InspectWP Logo
Guide de correction

Comment configurer le consentement aux cookies dans WordPress (RGPD)

8 février 2026 Mis à jour le 19 avr. 2026

Selon le droit européen de la vie privée, vous ne pouvez pas déposer de cookies de suivi, d'analyse ou de marketing dans le navigateur d'un visiteur sans son consentement explicite et éclairé. Ce n'est pas optionnel, et les violations entraînent de lourdes amendes. La bonne nouvelle, c'est que la mise en place d'une solution de consentement aux cookies adéquate dans WordPress prend environ 30 minutes une fois les exigences comprises. Ce guide couvre la base légale, la mise en œuvre technique et les erreurs courantes qui peuvent vous causer des ennuis.

Ce que le RGPD et la directive ePrivacy exigent réellement

Deux textes législatifs européens régissent la manière dont les sites Web traitent les cookies. Le RGPD (Règlement général sur la protection des données) établit les règles pour le traitement des données personnelles, tandis que la directive ePrivacy (souvent appelée « directive Cookies ») traite spécifiquement du stockage d'informations sur l'appareil d'un utilisateur. Ensemble, ils créent un cadre clair :

  • Article 6 du RGPD (base légale) : vous avez besoin d'une base légale pour traiter les données personnelles. Pour les cookies qui suivent les utilisateurs, la base pertinente est le consentement au titre de l'article 6(1)(a). L'intérêt légitime (article 6(1)(f)) ne s'applique pas aux cookies non essentiels selon la plupart des autorités européennes de protection des données.
  • Article 7 du RGPD (conditions du consentement) : le consentement doit être donné librement, spécifique, éclairé et univoque. Il doit s'agir d'un opt-in actif (pas de cases pré-cochées). Le retrait du consentement doit être aussi facile que sa donation.
  • Directive ePrivacy (article 5(3)) : le stockage ou l'accès à des informations sur l'appareil d'un utilisateur (y compris les cookies, le localStorage et les technologies similaires) nécessite un consentement préalable, sauf si le cookie est strictement nécessaire au service explicitement demandé par l'utilisateur.

En pratique, cela signifie : pas d'analytique, pas de pixels marketing, pas d'intégrations de réseaux sociaux, pas de vidéos intégrées de tiers et pas de cookies publicitaires tant que l'utilisateur n'a pas cliqué sur « Accepter ». Les cookies strictement nécessaires (comme les cookies de session pour un panier d'achat ou les cookies d'authentification) ne nécessitent pas de consentement.

Comprendre les catégories de cookies

Une mise en œuvre correcte du consentement classe les cookies en groupes afin que les utilisateurs puissent faire des choix granulaires. Voici les catégories standards :

  • Strictement nécessaires (essentiels) : cookies requis pour le fonctionnement de base du site. Les exemples incluent les cookies de session (par exemple, le cookie de connexion WordPress wordpress_logged_in_*), les cookies de panier WooCommerce, les jetons CSRF et le cookie de préférence de consentement aux cookies lui-même. Ils ne nécessitent pas de consentement et ne peuvent pas être refusés par l'utilisateur.
  • Fonctionnels (préférences) : cookies qui mémorisent les préférences de l'utilisateur comme la sélection de langue, la préférence de thème ou la région. Ils ne sont pas strictement nécessaires mais améliorent l'expérience utilisateur. Ils nécessitent un consentement.
  • Analytiques (statistiques) : cookies déposés par des outils comme Google Analytics, Matomo ou Plausible qui mesurent comment les visiteurs utilisent votre site. Même les cookies analytiques « anonymes » nécessitent généralement un consentement dans l'UE, sauf si vous utilisez un outil respectueux de la vie privée qui ne dépose aucun cookie (comme Plausible ou Fathom en mode sans cookies).
  • Marketing (publicité) : cookies provenant de réseaux publicitaires, de plateformes de reciblage et de pixels de réseaux sociaux (Facebook Pixel, Google Ads, LinkedIn Insight Tag). Ils nécessitent toujours un consentement.

