billet à l’occasion des vingt-trois ans de WordPress®. Il y rappelait ce qui fait, selon lui, la singularité de WordPress® : la défense d’un Web ouvert, indépendant et au service de ses utilisateurs.
J’ai longtemps partagé cette conviction.
Pendant plus de quinze ans, j’ai utilisé WordPress®, contribué à sa communauté, organisé ou participé à plusieurs WordCamps®, donné des conférences et publié sur ses plateformes communautaires. Je continue d’ailleurs à considérer WordPress® comme l’un des projets open source les plus importants de l’histoire du Web.
Mais la lecture de ce billet m’a amené à me poser une question très simple.
Lorsqu’une organisation affirme défendre un Web ouvert et les utilisateurs qui le composent, respecte-t-elle effectivement les libertés individuelles de ces utilisateurs lorsqu’ils souhaitent reprendre le contrôle de leurs données personnelles ?
imath
Je n’ai pas trouvé la réponse dans les discours. Je l’ai trouvée dans mon expérience.
Une demande ordinaire
Le 20 juin 2025, j’ai exercé auprès de WordPress.org mon droit à l’effacement de mes données personnelles, prévu par l’article 17 du RGPD.
Ma demande n’avait rien d’exceptionnel. Je ne contestais pas l’existence de mes anciennes contributions. Je ne cherchais pas à réécrire l’histoire de mes années passées dans la communauté. Je souhaitais simplement que mon compte utilisateur, mon profil public et les données personnelles qui y étaient associées soient supprimés ou, lorsque cela était nécessaire pour préserver l’intégrité des contenus, anonymisés.
Le lendemain, le délégué à la protection des données de WordPress.org m’a répondu. L’effacement automatique ne pouvait pas être réalisé parce que mon compte était lié à différentes contributions publiées sur plusieurs sites WordCamp®. Il me demandait de confirmer que j’acceptais également la suppression de ces contenus afin que l’effacement puisse être effectué.
J’ai répondu immédiatement. Ma réponse tenait en une phrase : oui, je confirme. Je pensais alors que la procédure suivrait son cours…
Le silence
Puis plus rien.
Les semaines sont devenues des mois. Aucune confirmation. Aucune demande complémentaire. Aucune notification de prolongation. Aucune décision motivée.
Mon profil est resté publiquement accessible.
Après plus de huit mois, j’ai relancé le DPO. Sans réponse.
J’ai ensuite adressé une mise en demeure rappelant les obligations prévues par le RGPD. Toujours sans réponse.
J’ai finalement déposé une plainte auprès de la CNIL.
Le temps du droit
On entend souvent dire que le RGPD impose un « délai raisonnable ». En réalité, le règlement est plus précis. Son article 12 prévoit que le responsable de traitement doit informer la personne concernée des suites données à sa demande dans un délai d’un mois. Une prolongation de deux mois est possible lorsque la demande est complexe, mais elle doit être notifiée.
Dans mon cas, il ne s’est pas écoulé un mois. Ni trois. Il s’est écoulé près d’une année.
Le 2 juin 2026, mon compte WordPress.org a finalement été supprimé. Quelques jours plus tard, la CNIL m’a informé qu’elle avait procédé à un rappel au règlement auprès de WordPress® en raison de la longueur du délai de traitement.
Je m’en réjouis. Parce que mon objectif n’a jamais été d’obtenir un traitement particulier. Je souhaitais simplement exercer un droit reconnu à tous les citoyens européens.
Ce que cette histoire m’a appris
Cette expérience ne m’a pas fait changer d’avis sur le logiciel WordPress®. Je continue d’admirer ce qu’il a apporté au Web depuis plus de vingt ans. En revanche, elle m’a rappelé quelque chose d’essentiel.
Les libertés numériques ne se résument pas aux licences libres, à l’interopérabilité ou à la décentralisation. Elles concernent aussi la capacité d’un individu à reprendre le contrôle de ses propres données.
Le droit de partir est aussi important que le droit de participer. Un Web ouvert ne se définit pas uniquement par la liberté d’entrer. Il se définit aussi par la liberté de sortir.
Une leçon plus large
Cette histoire se termine bien. Mon compte a été supprimé. La CNIL a exercé son rôle. Le droit a fini par être appliqué.
Mais il a fallu près d’un an, plusieurs relances, une mise en demeure et l’intervention de l’autorité française de protection des données pour parvenir à un résultat qui, en principe, aurait dû être beaucoup plus simple.
Je n’écris pas ces lignes pour rouvrir une polémique. Je les écris parce que les valeurs qui fondent l’Open Web méritent mieux que des déclarations d’intention. Elles se mesurent :
- dans les actes et les détails ;
- lorsque des utilisateurs souhaitent contribuer ;
- et aussi lorsqu’ils souhaitent partir.
À mes yeux, c’est là que se révèle la véritable force d’un projet libre.
Crédits photo à la une : Thomas Le sur Unsplash
NB : Les marques WordPress® et WordCamp® sont la propriété intellectuelle de la Fondation WordPress. L’utilisation des noms WordPress® & WordCamp® dans cet article est uniquement à des fins d’identification et n’implique pas une approbation de la part de la Fondation WordPress.


Conversation
Rejoignez la conversation depuis Bluesky
Content de voir que le CNIL ait agit en réponse à ta demande. Il va falloir que je poste aussi mon avis sur les dérives de Matt Mallenweg et du déni d’une partie importante de la WordPress sphere.