RGPD et WordPress : guide de conformité technique

Le RGPD en bref : ce que vous devez savoir

Le Règlement Général sur la Protection des Données (RGPD) est en vigueur depuis mai 2018, et pourtant la majorité des sites WordPress ne sont toujours pas conformes. Ce n'est pas par mauvaise volonté, mais parce que la conformité RGPD pour un site web implique des aspects techniques que ni le texte de loi ni les guides juridiques n'expliquent concrètement.

Ce guide se concentre sur les exigences techniques du RGPD appliquées à WordPress : cookies, consentement, hébergement, formulaires, plugins et services tiers. Chaque section contient des recommandations actionnables.

Les principes clés du RGPD pour un site web

• Licéité du traitement : vous devez avoir une base légale pour chaque collecte de données (consentement, intérêt légitime, contrat, obligation légale)
• Minimisation des données : ne collectez que les données strictement nécessaires à la finalité déclarée
• Transparence : informez clairement les utilisateurs sur ce que vous collectez, pourquoi et pour combien de temps
• Droit des personnes : accès, rectification, effacement, portabilité, opposition
• Sécurité : mettez en place des mesures techniques appropriées pour protéger les données

Cookies et consentement : la base de la conformité

Classification des cookies

Le RGPD et la directive ePrivacy distinguent les cookies selon leur finalité :

• Cookies strictement nécessaires : session WordPress, panier e-commerce, préférence de langue. Pas besoin de consentement, mais doivent être déclarés.
• Cookies analytiques : Google Analytics, Matomo, Plausible. Nécessitent le consentement sauf si anonymisés (Matomo peut être exempté sous conditions).
• Cookies marketing : Facebook Pixel, Google Ads, remarketing. Consentement obligatoire avant tout dépôt.
• Cookies de réseaux sociaux : boutons de partage, vidéos YouTube intégrées, maps Google. Consentement obligatoire.

Le banner de consentement conforme

Un banner de cookies conforme au RGPD doit respecter plusieurs critères techniques :

• Blocage préalable : aucun cookie non essentiel ne doit être déposé avant le consentement explicite. Cela signifie que les scripts Google Analytics, Facebook Pixel et autres doivent être bloqués par défaut et activés uniquement après acceptation.
• Choix granulaire : l'utilisateur doit pouvoir accepter ou refuser chaque catégorie de cookies individuellement. Un simple "Accepter / Refuser tout" ne suffit pas.
• Refus aussi simple que l'acceptation : le bouton "Refuser" doit être aussi visible et accessible que le bouton "Accepter". Pas de dark patterns.
• Révocabilité : l'utilisateur doit pouvoir modifier son choix à tout moment, via un lien accessible en permanence (footer par exemple).
• Preuve de consentement : conservez un registre horodaté des consentements recueillis.

La CNIL a distribué plus de 200 millions d'euros d'amendes liées aux cookies entre 2020 et 2025. Les bannières non conformes sont la première cause de sanction pour les sites web.

Plugins de consentement recommandés

Pour WordPress, plusieurs plugins gèrent la conformité cookies de manière fiable :

• Complianz : solution complète avec scan automatique des cookies, blocage des scripts, modèles juridiques et intégration avec la plupart des services tiers
• CookieYes : interface intuitive, scan de cookies, banner personnalisable, registre de consentement
• Tarteaucitron : solution française open source, blocage granulaire, compatible avec la recommandation CNIL

Quel que soit le plugin choisi, vérifiez systématiquement qu'il bloque effectivement les scripts avant consentement. Beaucoup de plugins affichent un banner mais ne bloquent rien techniquement. Orilyt teste automatiquement la présence et le fonctionnement de votre bandeau de consentement cookies (test #57), ainsi que les flags de sécurité de vos cookies (test #49).

Formulaires et collecte de données

Chaque formulaire est un traitement de données

Un formulaire de contact, un formulaire d'inscription à une newsletter, un formulaire de demande de devis : chacun constitue un traitement de données personnelles au sens du RGPD. Voici les exigences techniques :

• HTTPS obligatoire : toutes les données de formulaire doivent transiter via une connexion chiffrée. Un formulaire sur une page HTTP est une violation du RGPD.
• Case de consentement : ajoutez une case à cocher (non pré-cochée) avec un lien vers votre politique de confidentialité. Le texte doit préciser la finalité du traitement.
• Minimisation : ne demandez pas le numéro de téléphone si seul l'email est nécessaire. Chaque champ doit être justifié par la finalité.
• Durée de conservation : définissez et appliquez une politique de suppression automatique des données collectées (3 ans maximum pour la prospection commerciale selon la CNIL).