Configurer Complianz (recommandé pour la plupart des sites)

  1. Installez Complianz - GDPR/CCPA Cookie Consent depuis le répertoire des extensions WordPress.
  2. Lancez l'assistant de configuration. Complianz pose des questions sur l'emplacement de votre entreprise, les régions que vous desservez et les services tiers que vous utilisez. Répondez honnêtement, car l'assistant génère votre politique de cookies et la configuration du consentement en fonction de ces réponses.
  3. L'extension analyse automatiquement votre site pour détecter les cookies. Examinez les résultats de l'analyse et catégorisez tous les cookies qu'elle n'a pas pu identifier automatiquement.
  4. Configurez le design de la bannière de consentement sous Complianz > Bannière de consentement. Choisissez entre une bannière en haut ou en bas, une fenêtre contextuelle centrée ou un panneau latéral. Assurez-vous que le bouton « Tout refuser » est aussi visible que le bouton « Tout accepter » (c'est une exigence légale).
  5. Activez le blocage de scripts. Complianz peut automatiquement bloquer les scripts connus (Google Analytics, Facebook Pixel, intégrations YouTube) jusqu'à ce que l'utilisateur donne son consentement. Allez dans Intégrations et vérifiez que vos services tiers sont listés.
  6. Pour les scripts personnalisés que Complianz ne reconnaît pas, encapsulez-les avec le placeholder Complianz. Changez le type de script de text/javascript à text/plain et ajoutez un attribut data-category.
  7. Testez en ouvrant votre site dans une fenêtre de navigation privée. Avant d'accepter les cookies, vérifiez qu'aucun script d'analyse ou de marketing n'est chargé (consultez l'onglet Réseau dans les DevTools du navigateur). Après acceptation, vérifiez que les scripts se chargent correctement.

Configurer Real Cookie Banner (idéal pour la région DACH)

Real Cookie Banner est une extension développée en Allemagne qui adopte une approche basée sur les services plutôt que sur les cookies. Au lieu de catégoriser les cookies individuels, vous configurez chaque service (Google Analytics, YouTube, Google Maps, etc.) et l'extension s'occupe du reste. Cette approche s'aligne bien avec l'interprétation allemande du RGPD.

  1. Installez Real Cookie Banner depuis le répertoire des extensions WordPress.
  2. Lancez l'assistant de configuration. L'extension comprend une vaste base de données de modèles de services préconfigurés, vous n'avez donc pas besoin de saisir manuellement les noms de cookies ou les durées de conservation pour les services courants.
  3. Pour chaque service détecté, l'extension fournit des descriptions juridiquement vérifiées, les détails du traitement des données et les informations sur les cookies. Examinez-les et ajustez-les si nécessaire.
  4. Configurez la mise en page de la bannière de consentement. Real Cookie Banner offre de nombreuses options de personnalisation pour les couleurs, les styles de boutons et le texte.
  5. L'extension génère un bloqueur de contenu pour le contenu intégré (vidéos YouTube, Google Maps, intégrations de réseaux sociaux). Les visiteurs voient un placeholder avec une demande de consentement à la place du contenu intégré.

Configurer CookieYes

  1. Installez CookieYes | GDPR Cookie Consent depuis le répertoire des extensions WordPress ou inscrivez-vous sur cookieyes.com.
  2. Lancez l'analyse automatique des cookies. CookieYes identifie les cookies sur votre site et les catégorise.
  3. Personnalisez l'apparence de la bannière, les couleurs des boutons et le texte dans le tableau de bord CookieYes.
  4. Configurez le blocage de scripts pour chaque catégorie de cookies. CookieYes prend en charge à la fois le blocage automatique et manuel des scripts.
  5. CookieYes fournit également un générateur de politique de cookies que vous pouvez intégrer sur votre page de politique de confidentialité.

