Comment supprimer les pixels de suivi de WordPress (RGPD)

Les pixels de suivi (également appelés pixels de conversion ou tags) sont de petits extraits de code que des services comme Facebook, LinkedIn, TikTok, Pinterest et Twitter intègrent à votre site afin de suivre le comportement des visiteurs. Au regard du RGPD, charger ces pixels sans consentement explicite de l'utilisateur constitue une violation, même si l'utilisateur n'interagit jamais avec eux. Ce guide explique comment trouver les pixels de suivi sur votre site WordPress, comprendre les risques juridiques et soit les supprimer complètement, soit les conditionner à un consentement approprié.

Comment fonctionnent les pixels de suivi sur les sites WordPress

Chaque pixel de suivi est un minuscule morceau de JavaScript ou une image invisible 1x1 qui déclenche une requête HTTP vers un serveur distant dès le chargement de la page. Voici ce que font les principales plateformes en coulisses :

• Facebook Pixel (Meta Pixel) : charge la bibliothèque fbevents.js depuis connect.facebook.net. Il suit les vues de page, les clics sur les boutons, les soumissions de formulaire et les événements d'achat. Facebook utilise ces données pour constituer des audiences publicitaires et mesurer les conversions publicitaires. Le pixel dépose également le cookie _fbp contenant un identifiant unique de navigateur.
• LinkedIn Insight Tag : charge du JavaScript depuis snap.licdn.com. Il collecte l'URL de la page, le référent, l'adresse IP, les caractéristiques de l'appareil et du navigateur, ainsi qu'un horodatage. LinkedIn s'en sert pour rapporter des indicateurs de conversion et permettre le reciblage publicitaire pour LinkedIn Ads. Il dépose les cookies li_sugr et UserMatchHistory.
• TikTok Pixel : se charge depuis analytics.tiktok.com. Il capture les événements de vue de page, les événements de clic et des événements de conversion personnalisés. TikTok utilise ces données pour optimiser la publicité et constituer des audiences. Le pixel dépose le cookie _ttp.
• Twitter/X Pixel : se charge depuis static.ads-twitter.com. Il suit les conversions issues des publicités Twitter, y compris les vues de page et des événements spécifiques que vous définissez. Il dépose des cookies tels que muc_ads et personalization_id.
• Pinterest Tag : se charge depuis ct.pinterest.com. Il mesure les actions effectuées par les visiteurs après avoir vu une épingle Pinterest, telles que les visites de pages, les inscriptions et les achats. Il dépose le cookie _pinterest_sess.
• Snapchat Pixel : se charge depuis sc-static.net. Comme les autres pixels, il suit les vues de page et les événements personnalisés pour optimiser les Snap Ads.
• Google Ads Remarketing Tag : bien qu'il ne soit pas toujours appelé « pixel », ce tag provenant de googleads.g.doubleclick.net fonctionne de manière identique. Il suit les visiteurs pour les audiences de remarketing Google Ads.

Tous ces pixels partagent un schéma commun : ils chargent du JavaScript externe, déposent des cookies et transmettent des données personnelles (adresse IP, empreinte du navigateur, comportement de navigation) à des serveurs situés hors de l'UE. Du point de vue du RGPD, chacun d'eux nécessite un consentement explicite et éclairé avant son chargement.

Pourquoi les pixels de suivi violent le RGPD sans consentement

Le RGPD et la directive ePrivacy soulèvent plusieurs problèmes juridiques liés aux pixels de suivi qui se chargent sans consentement :

• Dépôt de cookies sans consentement : l'article 5(3) de la directive ePrivacy exige le consentement avant de stocker ou d'accéder à des informations sur l'appareil de l'utilisateur. Les pixels de suivi déposent des cookies immédiatement au chargement de la page, avant que l'utilisateur n'ait la moindre chance de consentir.
• Transfert de données vers des pays tiers : la plupart des fournisseurs de pixels de suivi sont des sociétés américaines. Depuis l'arrêt Schrems II qui a invalidé le Privacy Shield UE-États-Unis, les transferts de données vers les États-Unis exigent des garanties supplémentaires. Le simple chargement d'un pixel qui envoie des données vers les serveurs américains de Facebook ou de Google peut constituer une violation au titre du transfert.
• Pas d'intérêt légitime pour le suivi publicitaire : les tribunaux et les autorités de protection des données dans toute l'UE ont jugé de manière constante que la publicité et le reciblage ne relèvent pas de l'« intérêt légitime » au sens de l'article 6(1)(f) du RGPD. Vous avez besoin d'un consentement explicite (article 6(1)(a)).
• Manque de transparence : de nombreux propriétaires de sites ne savent même pas que des pixels de suivi sont présents sur leur site. Les extensions, thèmes et widgets tiers les injectent souvent silencieusement. Cela rend impossible la transparence requise par les articles 13 et 14 du RGPD.