Contact Form 7, WPForms, Gravity Forms

Les principaux plugins de formulaires WordPress supportent nativement le RGPD :

• Contact Form 7 : ajoutez un champ [acceptance] pour la case de consentement
• WPForms : activez le module GDPR dans les paramètres pour ajouter automatiquement les cases de consentement et désactiver les cookies de tracking
• Gravity Forms : utilisez le champ "Consent" et configurez la rétention automatique des données

Analytics et services tiers

Google Analytics : le cas le plus complexe

Google Analytics est le service tiers le plus problématique en matière de RGPD. Depuis l'arrêt Schrems II et les décisions de la CNIL en 2022, l'utilisation de Google Analytics nécessite des précautions particulières :

• Consentement explicite avant chargement du script
• Anonymisation des IP (activée par défaut dans GA4, mais vérifiez)
• Désactivation du partage de données avec Google
• Durée de conservation des données limitée (14 mois maximum recommandé)

Si vous cherchez une alternative conforme, considérez Matomo (hébergé en Europe ou auto-hébergé), Plausible ou Fathom, qui sont conçus pour la conformité RGPD sans nécessiter de consentement dans certaines configurations.

Inventaire des services tiers

Chaque service tiers qui reçoit des données de vos visiteurs doit être documenté dans votre politique de confidentialité. Faites l'inventaire :

• Analytics (Google Analytics, Matomo, Hotjar)
• Réseaux sociaux (Facebook Pixel, boutons de partage, vidéos embarquées)
• Polices de caractères (Google Fonts, Adobe Fonts)
• CDN et ressources externes (jQuery CDN, Bootstrap CDN)
• Outils de chat (Intercom, Drift, Crisp)
• Paiement (Stripe, PayPal)
• Email marketing (Mailchimp, Brevo, ActiveCampaign)

Pour chaque service, vérifiez : le pays d'hébergement des données, l'existence de clauses contractuelles types (CCT) et la politique de confidentialité du sous-traitant. Orilyt détecte automatiquement les trackers tiers chargés par votre site (test #51) et les polices externes (test #53), ce qui simplifie considérablement cet inventaire.

Hébergement et localisation des données

Privilégier un hébergement européen

Le transfert de données personnelles hors de l'Union Européenne est soumis à des conditions strictes depuis l'arrêt Schrems II. Le choix le plus simple et le plus sûr est d'héberger votre site WordPress chez un hébergeur européen :

• France : OVHcloud, o2switch, PlanetHoster (datacenters FR), Infomaniak
• Allemagne : Hetzner, ALL-INKL
• Suisse : Infomaniak (également en Suisse)

Si vous utilisez un hébergeur américain (AWS, DigitalOcean, Cloudflare), assurez-vous que les données sont stockées dans une région européenne et que le Data Privacy Framework (DPF) couvre le transfert.

Sauvegardes et chiffrement

Les sauvegardes contiennent les mêmes données personnelles que votre site en production. Elles doivent être :

• Chiffrées au repos et en transit
• Stockées dans l'UE (ou avec les garanties appropriées)
• Soumises à la même politique de rétention que les données sources
• Accessibles uniquement aux personnes habilitées

Les pages légales obligatoires

Trois pages sont obligatoires pour tout site web accessible depuis la France :

• Mentions légales : identité de l'éditeur, hébergeur, directeur de publication (obligatoire par la LCEN)
• Politique de confidentialité : détail des traitements, bases légales, durées de conservation, droits des personnes, coordonnées du DPO
• Politique de cookies : liste des cookies utilisés, finalités, durées, modalités de gestion (peut être intégrée à la politique de confidentialité)

Pour un site e-commerce, ajoutez les Conditions Générales de Vente (CGV). Pour un service en ligne, les Conditions Générales d'Utilisation (CGU).

Checklist technique RGPD pour WordPress

Récapitulatif des actions techniques à implémenter :

• Certificat SSL valide + redirection HTTPS systématique
• Banner de consentement cookies avec blocage préalable des scripts
• Flags Secure, HttpOnly et SameSite sur tous les cookies
• Cases de consentement sur tous les formulaires
• Politique de confidentialité complète et à jour
• Mentions légales conformes à la LCEN
• Hébergement en UE ou garanties de transfert appropriées
• Inventaire documenté des services tiers et sous-traitants
• Durées de conservation définies et appliquées automatiquement
• Processus de réponse aux demandes d'exercice des droits
• Sauvegardes chiffrées et soumises à la politique de rétention
• Registre des traitements (obligatoire pour les organismes de plus de 250 salariés, recommandé pour tous)

Conclusion

La conformité RGPD n'est pas un obstacle bureaucratique. C'est un cadre qui impose des pratiques de bon sens en matière de protection des données. Pour un site WordPress, l'essentiel tient en quelques principes : chiffrez les échanges, demandez le consentement avant de tracer, ne collectez que le nécessaire, documentez vos traitements et gardez vos composants à jour.

L'automatisation simplifie considérablement cette démarche. Orilyt vérifie en un clic les aspects techniques de la conformité : cookies et leurs flags de sécurité, présence du consentement, trackers tiers, formulaires sécurisés, pages légales et configuration SSL. C'est un point de départ efficace pour identifier les manques et prioriser les corrections.

La conformité parfaite n'existe pas, mais la démarche de mise en conformité, documentée et régulièrement actualisée, est ce que les autorités de contrôle attendent de vous.