Intégration de Google Consent Mode v2

Si vous utilisez les services Google (Analytics, Ads, Tag Manager), vous devez implémenter Google Consent Mode v2. Depuis mars 2024, Google exige Consent Mode pour les sites diffusant des publicités auprès d'utilisateurs de l'EEE. Sans cela, Google Ads ne collectera pas de données auprès des utilisateurs de l'Espace économique européen.

Consent Mode v2 introduit deux nouveaux paramètres en plus des originaux :

  • ad_user_data : contrôle si les données utilisateur peuvent être envoyées à Google à des fins publicitaires.
  • ad_personalization : contrôle si la publicité personnalisée (remarketing) est autorisée.
  • analytics_storage : contrôle si les cookies analytiques peuvent être déposés.
  • ad_storage : contrôle si les cookies publicitaires peuvent être déposés.

Les trois extensions recommandées (Complianz, Real Cookie Banner, CookieYes) prennent en charge Google Consent Mode v2 prêt à l'emploi. Assurez-vous de l'activer dans les paramètres de l'extension. Lorsqu'un utilisateur n'a pas donné son consentement, Consent Mode envoie des « pings sans cookies » à Google qui fournissent des données agrégées et modélisées sans identifier les utilisateurs individuels.

TCF 2.2 et le framework IAB

Le Transparency and Consent Framework (TCF) version 2.2, géré par l'Interactive Advertising Bureau (IAB), est un protocole standardisé pour communiquer le consentement de l'utilisateur aux fournisseurs de publicité. Si vous diffusez de la publicité programmatique sur votre site (Google AdSense, header bidding, réseaux publicitaires), votre solution de consentement doit prendre en charge TCF 2.2. Cela garantit que les réseaux publicitaires reçoivent les signaux de consentement dans un format standardisé qu'ils peuvent traiter.

Toutes les extensions de consentement gratuites ne prennent pas en charge TCF 2.2. Complianz inclut le support TCF dans sa version premium. CookieYes propose également TCF 2.2 dans ses formules payantes. Si vous dépendez des revenus publicitaires, cet investissement en vaut la peine.

Gérer Google Analytics et Tag Manager avec consentement

La configuration la plus courante consiste à charger Google Tag Manager (GTM) avec Consent Mode v2 comme état par défaut, puis à mettre à jour le consentement lorsque l'utilisateur interagit avec votre bannière. Voici le modèle :

<!-- Charger GTM avec un état de consentement par défaut (refusé) -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('consent', 'default', {
  'analytics_storage': 'denied',
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 500
});
</script>

Votre extension de consentement appelle ensuite gtag('consent', 'update', {...}) lorsque l'utilisateur accepte. Si vous utilisez l'une des extensions WordPress recommandées, cela est géré automatiquement. Vous n'avez pas besoin d'écrire ce code manuellement.

Auditer manuellement les cookies de votre site

Avant de mettre en place une solution de consentement, il est utile de savoir exactement quels cookies votre site dépose. Voici comment les auditer :

  1. Ouvrez votre site dans une fenêtre de navigateur en mode privé.
  2. Ouvrez les DevTools (F12) et allez dans l'onglet Application (Chrome) ou Stockage (Firefox).
  3. Sous Cookies, cliquez sur votre domaine. Notez chaque nom de cookie, son domaine, son expiration et s'il est HttpOnly ou Secure.
  4. Parcourez plusieurs pages, y compris les pages avec du contenu intégré (vidéos YouTube, Google Maps, flux de réseaux sociaux). Chaque interaction peut déposer des cookies supplémentaires.
  5. Vérifiez également le localStorage et le sessionStorage, car ils sont aussi couverts par la directive ePrivacy.
  6. Utilisez l'onglet Réseau de votre navigateur pour identifier les requêtes qui déposent des cookies (recherchez les en-têtes de réponse Set-Cookie).

InspectWP peut aider dans cet audit. Lancez une analyse et consultez la section cookies, qui répertorie tous les cookies détectés pendant l'exploration.