Les amendes pour ces violations sont bien réelles. Les autorités européennes de protection des données ont infligé des sanctions importantes à des sites web qui chargent des pixels de suivi sans consentement, la CNIL française et la DSB autrichienne étant en pointe sur les actions répressives.

Où se cachent les pixels de suivi dans WordPress

L'un des plus grands défis consiste tout simplement à trouver tous les pixels de suivi présents sur votre site. Ils peuvent être injectés depuis de nombreux endroits différents :

• Extensions dédiées aux pixels : des extensions comme « PixelYourSite », « Facebook for WooCommerce », « Insert Headers and Footers » ou « Head, Footer and Post Injections » sont conçues pour injecter des codes de suivi. Vérifiez la liste de vos extensions installées pour repérer tout ce qui concerne le suivi, l'analytique ou la publicité.
• Paramètres du thème : de nombreux thèmes premium incluent des champs pour les identifiants de pixels de suivi directement dans leur panneau d'options. Cherchez dans les paramètres de votre thème des champs intitulés « Facebook Pixel ID », « Analytics » ou « Tracking Code ».
• Extensions WooCommerce : si vous gérez une boutique WooCommerce, les extensions pour Facebook Shop, Pinterest Catalog ou TikTok Shopping injectent souvent leurs propres pixels pour suivre les conversions. Ces pixels se chargent sur chaque page, et pas seulement sur les pages produit.
• Modules de constructeurs de pages : certains constructeurs de pages (Elementor, Divi, WPBakery) intègrent du suivi natif ou s'appuient sur des extensions tierces qui injectent des pixels.
• Google Tag Manager : si quelqu'un a configuré GTM sur votre site, un nombre quelconque de pixels de suivi peut se charger via le conteneur sans qu'aucune extension WordPress visible ne soit installée.
• Code manuel dans functions.php : les développeurs ajoutent parfois du code de pixel de suivi directement dans le fichier functions.php du thème ou d'un thème enfant. Cherchez les hooks d'action wp_head ou wp_footer qui produisent des balises script.
• Extensions de partage social et de commentaires : les extensions qui ajoutent des boutons de partage social, des systèmes de commentaires (comme Disqus) ou des fonctionnalités de connexion sociale chargent souvent des scripts de suivi de Facebook, Twitter et d'autres plateformes.
• Codé en dur dans les fichiers de template : dans les installations plus anciennes, les pixels de suivi peuvent être collés directement dans les fichiers de template header.php ou footer.php.

Utilisez InspectWP pour analyser votre site automatiquement. Il détecte Facebook Pixel, LinkedIn Insight Tag, TikTok Pixel, Twitter Pixel, Pinterest Tag et de nombreux autres scripts de suivi tiers, même lorsqu'ils sont profondément enfouis dans le code d'une extension ou d'un thème.

Méthode 1 : suppression complète des pixels de suivi

Si vous ne lancez pas de campagnes publicitaires payantes ou si vous n'avez pas besoin de suivi des conversions, l'approche la plus simple consiste à supprimer entièrement tous les pixels de suivi. Voici un processus systématique :

1. Auditez vos extensions : allez dans Extensions > Extensions installées dans votre administration WordPress. Recherchez tout ce qui contient « pixel », « tracking », « analytics », « tag manager », « facebook », « linkedin », « tiktok » ou « pinterest ». Désactivez et supprimez les extensions dont vous n'avez plus besoin.
2. Vérifiez les paramètres du thème : allez dans le panneau d'options de votre thème (généralement sous Apparence > Options du thème ou Personnaliser). Repérez les champs contenant des identifiants de pixels ou des codes de suivi. Videz ces champs et enregistrez.
3. Inspectez functions.php : ouvrez le fichier functions.php de votre thème enfant. Recherchez des chaînes telles que fbq(, _linkedin_partner_id, ttq.load, twq( ou pintrk(. Supprimez tous les blocs de code liés au suivi.
4. Vérifiez les injections d'en-tête et de pied de page : si vous utilisez une extension d'injection d'en-tête/pied de page, ouvrez ses paramètres et supprimez tous les scripts de pixels de suivi.
5. Passez en revue Google Tag Manager : si GTM est actif sur votre site, connectez-vous à votre compte GTM et examinez tous les tags du conteneur. Supprimez tous les tags pour Facebook, LinkedIn, TikTok, Twitter, Pinterest ou d'autres plateformes de suivi. Si vous n'avez utilisé GTM que pour des pixels de suivi et que vous n'en avez plus besoin, supprimez également l'extension GTM de WordPress.
6. Videz tous les caches : après avoir supprimé les pixels, videz votre cache de page, votre cache CDN et le cache du navigateur afin de purger les anciennes pages mises en cache contenant des scripts de suivi.

