RGPD WordPress : le guide complet 2026 (DPO, plugins, sanctions)

150 millions d’euros. C’est l’amende que la CNIL a infligée à SHEIN le 1er septembre 2025 pour cookies déposés sans consentement. Vous pensez que la conformité cookies, c’est un sujet réglé depuis 2018 ? Que votre petite bannière "Ce site utilise des cookies" suffit ? On en reparle…

J’administre wpformation.com depuis 2012 (Fabrice Ducarme, formateur WordPress certifié Qualiopi, co-créateur de WPS Hide Login installé sur 2 millions de sites). En 14 ans, j’ai traversé la loi cookies de 2013, le RGPD de 2018, l’arrêt Schrems II en 2020, l’arrivée de Google Consent Mode en 2024, et le retrait de la proposition ePrivacy par la Commission européenne en février 2025. À chaque fois, le même scénario : les propriétaires de sites WordPress découvrent qu’ils ne sont plus conformes. Et à chaque fois, même si la mise en conformité ne prend que 30 minutes, personne ne le fait ^^

Ce guide fait le point sur ce qui a changé, ce que vous devez vérifier maintenant, quel plugin utiliser selon votre situation, et comment gérer les transferts de données hors UE depuis l’invalidation du Privacy Shield. Toutes les sources officielles sont hyperliées : CNIL, EDPB, Cour de justice de l’UE, ANSSI.

Qu’est-ce qui a changé en 2026 pour le RGPD ?

Le RGPD de 2016 n’a pas bougé d’un iota. Ce qui change, c’est tout ce qui tourne autour : la réglementation cookies, les outils Google, la jurisprudence sur les transferts internationaux, et l’appétit de la CNIL pour les amendes. Quatre bouleversements à connaître.

Le retrait de la proposition ePrivacy

C’est le changement le plus inattendu. En 2025, la Commission européenne a officiellement retiré la proposition de règlement ePrivacy (annoncée dans le programme de travail 2025 publié le 12 février, retrait formellement actée la même année). Neuf ans de négociations… pour rien.

Concrètement, les règles sur les cookies et le consentement ne seront plus dans un règlement séparé. Elles migrent vers le Digital Omnibus, un package législatif qui absorbe les dispositions cookies directement dans le RGPD. La conséquence potentielle : certaines catégories de cookies pourraient passer de l’opt-in (consentement préalable) à l’opt-out (refus possible). Mais rien n’est encore voté.

En attendant, les règles actuelles restent en vigueur. Ne touchez à rien sur votre bannière de consentement pour l’instant – mais gardez un œil sur les annonces du second semestre 2026.

Google Consent Mode v2 : plus optionnel

Google Consent Mode v2 est devenu obligatoire pour tous les annonceurs dans l’Espace Économique Européen depuis mars 2024. Vous utilisez Google Ads, Google Analytics 4 ou tout autre produit publicitaire Google ? Votre bannière de consentement doit envoyer les signaux Consent Mode à Google. Point. La CNIL accepte l’usage de GA4 depuis l’adoption du Data Privacy Framework (juillet 2023), à condition d’activer Consent Mode v2 et de bloquer le tracking avant consentement.

Deux modes coexistent. Le mode "basic" bloque toute collecte avant consentement – radical mais propre. Le mode "advanced" envoie des pings anonymes (sans cookies) pour alimenter les modèles statistiques de Google, même sans consentement. Lequel choisir ? Pour la plupart des sites WordPress, le mode advanced est le bon compromis : vous gardez des stats exploitables sans enfreindre le RGPD. Mais c’est un choix à faire en connaissance de cause, pas par défaut.

Sur wpformation.com, j’utilise GA4 avec le Consent Mode v2 en mode advanced. Les visiteurs qui refusent les cookies ne sont pas tracés individuellement, mais Google reçoit des pings anonymes qui alimentent ses modèles. Moins de données individuelles, des statistiques globales qui restent exploitables. C’est un compromis que j’assume depuis 2024.

Schrems II : la jurisprudence qui change tout pour les transferts

Le 16 juillet 2020, la Cour de justice de l’Union européenne (arrêt C-311/18, dit "Schrems II") a invalidé le Privacy Shield, l’accord qui permettait aux entreprises américaines de recevoir des données personnelles européennes. Du jour au lendemain, des milliers de transferts vers les USA sont devenus illégaux : Google Analytics, Mailchimp, Cloudflare, Facebook Pixel, Google Fonts hébergées sur fonts.googleapis.com… la liste est longue.

