Dans mon panorama WordPress 7.0 du 13 mai, j’évoquais que WordPress avait pris au sérieux l’arrivée de l’IA dans le core. WooCommerce vient de pousser un cran plus loin avec une intégration native du Model Context Protocol, basée sur le WordPress MCP Adapter et la WordPress Abilities API. Tu actives le feature flag mcp_integration, tu génères une clé API REST avec les bons scopes, tu connectes Claude ou un autre client MCP à ton site, et le tour est joué techniquement. La doc officielle qualifie elle-même la fonctionnalité de « developer preview ». Les projets clients qui se lancent sans cadrage en amont se prennent une facture, une fuite de données ou un client mécontent dans les trois mois. Les cinq questions ci-dessous sont celles que je pose systématiquement avant d’engager un client sur ce type d’intégration.
Le principe du moindre privilège, qui est la règle de base en sécurité applicative, s’applique aussi aux abilities MCP. Le piège quand on découvre le MCP Adapter, c’est de tout cocher pour « voir ce que ça donne ». Sauf qu’en production, chaque ability exposée est une porte ouverte à un LLM qui peut se tromper, halluciner, ou être manipulé par un prompt injecté.
Distingue d’abord la lecture de l’écriture. Lire les commandes pour générer un rapport hebdomadaire, c’est du faible risque. Modifier les prix produits ou les stocks à la volée, c’est un autre monde. Sur chaque ability, demande-toi : si Claude se trompe ici, qu’est-ce qui casse côté business ? Si la réponse est « rien de grave », tu peux exposer. Si la réponse est « je passe deux heures à réparer », tu ne l’exposes pas, ou tu mets un garde-fou humain devant.
Et garde en tête qu’un scope se réduit, mais ne se déplie pas. Commence restrictif, élargis quand tu as la conviction.
Si tu décides qu’une IA peut modifier ton catalogue, tu ne lui donnes jamais le permis de tout casser sans filet. Trois patterns marchent bien dans mes projets.
La validation humaine explicite. L’IA propose une action par exemple « mettre à jour le prix de ce produit à 49 € » et la requête atterrit dans une file d’attente que tu valides depuis ton admin avant exécution. C’est lent, mais c’est sûr.
Le dry-run obligatoire. Avant toute écriture réelle, l’ability renvoie un résumé de ce qui changerait et n’exécute que sur une seconde confirmation. Tu forces l’IA à passer par une boucle de validation explicite.
Le logging audité. Chaque action écrite est tracée avec horodatage, ability appelée, paramètres, utilisateur à l’origine du prompt. Tu te donnes la capacité de répondre à la question « qu’est-ce qui s’est passé hier soir à 23 h 12 ? » en deux minutes.
Sur les actions critiques (prix, stock, suppression), combine les trois.
Toute boutique WooCommerce stocke des données personnelles : nom, adresse, e-mail, parfois numéro de téléphone et historique d’achat. Si tu exposes les commandes à un assistant IA, ces données transitent vers un provider tiers Anthropic, OpenAI, ou autre. Ça change immédiatement ta surface RGPD. La doc officielle elle-même prévient en gros caractères que les opérations sur commandes et clients exposent du PII (nom, e-mail, adresse, parfois informations de paiement) et que la conformité aux régulations applicables est ta responsabilité.
Trois points à régler avant la première ability commandes.
D’abord, vérifie la politique de traitement de ton provider. Est-ce que les données envoyées sont utilisées pour l’entraînement ? Stockées ? Pour combien de temps ? Sur quel territoire ? La réponse change selon le provider et selon le contrat un plan grand public ne donne pas les mêmes garanties qu’un plan entreprise.
Ensuite, regarde si tu peux anonymiser côté MCP. Au lieu d’exposer « Jean Dupont, 5 rue des Lilas », tu exposes « client #4287 » avec un mapping conservé côté serveur. L’IA fait son job sans avoir besoin du PII réel.
Enfin, mets à jour ta politique de confidentialité pour mentionner explicitement le traitement par IA tierce. Les utilisateurs ont le droit de savoir, et tu te couvres juridiquement.
C’est la question que personne ne pose en réunion et qui devrait être la première. Brancher une IA sur ta boutique, ce n’est pas gratuit. Chaque appel consomme des tokens, donc des euros. Et l’IA n’est pas toujours la bonne réponse.
Prends un cas concret : générer la description marketing d’un nouveau produit. Une IA fait ça très bien, gain de temps réel, valeur ajoutée mesurable. Le coût en tokens est marginal par rapport au temps que tu aurais passé à écrire toi-même.
Prends maintenant un autre cas : envoyer un mail de confirmation à chaque nouvelle commande. Une IA peut le faire, mais un template d’e-mail statique fait le même job pour zéro euro par mois, sans risque d’hallucination, sans dépendance à un service tiers. L’IA est ici une solution sur-dimensionnée.
Avant d’exposer une ability, pose-toi la question : est-ce qu’un script PHP de 30 lignes ou un automatisme natif WooCommerce ne ferait pas le job pour moins cher et plus prévisible ? Tu seras surpris du nombre de fois où la réponse est oui.
L’intégration MCP de WooCommerce est officiellement en « developer preview ». Ce n’est pas une formule marketing : c’est une autorisation explicite à modifier la spec et les patterns d’implémentation dans les versions à venir. Si tu construis un process métier critique en supposant que l’API restera identique pendant trois ans, tu prends un risque. Garde aussi en tête que la spec MCP elle-même évolue côté Anthropic, et que les providers ajustent leurs CGU.
Deux principes que j’applique sur mes projets clients.
Le premier, c’est d’isoler la couche IA derrière une interface stable côté code. Tu écris ton code applicatif contre une abstraction, et tu mets l’appel MCP derrière un adaptateur que tu peux remplacer demain par une intégration REST classique si l’écosystème dérive. C’est dix lignes de code en plus aujourd’hui, c’est une migration évitée plus tard.
Le second, c’est d’éviter le couplage fort à un provider unique. Si toute ton intégration suppose Claude et qu’Anthropic change sa politique d’EU residency demain, tu es coincé. Conçois pour pouvoir basculer sur OpenAI ou Mistral en changeant un fichier de config, pas en réécrivant trois jours.
Sur un projet client, je passe ces cinq questions en revue en 30 minutes lors du cadrage. Si on a plus de deux feux rouges, je recommande d’attendre que la stack mûrisse ou de partir sur une intégration REST plus traditionnelle. Si on a trois ou quatre feux verts, on peut y aller en cadrant bien les abilities exposées et en mettant les garde-fous adaptés.
L’IA branchée sur WooCommerce, c’est une vraie opportunité technique et commerciale. Mais comme toute techno émergente, elle se mérite. Les boutiques qui en tireront le plus de valeur sur 12 mois ne sont pas celles qui auront tout connecté le plus vite. Ce sont celles qui auront mesuré au cas par cas, garde-fous compris.
Tu envisages de connecter une IA à ta boutique WooCommerce et tu veux qu’on passe ensemble cette grille sur ton cas ? Écris-moi
Échangeons autour de vos objectifs et trouvons la solution la plus adaptée à votre activité.
