Le RGPD existe depuis mai 2018. Sept ans plus tard, la majorité des sites WordPress des TPE et PME françaises ne sont toujours pas en conformité — non pas par mauvaise volonté, mais parce que les obligations réelles sont noyées dans un flot d’informations contradictoires, de plugins vendus comme solutions miracles et de juristes qui facturent des audits à plusieurs milliers d’euros pour des sites qui n’ont pas de DPO et cinq formulaires de contact.
Ce guide tranche dans le vif. Il ne couvre pas tous les cas imaginables du Règlement Général sur la Protection des Données — il couvre ce qu’un site WordPress standard doit concrètement mettre en place pour être en conformité avec les exigences de la CNIL et du RGPD, dans un langage compréhensible et avec des outils accessibles.
Chiffre clé : selon le rapport annuel de la CNIL, 168 organisations ont été sanctionnées en 2023 pour non-conformité RGPD en France — pour un total de 89 millions d’euros d’amendes. Les sanctions touchent majoritairement les grandes entreprises, mais les PME et TPE ne sont pas exemptées — et les mises en demeure, qui précèdent les sanctions, peuvent contraindre à des corrections sous délai court avec exposition publique.
Ce que le RGPD exige concrètement d’un site WordPress
Le RGPD s’applique à tout site web qui collecte des données personnelles de résidents européens — ce qui inclut, sur un site WordPress standard : les adresses email collectées via un formulaire de contact, les données de commande sur une boutique WooCommerce, les adresses IP enregistrées par les outils d’analyse comme Google Analytics, et les cookies de tracking déposés par des outils tiers.
Les obligations se regroupent en cinq grandes catégories.
Obligation 1 — La gestion des cookies et du consentement
C’est le sujet le plus visible — et le plus souvent mal implémenté. La CNIL a précisé sa doctrine sur les cookies en 2020, avec une mise en application stricte depuis 2022 : aucun cookie non essentiel ne peut être déposé avant que l’utilisateur ait donné son consentement explicite.
Les cookies « non essentiels » incluent notamment : Google Analytics, Google Tag Manager, Meta Pixel, LinkedIn Insight Tag, cookies publicitaires, cookies de réseaux sociaux intégrés (boutons de partage, vidéos YouTube embarquées).
Ce que la CNIL exige concrètement :
- Une bannière de cookies qui apparaît avant tout dépôt de cookie non essentiel
- Un choix clair entre « Accepter », « Refuser » et « Personnaliser » — le bouton « Refuser » doit être aussi visible que le bouton « Accepter » (même taille, même couleur, même position)
- La possibilité de retirer son consentement aussi facilement qu’il a été donné
- La durée de conservation du consentement limitée à 13 mois maximum
Ce qui ne suffit pas :
- Une simple mention « Ce site utilise des cookies » sans possibilité de refuser
- Un bouton « Accepter » bien visible et un lien « Gérer mes préférences » discret
- Des cookies déposés dès le chargement de la page avant tout clic
Sur WordPress, les solutions recommandées :
| Plugin | Conformité CNIL | Gratuit | Fonctionnalités clés |
|---|---|---|---|
| Complianz | Élevée | Oui (pro disponible) | Scan auto des cookies, géo-targeting |
| Cookiebot | Très élevée | Jusqu’à 1 domaine | Scan certifié, rapport de conformité |
| Axeptio | Très élevée | Non (à partir de 14 €/mois) | UX soignée, conforme CNIL, solution française |
| Cookie Notice | Moyenne | Oui | Simple mais paramétrage manuel requis |
Axeptio est la solution française de référence — conçue en conformité avec les recommandations CNIL, avec une UX qui ne pénalise pas l’expérience utilisateur. Complianz est la meilleure option gratuite avec un niveau de conformité sérieux.
Obligation 2 — Les mentions légales et la politique de confidentialité
Ces deux documents sont obligatoires sur tout site web français, indépendamment du RGPD — mais le RGPD enrichit leurs exigences.