Le 10 juillet 2023, la Commission européenne a adopté la décision d’adéquation EU-US Data Privacy Framework (DPF, le nouveau cadre légal qui autorise les transferts UE-USA via une certification volontaire des entreprises américaines), qui restaure un cadre légal pour les transferts vers les USA. Mais le DPF est déjà attaqué devant la Cour de justice – son sort est incertain. Les recommandations 01/2020 de l’EDPB (Comité européen de la protection des données, l’autorité qui réunit toutes les CNIL européennes) sur les transferts internationaux restent la référence pour évaluer le risque pays par pays.

Pour un site WordPress en 2026, ça veut dire : si vous utilisez un outil hébergé hors UE, vous devez documenter ce transfert dans votre politique de confidentialité, vérifier que le sous-traitant est couvert par le DPF (pour les USA) ou par des clauses contractuelles types (CCT), et idéalement chercher une alternative européenne. J’y reviens en détail plus loin.

La CNIL n’a jamais autant sanctionné

Les amendes augmentent – en montant et en fréquence. L’amende SHEIN de 150 millions d’euros est un record, mais la CNIL avait déjà audité les 1 000 sites les plus visités en France entre 2021 et 2022. Et les PME ne sont pas épargnées : des amendes de 5 000 à 50 000 euros tombent régulièrement pour des bannières cookies non conformes.

Autre sujet à surveiller : la consultation publique de la CNIL sur les pixels de tracking dans les emails, lancée en juin 2025. Si votre newsletter WordPress utilise des pixels d’ouverture sans consentement (spoiler : c’est le cas de Brevo, Mailchimp et tous les autres), gardez un œil sur les conclusions attendues courant 2026.

Quelles sont les 5 obligations RGPD pour un site WordPress ?

Blog, boutique WooCommerce, site vitrine – peu importe. Ces 5 points sont non négociables. Et croyez-moi, après avoir audité des dizaines de sites clients en tant que formateur WordPress certifié Qualiopi, je les retrouve manquants dans 7 cas sur 10.

1. Une bannière de consentement conforme

La bannière doit proposer un choix réel : accepter, refuser, ou personnaliser les cookies. Le bouton "Refuser" doit être aussi visible et accessible que le bouton "Accepter" – même couleur, même taille, même niveau. Pas de dark pattern, pas de bouton refuser gris sur fond gris, pas de croix minuscule. Les règles CNIL sur les cookies et autres traceurs sont explicites.

Les cookies non nécessaires (analytics, marketing, réseaux sociaux) doivent être bloqués tant que l’utilisateur n’a pas donné son consentement explicite. C’est le point que la CNIL contrôle en premier lors d’un audit.

2. Des pages légales complètes

Trois pages minimum sont obligatoires pour un site WordPress en France :

• Mentions légales – identité de l’éditeur, hébergeur, directeur de publication
• Politique de confidentialité – quelles données vous collectez, pourquoi, combien de temps, quels droits, quels sous-traitants, quels transferts hors UE
• Politique de cookies – liste des cookies utilisés, finalité, durée, opt-out

Si vous vendez en ligne : ajoutez les conditions générales de vente (CGV). Notre guide complet sur les mentions légales WordPress détaille la procédure.

3. Un registre des traitements

L’article 30 du RGPD impose un registre à toutes les entreprises de plus de 250 salariés, mais aussi à celles dont le traitement n’est pas occasionnel (= la quasi-totalité des sites WordPress qui ont un fichier client) ou qui traitent des données sensibles. En pratique : tout le monde. Le registre documente chaque traitement de données : formulaires de contact, newsletter, analytics, commentaires WordPress, commandes WooCommerce. C’est le document que la CNIL demande en premier lors d’un contrôle. La CNIL fournit un modèle de registre simplifié en accès libre.

Ça vous paraît fastidieux ? Un simple tableur suffit. Qui collecte, quoi, pourquoi, combien de temps, qui y accède, où sont stockées les données. Comptez une heure pour un site standard, deux à trois heures si vous avez une boutique WooCommerce.

4. La sécurité des données

Le RGPD impose des mesures techniques pour protéger les données personnelles (article 32). Pour WordPress, ça implique : HTTPS obligatoire, mots de passe forts, mises à jour régulières du core et des plugins, limitation des accès administrateurs, sauvegardes chiffrées, journalisation des accès. L’ANSSI publie un guide "Sécuriser un site web" qui font référence en France. La sécurité WordPress est un prérequis RGPD, pas un bonus.

5. Le droit d’accès et de suppression

Tout utilisateur peut vous demander quelles données vous détenez sur lui, et exiger leur suppression (articles 15 et 17 du RGPD). WordPress intègre des outils natifs depuis la version 4.9.6 : Outils → Exporter les données personnelles et Outils → Effacer les données personnelles. Assurez-vous que ces fonctionnalités sont actives et que vous savez les utiliser – parce que le jour où quelqu’un fait la demande, vous avez 30 jours pour répondre. Pas 30 jours pour découvrir que l’outil existe.

Faut-il désigner un DPO pour un site WordPress ?

Question qui revient à chaque audit. La réponse courte : non dans 95 % des cas, oui pour les autres. Le détail compte.

L’article 37 du RGPD rend la désignation d’un Délégué à la protection des données (DPO) obligatoire dans trois cas : autorité ou organisme public, traitement nécessitant un suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles (santé, opinions politiques, orientation sexuelle, données biométriques…). Pour un blog WordPress, un site vitrine ou une petite boutique WooCommerce, vous n’êtes pas concerné.

En revanche, dès que vous franchissez certains seuils, la question se pose sérieusement :

• E-commerce avec plus de 5 000 commandes annuelles – vous traitez des données à grande échelle (noms, adresses, paiements, historique)
• Site qui fait du profilage marketing – segmentation comportementale, scoring, retargeting massif
• Plateforme communautaire avec plus de 10 000 membres actifs – vous gérez des comptes, des messages, des préférences
• Tout traitement de données sensibles – site médical, juridique, syndical, religieux : DPO quasi systématiquement obligatoire

Interne ou externe ? Le guide CNIL sur la désignation du DPO autorise les deux. Pour une TPE ou une PME, le DPO externe mutualisé est souvent la bonne solution : un consultant indépendant ou un cabinet juridique vous accompagne quelques heures par mois. Comptez 200 à 500 euros par mois selon la taille de votre structure. C’est aussi une protection : en cas de contrôle CNIL, avoir un DPO démontre votre démarche de conformité, même si l’audit révèle des failles.

Erreur fréquente que je vois en audit : confondre le DPO et le responsable de traitement. Le responsable de traitement, c’est vous (ou votre société) – celui qui décide pourquoi et comment les données sont collectées. Le DPO, c’est un conseil indépendant qui vérifie votre conformité et fait l’interface avec la CNIL. Le DPO n’est pas responsable juridiquement à votre place. Vous restez le responsable.

Quel plugin consentement choisir en 2026 ?

Trois plugins dominent le marché du consentement cookies sur WordPress en 2026. J’ai testé les trois sur des sites clients – voici mon comparatif après 3 à 6 mois d’utilisation sur chacun, suivi du verdict détaillé.

Critère	Complianz	CookieYes	WPConsent
Installations actives	1 M+	1 M+	100 K+
Note (avis)	4.8/5 (1 608)	4.8/5 (3 195)	4.8/5 (51)
Prix gratuit	Sans limite	5 000 vues/mois (depuis juillet 2025)	Sans limite
Prix premium	59 EUR/an	10 EUR/mois	Gratuit
Consent Mode v2	Natif (v7.0+)	Natif	Natif
Stockage consentements	Votre serveur	Serveurs CookieYes	Votre serveur
Scan auto cookies	Oui	Oui	Oui
Génération pages légales	Oui (FR)	Oui (40+ langues)	Non
Geo-targeting	Oui	Oui (premium)	Non
Poids ajouté à la page	~28 Ko	~22 Ko (CDN)	~12 Ko
Documentation FR	Complète	Partielle	Anglais
Recommandé pour	Sites pros, agences	Blogs, débutants	Sites légers

Complianz : le plus complet

Complianz reste ma recommandation principale pour la majorité des sites WordPress. Son assistant de configuration pose les bonnes questions, scanne automatiquement vos cookies, génère les pages légales, et gère le geo-targeting – une bannière différente selon le pays du visiteur. Pas mal pour un plugin.