Erreurs courantes de consentement aux cookies entraînant des amendes

Les autorités européennes de protection des données ont infligé d'importantes amendes pour violations en matière de cookies. Voici les erreurs les plus courantes à éviter :

  • Cases de consentement pré-cochées : la CJUE (Cour de justice de l'Union européenne) a statué dans l'affaire Planet49 (2019) que les cases pré-cochées ne constituent pas un consentement valide. Chaque catégorie non essentielle doit faire l'objet d'un opt-in.
  • Murs de cookies : bloquer l'accès à votre site à moins que les utilisateurs n'acceptent tous les cookies est considéré comme une coercition et invalide le consentement. Les utilisateurs doivent pouvoir accéder à votre contenu même s'ils refusent tous les cookies non essentiels.
  • Boutons de refus déroutants : rendre le bouton « Refuser » petit, gris ou caché derrière un lien « Gérer les préférences » alors que le bouton « Tout accepter » est grand et coloré est un dark pattern. La CNIL française a infligé une amende de 150 millions d'euros à Google en partie pour cela. Les deux boutons doivent être également visibles.
  • Aucun moyen de retirer son consentement : les utilisateurs doivent pouvoir modifier leurs préférences de cookies à tout moment. Incluez un lien ou une icône persistante (souvent un petit bouclier ou une icône de cookie dans un coin) qui rouvre la boîte de dialogue de consentement.
  • Déposer des cookies avant le consentement : si votre script d'analyse se déclenche avant même que la bannière de consentement ne soit affichée, vous violez la loi quelle que soit la beauté de votre bannière. Utilisez les DevTools de votre navigateur pour vérifier le timing.
  • Ignorer le consentement pour le contenu intégré : les intégrations YouTube, les iframes Google Maps et les widgets de réseaux sociaux déposent tous des cookies. Vous devez les bloquer jusqu'à ce que le consentement soit donné, généralement en remplaçant l'intégration par un placeholder.

Tester votre implémentation de consentement aux cookies

Après avoir configuré votre solution de consentement, testez-la minutieusement :

  1. Ouvrez votre site en mode navigation privée. La bannière de consentement doit apparaître immédiatement.
  2. Avant d'interagir avec la bannière, vérifiez les cookies dans les DevTools. Vous ne devriez voir que les cookies strictement nécessaires.
  3. Cliquez sur « Tout refuser ». Aucun cookie d'analyse ou de marketing ne devrait être déposé. Naviguez à travers plusieurs pages pour le confirmer.
  4. Effacez les cookies et rechargez. Cliquez sur « Tout accepter ». Vérifiez que les scripts d'analyse et de marketing se chargent désormais correctement.
  5. Effacez à nouveau les cookies. Cliquez sur « Gérer les préférences » et acceptez uniquement l'analytique. Vérifiez que les cookies marketing ne sont pas déposés mais que les cookies analytiques le sont.
  6. Après acceptation, recherchez l'option de retrait du consentement. Cliquez dessus et vérifiez que les cookies non essentiels sont supprimés.

Vérifiez votre configuration de cookies avec InspectWP

Lancez une analyse InspectWP pour voir une liste complète des cookies déposés par votre site lors d'un chargement de page. La section RGPD signale les cookies tiers et les ressources externes qui peuvent nécessiter un consentement. Si vous voyez des cookies Google Analytics, des cookies Facebook ou d'autres cookies de suivi dans le rapport InspectWP, vérifiez que votre solution de consentement les bloque correctement avant que le consentement ne soit donné. N'oubliez pas qu'InspectWP explore votre site sans donner de consentement aux cookies, donc tous les cookies de suivi qui apparaissent dans le rapport indiquent un problème potentiel de conformité.

Article précédent

Comment mettre à jour PHP sur votre hébergement WordPress

Article suivant

Comment corriger la hiérarchie des titres dans WordPress

Articles liés

Comment augmenter la taille maximale des fichiers téléversés dans WordPress

Comment bloquer readme.html et license.txt dans WordPress

Comment désactiver le listage de répertoire dans WordPress (Apache et nginx)

Voir tous les articles

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement