RGPD WordPress en 2026 : le guide mis à jour (cookies, consentement, Consent Mode v2)

150 millions d’euros. C’est l’amende que la CNIL a collée à SHEIN en 2025 pour non-conformité au RGPD. Vous pensez que la conformité cookies, c’est un sujet réglé depuis 2018 ? Que votre petite bannière "Ce site utilise des cookies" suffit ? On en reparle…

J’administre wpformation.com depuis 2012 (Fabrice Ducarme, formateur WordPress certifié Qualiopi). En 14 ans, j’ai traversé la loi cookies de 2013, le RGPD de 2018, l’arrivée de Google Consent Mode en 2024, et maintenant le retrait de la proposition ePrivacy en février 2026. À chaque fois, le même scénario : les propriétaires de sites WordPress découvrent qu’ils ne sont plus conformes. Et à chaque fois, la mise en conformité prend 30 minutes. Mais personne ne le fait.

Ce guide fait le point sur ce qui a changé, ce que vous devez vérifier maintenant, et quel plugin utiliser selon votre situation.

Qu’est-ce qui a changé en 2026 pour le RGPD ?

Le RGPD de 2018 n’a pas bougé d’un iota. Ce qui change, c’est tout ce qui tourne autour : la réglementation cookies, les outils Google, et l’appétit de la CNIL pour les amendes. Trois bouleversements à connaître.

Le retrait de la proposition ePrivacy

C’est le changement le plus inattendu. En 2025, la Commission européenne a officiellement retiré la proposition de règlement ePrivacy (annoncée dans le programme de travail du 11 février, retrait validé le 16 juillet). Neuf ans de négociations… pour rien.

Concrètement, les règles sur les cookies et le consentement ne seront plus dans un règlement séparé. Elles migrent vers le Digital Omnibus, un package législatif qui absorbe les dispositions cookies directement dans le RGPD. La conséquence potentielle : certaines catégories de cookies pourraient passer de l’opt-in (consentement préalable) à l’opt-out (refus possible). Mais rien n’est encore voté.

En attendant, les règles actuelles restent en vigueur. Ne touchez à rien sur votre bannière de consentement pour l’instant – mais gardez un œil sur les annonces du second semestre 2026.

Google Consent Mode v2 : plus optionnel

Google Consent Mode v2 est devenu obligatoire pour tous les annonceurs dans l’Espace Économique Européen. Vous utilisez Google Ads, Google Analytics 4 ou tout autre produit publicitaire Google ? Votre bannière de consentement doit envoyer les signaux Consent Mode à Google. Point.

Deux modes coexistent. Le mode "basic" bloque toute collecte avant consentement – radical mais propre. Le mode "advanced" envoie des pings anonymes (sans cookies) pour alimenter les modèles statistiques de Google, même sans consentement. Lequel choisir ? Pour la plupart des sites WordPress, le mode advanced est le bon compromis : vous gardez des stats exploitables sans enfreindre le RGPD. Mais c’est un choix à faire en connaissance de cause, pas par défaut.

Sur wpformation.com, j’utilise GA4 avec le Consent Mode v2 en mode advanced. Les visiteurs qui refusent les cookies ne sont pas tracés individuellement, mais Google reçoit des pings anonymes qui alimentent ses modèles. Moins de données individuelles, des statistiques globales qui restent exploitables. C’est un compromis que j’assume depuis 2024.

La CNIL n’a jamais autant sanctionné

Les amendes augmentent – en montant et en fréquence. L’amende SHEIN de 150 millions d’euros est un record, mais la CNIL avait déjà audité les 1 000 sites les plus visités en France entre 2021 et 2022. Et les PME ne sont pas épargnées : des amendes de 5 000 à 50 000 euros tombent régulièrement pour des bannières cookies non conformes.

Autre sujet à surveiller : la consultation publique de la CNIL sur les pixels de tracking dans les emails, lancée en juin 2025. Si votre newsletter WordPress utilise des pixels d’ouverture sans consentement (spoiler : c’est le cas de Brevo, Mailchimp et tous les autres), gardez un œil sur les conclusions attendues courant 2026.

Quelles sont les 5 obligations RGPD pour un site WordPress ?

Blog, boutique WooCommerce, site vitrine – peu importe. Ces 5 points sont non négociables. Et croyez-moi, après avoir audité des dizaines de sites clients en tant que formateur WordPress certifié Qualiopi, je les retrouve manquants dans 7 cas sur 10.

1. Une bannière de consentement conforme

La bannière doit proposer un choix réel : accepter, refuser, ou personnaliser les cookies. Le bouton "Refuser"doit être aussi visible et accessible que le bouton"Accepter" – même couleur, même taille, même niveau. Pas de dark pattern, pas de bouton refuser gris sur fond gris, pas de croix minuscule.

Les cookies non nécessaires (analytics, marketing, réseaux sociaux) doivent être bloqués tant que l’utilisateur n’a pas donné son consentement explicite. C’est le point que la CNIL contrôle en premier lors d’un audit.

2. Des pages légales complètes

Trois pages minimum sont obligatoires pour un site WordPress en France :

• Mentions légales – identité de l’éditeur, hébergeur, directeur de publication
• Politique de confidentialité – quelles données vous collectez, pourquoi, combien de temps, quels droits
• Politique de cookies – liste des cookies utilisés, finalité, durée, opt-out

Si vous vendez en ligne : ajoutez les conditions générales de vente (CGV). Notre guide complet sur les mentions légales WordPress détaille la procédure.

3. Un registre des traitements

Obligatoire pour les entreprises de plus de 250 salariés, fortement recommandé pour tous. Le registre documente chaque traitement de données : formulaires de contact, newsletter, analytics, commentaires WordPress. C’est le document que la CNIL demande en premier lors d’un contrôle.

Ça vous paraît fastidieux ? Un simple tableur suffit. Qui collecte, quoi, pourquoi, combien de temps, qui y accède. Comptez une heure pour un site standard, deux à trois heures si vous avez une boutique WooCommerce.

4. La sécurité des données

Le RGPD impose des mesures techniques pour protéger les données personnelles. Pour WordPress, ça implique : HTTPS obligatoire, mots de passe forts, mises à jour régulières du core et des plugins, limitation des accès administrateurs, sauvegardes chiffrées. La sécurité WordPress est un prérequis RGPD, pas un bonus.

5. Le droit d’accès et de suppression

Tout utilisateur peut vous demander quelles données vous détenez sur lui, et exiger leur suppression. WordPress intègre des outils natifs depuis la version 4.9.6 : Outils → Exporter les données personnelles et Outils → Effacer les données personnelles. Assurez-vous que ces fonctionnalités sont actives et que vous savez les utiliser – parce que le jour où quelqu’un fait la demande, vous avez 30 jours pour répondre. Pas 30 jours pour découvrir que l’outil existe.

Quel plugin consentement choisir en 2026 ?

Trois plugins dominent le marché du consentement cookies sur WordPress en 2026. J’ai testé les trois sur des sites clients – voici mon verdict après de 3 à 6 mois d’utilisation sur chacun.

Complianz : le plus complet

Complianz reste ma recommandation principale pour la majorité des sites WordPress. Son assistant de configuration pose les bonnes questions, scanne automatiquement vos cookies, génère les pages légales, et gère le geo-targeting – une bannière différente selon le pays du visiteur. Pas mal pour un plugin.

Le gros avantage : tout est auto-hébergé dans WordPress. Aucun appel API externe, aucune dépendance à un service tiers. Vos données de consentement restent sur votre serveur. Compatible Google Consent Mode v2 depuis la version 7.0. Pour un tutoriel détaillé, consultez notre guide complet Complianz.

CookieYes : le plus simple

CookieYes mise sur la simplicité avec un scan automatique des cookies et une configuration en 5 minutes. C’est le plugin que je recommande aux débutants qui veulent être conformes sans se poser de questions. Certifié Google CMP, traduction automatique en 40+ langues.

Le bémol : la version gratuite limite le nombre de pages vues par mois. Si votre site dépasse 25 000 vues mensuelles, il faut passer au premium. Et les données de consentement sont stockées sur les serveurs de CookieYes, pas sur les vôtres. Pour un site d’entreprise soucieux de souveraineté numérique, c’est un point à considérer.

WPConsent : le plus léger

Le petit nouveau qui monte. WPConsent est 100 % natif WordPress : 12 Ko ajoutés au poids de page, zéro connexion externe, stockage des consentements sur votre serveur. La version gratuite n’a pas de limite de pages vues – c’est rare et appréciable.

Compatible Google Consent Mode v2, blocage automatique des scripts, éditeur visuel pour la bannière. Développé par l’équipe derrière WPBeginner et WPForms – un gage de pérennité. Pour un site WordPress standard qui veut être conforme sans alourdir le temps de chargement, WPConsent est une option sérieuse.

Quid de WooCommerce et du RGPD ?

Si vous gérez une boutique WooCommerce, les enjeux RGPD sont démultipliés. Vous collectez des noms, adresses, emails, numéros de téléphone, données de paiement… Le registre des traitements n’est plus optionnel – il est obligatoire de facto.

Les points spécifiques à WooCommerce :

• Paniers abandonnés – les plugins de relance (AutomateWoo, CartFlows) collectent des emails avant finalisation de commande. C’est un traitement de données qui nécessite un consentement
• Avis clients – si vous utilisez un plugin d’avis vérifié, les données associées doivent être déclarées dans votre politique de confidentialité
• Historique des commandes – WooCommerce conserve les commandes indéfiniment par défaut. Fixez une durée de conservation (3 à 5 ans pour les obligations comptables, puis suppression)
• Plugins de paiement – Stripe, PayPal, Mollie… chacun a sa propre politique RGPD. Mentionnez-les dans votre politique de confidentialité comme sous-traitants

Un audit RGPD complet d’une boutique WooCommerce prend de 2 à 4 heures, contre 30 minutes pour un site vitrine. Autant le prévoir.

Google Fonts, YouTube, Maps : les cookies que vous oubliez

On l’oublie trop souvent, mais votre site WordPress ne se limite pas à GA4 et votre formulaire de contact. Chaque ressource externe chargée depuis un serveur tiers est potentiellement un cookie non déclaré.

Google Fonts – Si vous chargez les polices depuis fonts.googleapis.com, Google reçoit l’adresse IP de vos visiteurs à chaque chargement de page. La solution : héberger les polices localement. Sur wpformation.com, j’utilise next/font qui héberge tout en local. Sur un WordPress classique, le plugin OMGF (Optimize My Google Fonts) fait le travail en un clic.

YouTube – Une simple vidéo embarquée avec <iframe> dépose des cookies de tracking Google. L’alternative : utilisez le mode "no-cookie" de YouTube (youtube-nocookie.com au lieu de youtube.com) ou bloquez l’iframe jusqu’au consentement via votre plugin de consentement.

Google Maps – Même problème. Chaque carte embarquée transmet des données à Google. Préférez une image statique avec un lien vers Google Maps, ou conditionnez le chargement au consentement.

Boutons de partage social – Facebook, Twitter/X, LinkedIn… les boutons de partage natifs déposent des cookies de tracking avant même que le visiteur ne clique dessus. Utilisez des boutons de partage légers qui ne chargent aucun script externe (comme ceux de wpformation.com).

Quelles sont les erreurs RGPD que je vois encore en 2026 ?

En tant que formateur WordPress certifié Qualiopi et co-créateur de WPS Hide Login (2 millions d’installations), j’audite régulièrement des sites clients. Voici les erreurs RGPD les plus fréquentes – certaines sont présentes sur des sites qui pensent être conformes.

Le "mur de cookies" déguisé

Certains sites affichent la bannière en plein écran avec un overlay qui empêche la navigation tant que l’utilisateur n’a pas cliqué. C’est interdit par la CNIL depuis 2020. L’utilisateur doit pouvoir continuer à naviguer même sans interagir avec la bannière.

Google Analytics chargé avant consentement

Le classique. Le script GA4 est dans le <head> du site et s’exécute avant que la bannière ne s’affiche. Même si vous avez une belle bannière, si le cookie _ga est posé avant le clic, vous n’êtes pas conforme. Vérifiez dans la console navigateur : si un cookie Google apparaît avant votre premier clic sur la bannière, il y a un problème.

Pas de bouton "Refuser" visible

Un lien discret "Gérer mes préférences"ne remplace pas un bouton"Refuser tout" bien visible. La CNIL exige que le refus soit aussi simple que l’acceptation – un clic, pas deux.

Formulaire de contact sans mention RGPD

Chaque formulaire qui collecte des données personnelles (nom, email, téléphone) doit afficher une mention d’information : qui collecte, pourquoi, combien de temps, quels droits. Une case à cocher "J’accepte la politique de confidentialité" avec un lien vers celle-ci suffit. Ça paraît évident… mais est-ce que vous le faites ?

Newsletter sans double opt-in

Si vous collectez des emails via un formulaire d’inscription newsletter (Brevo, Mailchimp, MailPoet…), le double opt-in n’est pas techniquement obligatoire en France, mais la CNIL le recommande fortement. Et en Allemagne, c’est une obligation légale. Si votre site a des visiteurs européens – et c’est le cas de presque tous les sites WordPress francophones – activez le double opt-in. Ça vous évitera bien des ennuis.

Comment auditer son RGPD WordPress en 30 minutes ?

Voici la checklist que j’utilise pour auditer la conformité RGPD d’un site WordPress. Trente minutes suffisent pour la parcourir – je l’ai chronométrée sur des dizaines de sites clients.

1. Installer et configurer un plugin de consentement (Complianz, CookieYes ou WPConsent)
2. Vérifier que tous les cookies non requis sont bloqués avant consentement
3. Activer Google Consent Mode v2 si vous utilisez GA4 ou Google Ads
4. Créer ou mettre à jour la page Politique de confidentialité
5. Créer ou mettre à jour la page Politique de cookies
6. Vérifier les mentions légales (éditeur, hébergeur, directeur de publication)
7. Ajouter une mention RGPD + case à cocher sur chaque formulaire de contact
8. Héberger les Google Fonts en local (plugin OMGF ou équivalent)
9. Remplacer les embeds YouTube par le mode no-cookie
10. Tester les outils natifs WordPress d’export et suppression de données (Outils → Données personnelles)
11. Scanner votre site avec l’outil CNIL pour détecter les cookies non déclarés
12. Documenter vos traitements dans un registre (même simplifié)

Et après ? Ce qui arrive en 2027

Le Digital Omnibus est en cours de négociation au Parlement européen. Si les dispositions cookies passent effectivement de l’opt-in à l’opt-out pour certaines catégories, ça pourrait simplifier la gestion du consentement – ou la compliquer. Personne ne sait encore.

Ce qui est certain : la tendance mondiale va vers plus de transparence, pas moins. Le CCPA californien, le LGPD brésilien, le POPIA sud-africain… tous renforcent les droits des utilisateurs. Votre site WordPress n’est pas en conformité pour faire plaisir à la CNIL. Il l’est parce que c’est la norme mondiale en 2026.

La protection des données commence par la protection du site lui-même. Une bannière conforme ne sert à rien sur un WordPress non sécurisé : mots de passe faibles, plugins obsolètes, sauvegardes absentes. C’est l’angle mort le plus fréquent que je rencontre en audit.

Et vous, votre site est-il vraiment conforme ? Faites le test avec la checklist ci-dessus. Ça prend 30 minutes. Pas d’excuses.

Questions fréquentes

Mon petit blog WordPress sans revenus publicitaires est-il concerné par le RGPD ?

Oui. Le RGPD s’applique dès que vous collectez des données personnelles de résidents européens – et un simple formulaire de contact ou les commentaires WordPress suffisent. En revanche, si vous n’utilisez aucun cookie superflu (pas d’analytics, pas de partage social), votre bannière de consentement peut être très simple, voire inutile.

Complianz, CookieYes ou WPConsent : lequel choisir ?

Complianz si vous voulez garder toutes les données sur votre serveur et gérer la conformité multi-régionale (59 EUR/an). CookieYes si vous cherchez la simplicité maximale et que le stockage externe ne vous gêne pas (10 EUR/mois). WPConsent pour un compromis léger, auto-hébergé, gratuit sans limite de pages vues. Les trois gèrent Google Consent Mode v2.

Le retrait de la proposition ePrivacy change-t-il quelque chose maintenant ?

Non, pas pour l’instant. Les règles actuelles (RGPD + directive ePrivacy de 2002 transposée en droit national) restent en vigueur. Le changement viendra quand le Digital Omnibus sera adopté, probablement pas avant 2027. Maintenez votre conformité actuelle – ne changez rien en anticipation.

Google Analytics 4 est-il conforme au RGPD ?

GA4 peut être utilisé de manière conforme si vous activez le Consent Mode v2, si votre bannière bloque le tracking avant consentement, et si vous avez configuré la conservation des données à 14 mois maximum. La CNIL a validé cette approche dans ses recommandations de 2024.

Quel est le risque réel d’une non-conformité RGPD pour un site WordPress ?

Pour les grandes entreprises : jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros. Pour les PME et indépendants : amendes de 5 000 à 50 000 euros. Le risque le plus courant : une plainte d’un internaute via le formulaire CNIL – la procédure est simple et gratuite pour le plaignant. Au-delà de l’amende, une mise en demeure publique nuit à la réputation.

Dois-je refaire ma bannière cookies si j’en ai déjà une ?

Si votre bannière a plus de 2 ans, oui. Vérifiez trois points : le bouton "Refuser"est-il aussi visible que"Accepter" ? Les cookies sont-ils effectivement bloqués avant consentement ? Le Google Consent Mode v2 est-il actif ? Si un de ces trois points est manquant, mettez à jour votre configuration.

Les Google Fonts chargées depuis googleapis.com posent-elles un problème RGPD ?

Oui. Un tribunal allemand a condamné un site à 100 EUR d’amende en janvier 2022 pour avoir chargé des Google Fonts depuis les serveurs de Google sans consentement. Hébergez vos polices localement avec le plugin OMGF ou chargez-les depuis votre propre serveur. Sur un site Next.js, next/font le fait nativement.

Le double opt-in est-il obligatoire pour les newsletters en France ?

Techniquement non – la CNIL n’impose pas le double opt-in en France. Mais elle le recommande fortement comme bonne pratique. En Allemagne, c’est une obligation légale. Si votre newsletter touche des résidents de plusieurs pays européens, activez le double opt-in. C’est 5 minutes de configuration sur Brevo ou Mailchimp.