Le gros avantage : les consentements de vos visiteurs sont stockés dans votre base WordPress, jamais sur un serveur tiers. Le plugin consulte cookiedatabase.org pour identifier automatiquement les cookies tiers, mais les choix de vos utilisateurs ne quittent pas votre infrastructure. En France si votre hébergeur est en France. Compatible Google Consent Mode v2 depuis la version 7.0. Pour un tutoriel détaillé, consultez notre guide complet Complianz.

CookieYes : le plus simple

CookieYes mise sur la simplicité avec un scan automatique des cookies et une configuration en 5 minutes. C’est le plugin que je recommande aux débutants qui veulent être conformes sans se poser de questions. Certifié Google CMP, traduction automatique en 40+ langues.

Le bémol : la version gratuite limite le nombre de pages vues par mois à 5 000 (depuis juillet 2025, contre 25 000 avant). Si votre site dépasse ce seuil, il faut passer au premium. Et les données de consentement sont stockées sur les serveurs de CookieYes (data centers EU selon leur Data Processing Agreement), pas sur les vôtres. Pour un site d’entreprise soucieux de souveraineté numérique, c’est un point à considérer – et à documenter dans votre politique de confidentialité.

WPConsent : le plus léger

Le petit nouveau qui monte. WPConsent est 100 % natif WordPress : 12 Ko ajoutés au poids de page, zéro connexion externe, stockage des consentements sur votre serveur. La version gratuite n’a pas de limite de pages vues – c’est rare et appréciable.

Compatible Google Consent Mode v2, blocage automatique des scripts, éditeur visuel pour la bannière. Développé par l’équipe derrière WPBeginner et WPForms – un gage de pérennité. Pour un site WordPress standard qui veut être conforme sans alourdir le temps de chargement, WPConsent est une option sérieuse. Le seul vrai défaut : la documentation est encore essentiellement en anglais.

Hébergement et transferts de données hors UE : ce que change Schrems II

Voilà le sujet le plus négligé par les sites WordPress français – et celui qui peut faire le plus mal en cas de plainte. Depuis l’arrêt Schrems II du 16 juillet 2020, tout transfert de données personnelles vers un pays hors Espace économique européen doit reposer sur un fondement juridique solide. D’expérience, sur les sites WordPress français que j’audite depuis 2020, la quasi-totalité envoie quotidiennement des données vers les États-Unis sans que les propriétaires en aient conscience.

Pourquoi votre WordPress envoie déjà des données aux USA

Faisons le tour des suspects habituels sur un WordPress français moyen :

• Google Analytics 4 – données de navigation transférées vers les serveurs Google aux USA. Couvert par le DPF depuis juillet 2023, mais à documenter
• Google Fonts en CDN – chaque chargement transmet l’IP du visiteur à Google.
• Mailchimp / Brevo (compte US) – la base d’abonnés newsletter est stockée aux USA pour Mailchimp, en France pour Brevo (à vérifier dans votre contrat)
• Cloudflare – selon votre configuration, le trafic transite par les data-centers Cloudflare aux USA ou en Allemagne
• Stripe – paiements et données clients chez Stripe Inc. (USA)
• Embeds YouTube/Vimeo – chaque page avec une vidéo embarquée déclenche un transfert
• Plugins SaaS – Yoast SEO premium, RankMath, Jetpack, OptinMonster, Hotjar… beaucoup envoient des données à leurs serveurs US

Ce que vous devez faire concrètement

1. Cartographier vos transferts – listez tous les services tiers utilisés et leur pays d’hébergement (le plugin de scan de Complianz le fait automatiquement)
2. Vérifier la base légale – pour les USA, le sous-traitant doit être certifié Data Privacy Framework. Pour les autres pays, des clauses contractuelles types (CCT) ou des règles d’entreprise contraignantes (BCR) sont nécessaires
3. Documenter dans la politique de confidentialité – chaque transfert hors UE doit être mentionné, avec le sous-traitant, le pays, et la base légale
4. Bloquer avant consentement – votre plugin de consentement doit empêcher le chargement de ces ressources tant que le visiteur n’a pas accepté

Alternatives européennes aux services US courants

Si vous voulez réduire votre exposition aux transferts hors UE, voici les alternatives européennes que je teste ou utilise sur wpformation.com et chez mes clients.

Service US	Alternative EU	Pays hébergeur	Migration
Google Analytics 4	Matomo (auto-hébergé) ou Plausible	FR / DE	Modérée
Mailchimp	Brevo (compte EU) ou MailPoet	FR	Facile
Google Fonts	Self-hosting via OMGF ou Bunny Fonts	EU	Très facile (1 plugin)
Cloudflare	Bunny.net ou Scaleway CDN	SI / FR	Modérée (DNS)
YouTube embed	Vimeo (compte EU) ou PeerTube	FR	Modérée
Stripe	Mollie ou Lemonway	NL / FR	Difficile (intégration)
Hotjar	Microsoft Clarity (en EU) ou Smartlook	EU	Facile

Sur wpformation.com, j’ai migré vers Brevo pour les newsletters (basé en France), Bunny.net pour le CDN, et next/font pour les Google Fonts auto-hébergées. Je conserve GA4 (couvert par le DPF) parce que les alternatives Matomo et Plausible ne couvrent pas mes besoins SEO. C’est un compromis assumé, documenté dans ma politique de confidentialité.

WooCommerce et RGPD : 8 obligations spécifiques

Si vous gérez une boutique WooCommerce, les enjeux RGPD sont démultipliés. Vous collectez des noms, adresses, emails, numéros de téléphone, données de paiement, historiques de commandes… Le registre des traitements n’est plus optionnel, il est obligatoire de facto. Voici les huit points à auditer en priorité, avec les durées de conservation légales.

Donnée WooCommerce	Durée légale	Action recommandée
Factures et commandes	10 ans (obligation comptable)	Archivage automatique année N+1
Comptes clients inactifs	3 ans après dernier achat	Email de réactivation puis suppression
Paniers abandonnés (data + relance email)	6 mois si relance commerciale envisagée	Purge automatique (cron)
Données de paiement (CB)	13 mois max (anti-fraude)	Géré par le PSP (Stripe, Mollie)
Avis clients	5 ans après publication	Anonymisation après suppression compte
Newsletter newsletter (opt-in)	3 ans après dernière interaction	Désabonnement automatique
Logs de connexion clients	6 mois à 1 an (CNIL)	Purge automatique
Données de prospection (B2B)	3 ans après dernier contact	Suppression manuelle si non-client

Les points spécifiques à WooCommerce

• Paniers abandonnés – les plugins de relance (AutomateWoo, CartFlows, FunnelKit) collectent des emails avant finalisation de commande. C’est un traitement de données qui nécessite un consentement explicite, pas un opt-out caché dans les CGV
• Avis clients vérifiés – si vous utilisez un plugin d’avis avec collecte automatique (Loox, Judge.me, Trustpilot), les données associées doivent être déclarées dans votre politique de confidentialité, et le sous-traitant doit être listé
• Historique des commandes – WooCommerce conserve les commandes indéfiniment par défaut. Configurez la suppression automatique après la durée légale (10 ans pour les factures, 3 ans pour les comptes inactifs)
• Plugins de paiement – Stripe, PayPal, Mollie, Lemonway… chacun a sa propre politique RGPD. Mentionnez-les dans votre politique de confidentialité comme sous-traitants, avec leur pays d’hébergement
• Dropshipping – si vous transmettez les coordonnées clients à un fournisseur situé en Chine ou aux USA pour expédition, c’est un transfert hors UE qui doit être documenté et qui peut nécessiter le consentement explicite du client
• Coupons et programmes de fidélité – le profilage marketing (segmentation, retargeting basé sur les achats) nécessite un consentement séparé du consentement cookies

Un audit RGPD complet d’une boutique WooCommerce prend de 2 à 4 heures, contre 30 minutes pour un site vitrine. Autant le prévoir. Pour une mise en conformité accompagnée, je propose des audits one-to-one ou des formations sur-mesure éligibles OPCO.

Google Fonts, YouTube, Maps : les cookies que vous oubliez

On l’oublie trop souvent, mais votre site WordPress ne se limite pas à GA4 et votre formulaire de contact. Chaque ressource externe chargée depuis un serveur tiers est potentiellement un cookie non déclaré, et chaque embed est potentiellement un transfert hors UE.