Méthode 2 : chargement conditionnel avec une extension de gestion du consentement

Si vous avez besoin de pixels de suivi pour vos campagnes publicitaires, la bonne approche consiste à les bloquer jusqu'à ce que l'utilisateur donne un consentement explicite. Une plateforme de gestion du consentement (CMP) gère cela pour vous :

1. Choisissez une CMP : les CMP les plus populaires compatibles avec WordPress sont Real Cookie Banner, Complianz, Cookiebot et Borlabs Cookie. Real Cookie Banner et Complianz sont les choix les plus populaires sur le marché germanophone, tandis que Cookiebot est largement utilisé à l'international.
2. Installez et configurez la CMP : après l'installation, l'extension analysera votre site à la recherche de cookies et de scripts de suivi. La plupart des CMP détectent automatiquement les pixels courants.
3. Catégorisez les pixels de suivi : assignez tous les pixels de suivi à la catégorie de cookies « Marketing » ou « Publicité ». Cela garantit qu'ils ne se chargent qu'après que l'utilisateur a explicitement opté pour les cookies marketing. Ne placez jamais de pixels de suivi dans la catégorie « Essentiel » ou « Fonctionnel », car celles-ci se chargent sans consentement.
4. Activez le blocage de scripts : la plupart des CMP proposent deux méthodes de blocage. La première est le blocage automatique de scripts, où l'extension détecte et bloque les scripts de suivi connus. La seconde est le blocage manuel à l'aide d'attributs type="text/plain" sur les balises script, que la CMP reconvertit en JavaScript exécutable après consentement.
5. Testez l'implémentation : ouvrez votre site dans une fenêtre de navigation privée, refusez tous les cookies et vérifiez l'onglet Réseau des outils de développement du navigateur. Aucune requête ne doit partir vers des domaines de suivi tels que connect.facebook.net, snap.licdn.com ou analytics.tiktok.com. Acceptez ensuite les cookies marketing et vérifiez que les pixels se chargent correctement.

Voici un exemple de fonctionnement du blocage manuel de scripts avec l'approche par attribut type :

<!-- Avant : le pixel se charge immédiatement (violation du RGPD) -->
<script>
  !function(f,b,e,v,n,t,s){...}(window,document,'script','https://connect.facebook.net/en_US/fbevents.js');
  fbq('init', 'YOUR_PIXEL_ID');
  fbq('track', 'PageView');
</script>

<!-- Après : le pixel est bloqué jusqu'au consentement -->
<script type="text/plain" data-cookie-consent="marketing">
  !function(f,b,e,v,n,t,s){...}(window,document,'script','https://connect.facebook.net/en_US/fbevents.js');
  fbq('init', 'YOUR_PIXEL_ID');
  fbq('track', 'PageView');
</script>

Méthode 3 : Google Tag Manager avec Consent Mode v2

Si vous gérez vos pixels de suivi via Google Tag Manager, vous pouvez utiliser Google Consent Mode v2 pour conditionner le chargement des pixels au consentement de l'utilisateur. C'est la configuration que Google exige désormais pour le trafic européen :

1. Définissez l'état de consentement par défaut : dans votre conteneur GTM, ajoutez un tag d'initialisation du consentement qui définit l'état par défaut. Pour les visiteurs de l'UE, tous les paramètres de consentement doivent être par défaut sur « denied » :

gtag('consent', 'default', {
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'analytics_storage': 'denied',
  'region': ['EU']
});

2. Connectez votre CMP à GTM : la plupart des CMP (Cookiebot, Complianz, Real Cookie Banner) intègrent GTM et mettent automatiquement à jour les signaux de consentement lorsque l'utilisateur fait un choix.
3. Configurez les paramètres de consentement des tags : pour chaque tag de pixel de suivi dans GTM, allez dans les paramètres du tag et configurez les « Paramètres de consentement ». Sous « Vérifications de consentement supplémentaires », exigez le consentement ad_storage et ad_user_data. Cela empêche le tag de se déclencher tant que l'utilisateur n'a pas donné son accord.
4. Activez le Consent Mode dans chaque tag : pour les tags Facebook, LinkedIn, TikTok et autres pixels, assurez-vous qu'ils respectent les signaux de consentement. Les propres tags de Google le font automatiquement. Pour les tags tiers, vous devrez peut-être ajouter des déclencheurs basés sur le consentement.
5. Vérifiez avec le mode Aperçu de GTM : utilisez le mode Aperçu de GTM pour charger votre site. Vous devriez voir que les tags de suivi affichent l'état « Non déclenché » lorsque le consentement est refusé, et « Déclenché » après l'octroi du consentement.