Les mentions légales (obligatoires par la loi française depuis 2004) doivent inclure : le nom ou la raison sociale de l’éditeur, l’adresse, le numéro de téléphone, l’adresse email, le numéro SIRET, le nom de l’hébergeur avec ses coordonnées. Pour un professionnel libéral ou une micro-entreprise, le nom et l’adresse personnels peuvent être remplacés par une domiciliation commerciale.
La politique de confidentialité (exigée par le RGPD) doit préciser :
- Quelles données sont collectées (email, nom, adresse IP, données de commande)
- Pourquoi elles sont collectées (la base légale : consentement, contrat, intérêt légitime)
- Qui les reçoit (hébergeur, outil d’emailing, outil analytics, prestataire de paiement)
- Combien de temps elles sont conservées
- Les droits des utilisateurs : accès, rectification, effacement, portabilité, opposition
- Comment exercer ces droits : adresse email dédiée ou formulaire de contact spécifique
Sur WordPress, ces pages doivent être accessibles depuis toutes les pages du site — typiquement dans le footer — et leur URL doit être déclarée dans votre Consent Management Platform (bannière de cookies).
Obligation 3 — Les formulaires de contact et de collecte
Chaque formulaire sur votre site WordPress qui collecte des données personnelles est soumis au RGPD. Cela couvre : le formulaire de contact, le formulaire d’inscription à la newsletter, le formulaire de commande WooCommerce, les formulaires de téléchargement de contenu.
Ce que chaque formulaire doit inclure :
Une mention d’information RGPD sous le formulaire (pas dans les CGV en bas de page) qui précise : qui collecte les données, dans quel but, combien de temps elles sont conservées, et comment exercer ses droits. Cette mention peut être courte (deux à trois lignes) avec un lien vers la politique de confidentialité complète.
Une case à cocher non précochée pour les finalités qui nécessitent un consentement — notamment l’inscription à une newsletter ou l’envoi de communications marketing. La case doit être décochée par défaut et l’utilisateur doit l’activer activement.
Ce qui ne suffit pas :
- Une case « J’accepte les CGV » qui englobe aussi le consentement marketing
- Une mention RGPD dans le footer de la page sans lien depuis le formulaire
- Une case précochée (pratique illégale selon le RGPD)
Sur WordPress, WPForms et Gravity Forms permettent d’ajouter nativement des cases RGPD et des mentions d’information directement dans la configuration du formulaire — sans développement custom.
Obligation 4 — Google Analytics et les outils d’analyse
C’est le point qui cristallise le plus de confusion. La CNIL a mis en demeure plusieurs organisations en 2022 pour utilisation de Google Analytics — considérant que le transfert de données vers des serveurs américains violait le RGPD dans le contexte post-Schrems II.
Depuis, la situation a évolué : le Data Privacy Framework (DPF) signé en 2023 entre l’UE et les États-Unis a rétabli un cadre légal pour ces transferts. Google Analytics 4 est à nouveau utilisable légalement — à condition de :
- Obtenir un consentement explicite avant d’activer la collecte Analytics (via votre bannière de cookies)
- Activer l’anonymisation des adresses IP dans GA4 (activée par défaut dans GA4, à vérifier)
- Configurer le mode de consentement Google (Consent Mode v2) pour que GA4 respecte le choix de l’utilisateur
Les alternatives conformes par design (qui ne transfèrent aucune donnée hors UE) :
- Matomo — solution open source auto-hébergée, aucun transfert de données
- Plausible — outil d’analyse léger, sans cookies, hébergé en UE
- Fathom Analytics — sans cookies, conforme RGPD nativement
Pour les sites qui souhaitent rester sur Google Analytics 4, la configuration du Consent Mode v2 est obligatoire depuis mars 2024 pour continuer à bénéficier des fonctionnalités de modélisation de Google Ads.