Google Fonts – Si vous chargez les polices depuis fonts.googleapis.com, Google reçoit l’adresse IP de vos visiteurs à chaque chargement de page. Sur wpformation.com, j’utilise next/font qui héberge tout en local. Sur un WordPress classique, le plugin OMGF (Optimize My Google Fonts) fait le travail en un clic. C’est sur ce point précis qu’un tribunal allemand a condamné un site à 100 EUR d’amende en janvier 2022 – précédent à connaître.

YouTube – Une simple vidéo embarquée avec <iframe> dépose des cookies de tracking Google et déclenche un transfert vers les USA. L’alternative : utilisez le mode "no-cookie" de YouTube (youtube-nocookie.com au lieu de youtube.com) ou bloquez l’iframe jusqu’au consentement via votre plugin de consentement.

Google Maps – Même problème. Chaque carte embarquée transmet des données à Google. Préférez une image statique avec un lien vers Google Maps, ou conditionnez le chargement au consentement. Pour un cabinet ou un magasin physique, OpenStreetMap via le plugin Leaflet Maps est une alternative 100 % EU.

Boutons de partage social – Facebook, Twitter/X, LinkedIn… les boutons de partage natifs déposent des cookies de tracking avant même que le visiteur ne clique dessus. Utilisez des boutons de partage légers qui ne chargent aucun script externe (comme ceux de wpformation.com – un simple lien vers l’URL de partage).

Quelles sont les erreurs RGPD que je vois encore en 2026 ?

En tant que formateur WordPress certifié Qualiopi et co-créateur de WPS Hide Login (2 millions d’installations), j’audite régulièrement des sites clients. Voici les erreurs RGPD les plus fréquentes – certaines sont présentes sur des sites qui pensent être conformes.

Le "mur de cookies" déguisé

Certains sites affichent la bannière en plein écran avec un overlay qui empêche la navigation tant que l’utilisateur n’a pas cliqué. La CNIL avait interdit cette pratique en 2019, mais le Conseil d’État a annulé l’interdiction générale en juin 2020 ; depuis la recommandation modifiée du 17 septembre 2020, le cookie wall est strictement encadré : l’utilisateur doit avoir une alternative réelle, le prix d’une éventuelle option payante doit rester raisonnable, et le refus doit être aussi simple que l’acceptation. En pratique, la CNIL rejette la majorité des cookie walls en contrôle.

Google Analytics chargé avant consentement

Le classique. Le script GA4 est dans le <head> du site et s’exécute avant que la bannière ne s’affiche. Même si vous avez une belle bannière, si le cookie _ga est posé avant le clic, vous n’êtes pas conforme. Vérifiez dans la console navigateur : si un cookie Google apparaît avant votre premier clic sur la bannière, il y a un problème.

Pas de bouton "Refuser" visible

Un lien discret "Gérer mes préférences" ne remplace pas un bouton "Refuser tout" bien visible. La CNIL exige que le refus soit aussi simple que l’acceptation – un clic, pas deux. Une FAQ CNIL dédiée aux professionnels détaille les bonnes pratiques.

Formulaire de contact sans mention RGPD

Chaque formulaire qui collecte des données personnelles (nom, email, téléphone) doit afficher une mention d’information : qui collecte, pourquoi, combien de temps, quels droits. Une case à cocher "J’accepte la politique de confidentialité" avec un lien vers celle-ci suffit. Ça paraît évident… mais est-ce que vous le faites sur Contact Form 7, WPForms, Gravity Forms ?

Newsletter sans double opt-in

Si vous collectez des emails via un formulaire d’inscription newsletter (Brevo, Mailchimp, MailPoet…), le double opt-in n’est pas techniquement obligatoire en France, mais la CNIL le recommande fortement. Et en Allemagne, c’est une obligation légale. Si votre site a des visiteurs européens – et c’est le cas de presque tous les sites WordPress francophones – activez le double opt-in. Ça vous évitera bien des ennuis.

Politique de confidentialité copiée-collée

L’erreur que je vois le plus en 2026 : une politique de confidentialité générique trouvée sur un générateur en ligne, qui ne mentionne ni votre vraie liste de sous-traitants, ni vos transferts hors UE, ni vos durées de conservation réelles. En cas de plainte CNIL, c’est la première chose qui sera examinée. Si elle ne reflète pas la réalité de votre site, vous êtes en faute caractérisée. Adaptez-la à votre situation, ou faites-la rédiger par un professionnel.