Méthode 4 : suivi côté serveur, une alternative plus respectueuse du RGPD

Le suivi côté serveur est une alternative de plus en plus populaire qui vous donne davantage de contrôle sur les données envoyées aux tiers. Au lieu de charger un pixel dans le navigateur du visiteur, votre serveur envoie directement les données de conversion à l'API de la plateforme :

• Facebook Conversions API : envoie les événements depuis votre serveur vers Facebook au lieu d'utiliser le pixel du navigateur. Vous contrôlez précisément quels points de données sont inclus. Cela élimine entièrement les cookies et le JavaScript tiers.
• Google Tag Manager côté serveur : un conteneur GTM côté serveur traite les événements de suivi sur votre propre serveur avant de les transmettre. Vous pouvez supprimer les données personnelles, anonymiser les adresses IP et contrôler le flux de données.
• LinkedIn Conversions API : similaire à l'approche de Facebook, elle envoie les événements de conversion depuis votre serveur.

Le suivi côté serveur ne vous rend pas automatiquement conforme au RGPD. Vous avez toujours besoin d'une base légale pour traiter les données et vous devez toujours informer les utilisateurs. Cependant, il réduit la quantité de données partagées avec des tiers et élimine le problème du dépôt de cookies dans le navigateur sans consentement. Il fonctionne bien en combinaison avec une CMP : le pixel du navigateur ne se charge qu'après consentement, tandis que l'API côté serveur gère la mesure de base des conversions avec des données anonymisées.

Domaines courants de pixels de suivi à surveiller

Lors de l'audit de votre site, recherchez les requêtes sortantes vers ces domaines dans l'onglet Réseau de votre navigateur :

• Facebook/Meta : connect.facebook.net, www.facebook.com/tr/
• LinkedIn : snap.licdn.com, px.ads.linkedin.com
• TikTok : analytics.tiktok.com, business-api.tiktok.com
• Twitter/X : static.ads-twitter.com, analytics.twitter.com, t.co
• Pinterest : ct.pinterest.com, s.pinimg.com
• Snapchat : sc-static.net, tr.snapchat.com
• Google Ads : googleads.g.doubleclick.net, www.googleadservices.com

Si l'un de ces domaines apparaît dans les requêtes réseau avant que l'utilisateur n'ait donné son consentement, vous avez un problème de RGPD à résoudre.

Après la suppression des pixels de suivi : liste de vérification

1. Lancez InspectWP : analysez à nouveau votre site pour confirmer que tous les pixels de suivi ont été supprimés ou sont correctement conditionnés au consentement. La section RGPD du rapport InspectWP signale tout script de suivi tiers restant.
2. Testez en mode navigation privée : ouvrez votre site dans une fenêtre privée du navigateur. Avant d'interagir avec une bannière de consentement, ouvrez les outils de développement du navigateur et examinez l'onglet Réseau. Filtrez les requêtes vers les domaines de suivi. Il ne doit y en avoir aucune.
3. Vérifiez les cookies : dans les outils de développement, allez dans Application > Cookies. Aucun cookie de suivi de plateformes tierces ne doit être présent avant le consentement.
4. Testez le flux de consentement : acceptez la bannière de consentement et vérifiez que les pixels de suivi se chargent désormais correctement. Vérifiez que les pixels apparaissent dans l'onglet Réseau et que les bons cookies sont déposés.
5. Vérifiez sur plusieurs pages : ne testez pas seulement la page d'accueil. Vérifiez les pages produit, les articles de blog, les landing pages et toute page où des pixels de suivi auraient pu être ajoutés spécifiquement.
6. Testez avec des extensions de navigateur : des outils comme « Facebook Pixel Helper » (extension Chrome) ou « Tag Assistant Legacy » peuvent vérifier que les pixels se chargent correctement après le consentement et ne se chargent pas avant.
7. Mettez à jour votre politique de confidentialité : si vous avez entièrement supprimé les pixels de suivi, mettez à jour votre politique de confidentialité pour le refléter. Si vous utilisez un suivi conditionné au consentement, assurez-vous que votre politique de confidentialité liste tous les services de suivi, leur finalité, les données qu'ils collectent et la durée de vie des cookies.