Obligation 5 — La sécurité des données et les violations
Le RGPD impose non seulement de protéger les données personnelles, mais aussi de notifier la CNIL en cas de violation (fuite, piratage, accès non autorisé) dans un délai de 72 heures. Sur WordPress, cela implique d’avoir une infrastructure de sécurité minimale.
Les mesures techniques attendues :
- HTTPS actif sur l’ensemble du site (certificat SSL via Let’s Encrypt)
- Mises à jour régulières de WordPress, des thèmes et des plugins — les failles de sécurité non corrigées sont la première cause de violation de données sur WordPress
- Sauvegardes chiffrées stockées sur un serveur externe
- Contrôle des accès : comptes administrateur avec mots de passe forts et authentification à deux facteurs (2FA)
- Plugin de sécurité actif : Wordfence ou Solid Security pour la surveillance et la détection d’intrusion
En cas de violation, la notification à la CNIL se fait via le portail en ligne — et si la violation est susceptible d’engendrer un risque élevé pour les personnes concernées, ces dernières doivent également être informées individuellement.
Récapitulatif des obligations RGPD pour un site WordPress
| Obligation | Outils recommandés | Priorité | Délai de mise en place |
|---|---|---|---|
| Bannière de consentement cookies | Axeptio, Complianz, Cookiebot | Critique | 1 à 3 heures |
| Mentions légales | Page WordPress + template | Critique | 1 à 2 heures |
| Politique de confidentialité | Page WordPress + modèle CNIL | Critique | 2 à 4 heures |
| Mentions RGPD sur formulaires | WPForms, Gravity Forms | Élevée | 30 min par formulaire |
| Consentement newsletter | Case non précochée + mention | Élevée | 30 minutes |
| Configuration GA4 + Consent Mode v2 | Google Analytics + bannière cookies | Élevée | 1 à 2 heures |
| HTTPS actif | Let’s Encrypt via hébergeur | Critique | 15 minutes |
| Sécurité WordPress | Wordfence + 2FA + MAJ | Élevée | 1 à 3 heures |
| Procédure de notification violation | Documentation interne | Moyenne | 1 heure |
FAQ — RGPD et WordPress : les vraies questions
Oui — dès lors qu'il collecte des données personnelles, même minimalement. Un simple formulaire de contact qui reçoit un prénom et une adresse email est une collecte de données personnelles soumise au RGPD. Google Analytics installé sur le site collecte des adresses IP — données personnelles selon le RGPD. Une simple page vitrine avec un formulaire de contact et Google Analytics est donc bien soumise aux obligations de bannière de cookies, de politique de confidentialité et de mention d'information sur le formulaire. La taille du site ou de l'entreprise n'est pas un critère d'exemption — seule la nature des données collectées et des traitements effectués compte.
Pas nécessairement. La nomination d'un DPO est obligatoire pour trois catégories d'organisations : les autorités publiques, les organismes qui effectuent un suivi systématique et à grande échelle des personnes, et les organismes qui traitent à grande échelle des données dites "sensibles" (santé, religion, opinions politiques). Pour une TPE avec un site vitrine, une boutique WooCommerce standard ou un blog, la nomination d'un DPO n'est pas obligatoire. En revanche, désigner en interne une personne référente sur les questions RGPD — même sans titre officiel — est une bonne pratique qui facilite la gestion des demandes d'exercice de droits.
La CNIL recommande de ne pas conserver les données de prospects et de contacts commerciaux au-delà de 3 ans à compter du dernier contact. Pour les données de clients (commandes WooCommerce, factures), la durée de conservation est dictée par les obligations légales : 10 ans pour les documents comptables. Les données de navigation (logs serveur, adresses IP) doivent être supprimées après 12 mois maximum. Ces durées doivent être précisées dans votre politique de confidentialité et respectées en pratique — ce qui implique de mettre en place une procédure de suppression régulière, ou d'utiliser un outil CRM qui gère automatiquement l'archivage et la suppression selon les durées configurées.