Comment auditer son RGPD WordPress en 30 minutes ?

Voici la checklist que j’utilise pour auditer la conformité RGPD d’un site WordPress. Trente minutes suffisent pour la parcourir – je l’ai chronométrée sur des dizaines de sites clients. Pour une boutique WooCommerce, ajoutez 1 à 3 heures pour l’audit des commandes, paniers et paiements.

1. Installer et configurer un plugin de consentement (Complianz, CookieYes ou WPConsent)
2. Vérifier que tous les cookies non requis sont bloqués avant consentement (console F12 → Application → Cookies)
3. Activer Google Consent Mode v2 si vous utilisez GA4 ou Google Ads
4. Créer ou mettre à jour la page Politique de confidentialité (en mentionnant tous les sous-traitants et transferts hors UE)
5. Créer ou mettre à jour la page Politique de cookies
6. Vérifier les mentions légales (éditeur, hébergeur, directeur de publication)
7. Ajouter une mention RGPD + case à cocher sur chaque formulaire de contact
8. Héberger les Google Fonts en local (plugin OMGF ou équivalent)
9. Remplacer les embeds YouTube par le mode no-cookie
10. Tester les outils natifs WordPress d’export et suppression de données (Outils → Données personnelles)
11. Cartographier les transferts hors UE (Mailchimp, Cloudflare, Stripe, Hotjar…) et les documenter
12. Scanner votre site avec l’outil CNIL "CookieViz" pour détecter les cookies non déclarés
13. Documenter vos traitements dans un registre (modèle CNIL en accès libre)
14. Vérifier la conformité du double opt-in newsletter

Et après ? Ce qui arrive en 2027

Le Digital Omnibus est en cours de négociation au Parlement européen. Si les dispositions cookies passent effectivement de l’opt-in à l’opt-out pour certaines catégories (cookies de mesure d’audience anonymisés, par exemple), ça pourrait simplifier la gestion du consentement – ou la compliquer si la frontière entre les catégories devient floue. Personne ne sait encore.

Côté transferts internationaux, le DPF est attaqué devant la Cour de justice par l’association noyb (le collectif de Max Schrems). Un troisième arrêt "Schrems III" pourrait invalider à nouveau le cadre USA-UE. Préparez-vous mentalement à un possible nouveau séisme à horizon 2027-2028.

Ce qui est certain : la tendance mondiale va vers plus de transparence, pas moins. Le CCPA californien, le LGPD brésilien, le POPIA sud-africain, la loi 25 québécoise… tous renforcent les droits des utilisateurs. Votre site WordPress n’est pas en conformité pour faire plaisir à la CNIL. Il l’est parce que c’est la norme mondiale en 2026.

La protection des données commence par la protection du site lui-même. Une bannière conforme ne sert à rien sur un WordPress non sécurisé : mots de passe faibles, plugins obsolètes, sauvegardes absentes. C’est l’angle mort le plus fréquent que je rencontre en audit. Renforcer la sécurité (HTTPS, 2FA admin, mises à jour, sauvegardes chiffrées) est un prérequis, pas une option.

Et vous, votre site est-il vraiment conforme ? Faites le test avec la checklist ci-dessus. Ça prend 30 minutes. Pas d’excuses.

Questions fréquentes sur le RGPD WordPress

Mon petit blog WordPress sans revenus publicitaires est-il concerné par le RGPD ?

Oui. Le RGPD s’applique dès que vous collectez des données personnelles de résidents européens – et un simple formulaire de contact ou les commentaires WordPress suffisent. En revanche, si vous n’utilisez aucun cookie superflu (pas d’analytics, pas de partage social), votre bannière de consentement peut être très simple, voire inutile.

Faut-il désigner un DPO pour un site WordPress ?

Non dans 95 % des cas. Le DPO est obligatoire (article 37 du RGPD) pour les autorités publiques, les traitements à grande échelle de données sensibles, ou le suivi régulier et systématique à grande échelle. Pour un blog ou un site vitrine, vous n’êtes pas concerné. Pour une boutique WooCommerce qui dépasse 5 000 commandes annuelles ou un site qui fait du profilage marketing massif, désignez-en un (interne ou externe mutualisé, 200 à 500 EUR/mois).

Complianz, CookieYes ou WPConsent : lequel choisir ?

Complianz si vous voulez garder toutes les données sur votre serveur et gérer la conformité multi-régionale (59 EUR/an). CookieYes si vous cherchez la simplicité maximale et que le stockage externe ne vous gêne pas (10 EUR/mois). WPConsent pour un compromis léger, auto-hébergé, gratuit sans limite de pages vues. Les trois gèrent Google Consent Mode v2 nativement.

Le retrait de la proposition ePrivacy change-t-il quelque chose maintenant ?

Non, pas pour l’instant. Les règles actuelles (RGPD + directive ePrivacy de 2002 transposée en droit national) restent en vigueur. Le changement viendra quand le Digital Omnibus sera adopté, probablement pas avant 2027. Maintenez votre conformité actuelle – ne changez rien en anticipation.

Google Analytics 4 est-il conforme au RGPD ?

GA4 peut être utilisé de manière conforme si vous activez le Consent Mode v2, si votre bannière bloque le tracking avant consentement, et si vous avez configuré la conservation des données à 14 mois maximum. La CNIL considère cette configuration conforme depuis l’adoption du DPF en 2023, et le transfert vers les USA est couvert par le Data Privacy Framework depuis juillet 2023.

Quelles alternatives européennes à Google Analytics ?

Trois options crédibles : Matomo (auto-hébergeable, 100 % open source, le plus complet), Plausible (hébergé en Allemagne, ultra-léger, sans cookie), Microsoft Clarity (hébergé partiellement en EU, gratuit, focus heatmaps). Matomo est le plus proche fonctionnellement de GA4 mais demande un effort technique. Plausible est le plus simple à mettre en place pour un blog ou un site vitrine.

Quel est le risque réel d’une non-conformité RGPD pour un site WordPress ?

Pour les grandes entreprises : jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros (article 83 du RGPD). Pour les PME et indépendants : amendes de 5 000 à 50 000 euros. Le risque le plus courant : une plainte d’un internaute via le formulaire CNIL – la procédure est simple et gratuite pour le plaignant. Au-delà de l’amende, une mise en demeure publique nuit à la réputation.

Dois-je refaire ma bannière cookies si j’en ai déjà une ?

Si votre bannière a plus de 2 ans, oui. Vérifiez trois points : le bouton "Refuser" est-il aussi visible que "Accepter" ? Les cookies sont-ils effectivement bloqués avant consentement ? Le Google Consent Mode v2 est-il actif ? Si un de ces trois points est manquant, mettez à jour votre configuration. Comptez 30 minutes avec un plugin moderne.

Les Google Fonts chargées depuis googleapis.com posent-elles un problème RGPD ?

Oui. Hébergez vos polices localement avec le plugin OMGF, ou chargez-les depuis Bunny Fonts (CDN européen). Sur un site Next.js, next/font le fait nativement.

Le double opt-in est-il obligatoire pour les newsletters en France ?

Techniquement non – la CNIL n’impose pas le double opt-in en France. Mais elle le recommande fortement comme bonne pratique. En Allemagne, c’est une obligation légale. Si votre newsletter touche des résidents de plusieurs pays européens, activez le double opt-in. C’est 5 minutes de configuration sur Brevo, Mailchimp ou MailPoet.

Le Data Privacy Framework couvre-t-il vraiment tous les transferts vers les USA ?

Non. Le DPF (en vigueur depuis juillet 2023) couvre uniquement les transferts vers des entreprises américaines certifiées et inscrites sur la liste officielle DPF. Vérifiez sur le site officiel que votre sous-traitant y figure. Pour les autres transferts hors UE (Inde, Chine, Russie…), il faut des clauses contractuelles types (CCT) ou des règles d’entreprise contraignantes (BCR), et idéalement le consentement explicite de l’utilisateur.

Comment savoir si ma boutique WooCommerce est conforme ?

Cinq vérifications express : (1) durée de conservation des commandes configurée (10 ans factures, 3 ans comptes inactifs), (2) plugin de relance paniers abandonnés avec consentement explicite, (3) sous-traitants de paiement listés dans la politique de confidentialité, (4) outils natifs WP d’export et suppression de données fonctionnels, (5) si dropshipping ou fournisseur hors UE, transfert documenté avec consentement client. Comptez 2 à 4 heures pour un audit complet.

Article original sur WPFormation