InspectWP Logo
Bonne pratique

Liste de vérification de conformité RGPD pour WordPress

8 février 2026 Mis à jour le 19 avr. 2026

Le Règlement général sur la protection des données (RGPD) s'applique à tout site web accessible aux visiteurs de l'Union européenne, indépendamment du lieu d'hébergement du site. Pour les propriétaires de sites WordPress, cela signifie qu'il faut accorder une attention particulière à la manière dont votre site collecte, traite et transfère les données personnelles. Cette liste de vérification se concentre sur les aspects techniques de mise en œuvre que vous pouvez vérifier et corriger vous-même. Pour les questions juridiques relatives aux accords de traitement des données, aux bases légales et aux exigences réglementaires spécifiques, consultez un conseiller qualifié en protection des données.

Gestion des services externes et des transferts de données transfrontaliers

Chaque ressource chargée depuis un serveur externe transmet au minimum l'adresse IP du visiteur à l'opérateur de ce serveur. Selon le RGPD, une adresse IP est considérée comme une donnée personnelle. Sans base légale valable ni consentement explicite, le chargement de ressources externes constitue une violation de la protection des données. Cela est particulièrement problématique avec les services basés aux États-Unis, car le cadre de transfert de données UE-États-Unis demeure un domaine juridique contesté.

  • Hébergez Google Fonts localement : Lorsque les Google Fonts sont chargées depuis fonts.googleapis.com, chaque vue de page envoie l'adresse IP du visiteur, les détails du navigateur et l'URL de référence aux serveurs de Google. Les tribunaux allemands ont jugé cette pratique illégale sans consentement, avec des amendes commençant à 100 EUR par infraction. Téléchargez les fichiers de polices et servez-les depuis votre propre serveur. Des extensions comme « OMGF » ou « Local Google Fonts » automatisent ce processus. Après le passage, vérifiez qu'aucune requête vers fonts.googleapis.com ou fonts.gstatic.com ne subsiste dans l'onglet réseau de votre navigateur.
  • Désactivez Gravatar ou mettez en cache les avatars localement : WordPress envoie par défaut des hachages MD5 des adresses e-mail des commentateurs aux serveurs Gravatar basés aux États-Unis. Même le hachage lui-même peut être considéré comme une donnée personnelle (il peut être inversé pour les adresses e-mail connues). Désactivez Gravatar dans Réglages > Discussion, ou utilisez une extension qui met en cache les avatars localement et ne les récupère qu'une seule fois avec consentement.
  • Auto-hébergez les analyses ou utilisez une approche basée sur le consentement : Google Analytics transfère des données étendues sur les visiteurs vers des serveurs américains, notamment les adresses IP, le comportement de navigation et les empreintes d'appareils. Soit auto-hébergez une solution d'analyse comme Matomo (qui conserve toutes les données sur votre serveur), soit implémentez Google Analytics derrière un mécanisme de consentement adéquat qui bloque tout suivi jusqu'à ce que le visiteur opte activement pour. Les outils d'analyse côté serveur comme Plausible ou Fathom sont des alternatives respectueuses de la vie privée qui fonctionnent sans cookies.
  • Bloquez Google Maps jusqu'à l'obtention du consentement : Les intégrations Google Maps chargent plusieurs scripts de suivi et transfèrent des données de visiteurs à Google. Au lieu d'intégrer la carte directement, affichez une image statique ou un espace réservé avec un bouton « Charger la carte ». Ne chargez l'intégration Google Maps réelle qu'après que l'utilisateur a cliqué pour donner son consentement. La même approche s'applique à Google reCAPTCHA, qui transfère également des données à Google.
  • Auditez tout le chargement de ressources externes : Au-delà des services évidents, vérifiez les bibliothèques hébergées sur CDN (jQuery depuis ajax.googleapis.com, Font Awesome depuis cdnjs.cloudflare.com), les vidéos YouTube ou Vimeo intégrées, les widgets de réseaux sociaux, les chatbots et tout autre script tiers. Chaque requête externe est un problème potentiel de RGPD. Remplacez les bibliothèques hébergées sur CDN par des copies hébergées localement chaque fois que possible.
  • Gérez le contenu intégré avec des modèles de façade : Pour les vidéos YouTube, les intégrations de réseaux sociaux et autres contenus tiers similaires, utilisez une solution à deux clics. Affichez d'abord une vignette ou un espace réservé avec un avis de confidentialité, puis ne chargez l'intégration réelle qu'après que le visiteur a cliqué. Des extensions comme « Embed Privacy » gèrent cela automatiquement pour les services courants.

Mettre en œuvre correctement le consentement aux cookies

La directive ePrivacy (souvent appelée « directive Cookie ») complète le RGPD et exige le consentement avant de placer des cookies non essentiels. Bien gérer le consentement aux cookies est l'un des aspects les plus scrutés de la conformité au RGPD.

  • Installez une extension de gestion du consentement appropriée : Utilisez une plateforme dédiée de gestion du consentement (CMP) comme Complianz, Real Cookie Banner ou Cookiebot. Ces extensions gèrent la complexité juridique de la catégorisation des cookies, de l'enregistrement du consentement et du blocage des scripts. Les solutions gratuites manquent souvent de fonctionnalités importantes telles que la journalisation du consentement ou la détection automatique des scripts.
  • Bloquez les cookies et scripts non essentiels avant le consentement : Il s'agit de l'exigence technique la plus critique. Votre extension de consentement doit effectivement empêcher les cookies de suivi, les scripts d'analyse et les pixels marketing de se charger jusqu'à ce que le visiteur donne son consentement. Afficher simplement une bannière sans bloquer les scripts n'est pas conforme. Testez cela en ouvrant votre site dans une fenêtre de navigation privée, en refusant tous les cookies, et en vérifiant si des requêtes tierces apparaissent toujours dans l'onglet réseau.
  • Proposez des catégories de cookies granulaires : Les visiteurs doivent pouvoir choisir entre différentes catégories : Fonctionnel (nécessaire au fonctionnement du site), Statistiques (analyse et mesure des performances) et Marketing (publicité et suivi). Un simple « Tout accepter » sans alternatives n'est pas conforme au RGPD.
  • Rendez le refus des cookies aussi facile que l'acceptation : Le bouton « Tout refuser » ou « Accepter uniquement l'essentiel » doit être aussi visible et facile d'accès que le bouton « Tout accepter ». Cacher l'option de refus derrière un lien « Gérer les paramètres », utiliser une police plus petite ou exiger des clics supplémentaires a été jugé non conforme par plusieurs autorités européennes de protection des données.
  • Permettez le retrait du consentement à tout moment : Les visiteurs doivent pouvoir modifier leurs préférences de cookies après la décision initiale. Ajoutez un lien persistant dans votre pied de page (par exemple, « Paramètres des cookies » ou « Paramètres de confidentialité ») qui rouvre la boîte de dialogue de consentement. Il s'agit d'une exigence légale, et non d'une option.
  • Enregistrez et stockez les preuves de consentement : En cas de litige ou d'audit, vous devez prouver que le consentement a été donné. Votre extension de consentement doit stocker un enregistrement horodaté de chaque décision de consentement, y compris les catégories acceptées et la version de la politique de confidentialité en vigueur.

Exigences de stockage et de traitement des données WordPress

Au-delà des cookies, WordPress traite les données personnelles de plusieurs autres manières qui requièrent une attention au regard du RGPD.

  • Gérez correctement les données du formulaire de commentaire : WordPress stocke le nom, l'adresse e-mail et l'URL du site web des commentateurs. Il définit également des cookies pour mémoriser ces informations pour les visiteurs récurrents. Soit désactivez ces cookies dans Réglages > Discussion (décochez « Afficher la case d'acceptation des cookies »), soit remplacez le comportement par défaut par une case de consentement explicite qui renvoie vers votre politique de confidentialité.
  • Ajoutez une case de consentement de confidentialité à tous les formulaires : Chaque formulaire qui collecte des données personnelles (formulaires de contact, inscriptions à la newsletter, formulaires d'inscription) nécessite une case à cocher où l'utilisateur consent explicitement au traitement de ses données. La case ne doit pas être pré-cochée, et l'étiquette doit renvoyer vers votre politique de confidentialité. La plupart des extensions de formulaires (Contact Form 7, WPForms, Gravity Forms) prennent cela en charge nativement.
  • Examinez l'utilisation de localStorage et sessionStorage : Ces mécanismes de stockage du navigateur peuvent être utilisés pour le suivi tout comme les cookies. Auditez les données que vos extensions stockent dans localStorage et sessionStorage. Toute donnée pouvant identifier ou suivre un visiteur relève du RGPD. Vous pouvez vérifier cela dans les outils de développement du navigateur sous l'onglet « Application ».
  • Limitez la conservation des données des formulaires de contact : Ne stockez pas indéfiniment les soumissions de formulaires. Configurez votre extension de formulaires pour supprimer automatiquement les soumissions après une période définie (par exemple, 90 jours). Si vous avez besoin des données plus longtemps pour une finalité spécifique, documentez cette finalité dans votre politique de confidentialité.
  • Mettez en œuvre des politiques de conservation des données : Selon le principe de limitation de stockage du RGPD, les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. Cela s'applique aux comptes utilisateurs, aux commentaires, aux données de commande (pour WooCommerce), aux fichiers journaux et aux données analytiques. Définissez des durées de conservation pour chaque catégorie de données et appliquez-les, manuellement ou par automatisation.
  • Prenez en charge les demandes d'accès des personnes concernées : Le RGPD donne aux individus le droit de demander une copie de toutes les données personnelles que vous détenez à leur sujet, ainsi que le droit de les faire supprimer. WordPress inclut une page d'outils de confidentialité intégrée (sous Outils > Exporter les données personnelles et Outils > Effacer les données personnelles) qui aide à cela, mais vous devriez tester le processus et vous assurer qu'il couvre les données de toutes vos extensions.

Pages légales requises pour la conformité RGPD

Certaines pages sont légalement obligatoires pour tout site web accessible dans l'UE. Des pages légales manquantes ou incomplètes peuvent entraîner des avertissements, des amendes ou des mises en demeure.

  • Politique de confidentialité (obligatoire partout dans l'UE) : Doit décrire toutes les activités de traitement de données dans un langage clair et compréhensible. Incluez les données que vous collectez, pourquoi vous les collectez, combien de temps vous les stockez, avec qui vous les partagez et quels droits ont les visiteurs. WordPress fournit un modèle de politique de confidentialité sous Réglages > Confidentialité qui couvre les bases, mais vous devez le personnaliser pour vos extensions et services spécifiques.
  • Politique relative aux cookies (recommandée) : Peut être une page autonome ou une section au sein de votre politique de confidentialité. Énumérez tous les cookies que votre site dépose, leur finalité, leur durée et s'ils sont de première ou de tierce partie. Votre extension de gestion du consentement génère généralement cette liste automatiquement.
  • Mentions légales (obligatoires en Allemagne et en Autriche) : Doivent inclure le nom légal complet, l'adresse postale, l'adresse e-mail et le numéro de téléphone de l'opérateur du site. Pour les entreprises, incluez le numéro de registre du commerce, le numéro de TVA et la personne responsable. Cela est requis en vertu du Telemediengesetz allemand (TMG) et de l'E-Commerce-Gesetz autrichien (ECG), et non du RGPD, mais c'est tout aussi appliqué.

Vérifiez la conformité RGPD de votre site WordPress avec InspectWP

La section RGPD d'InspectWP détecte automatiquement l'utilisation de Gravatar, les Google Fonts chargées en externe, le suivi Google Analytics, les intégrations Google Maps, les pixels et scripts de suivi Facebook, ainsi que d'autres ressources externes qui transfèrent des données de visiteurs à des tiers. Utilisez-le comme point de départ de votre audit RGPD. Planifiez des analyses régulières pour détecter les nouvelles ressources externes susceptibles d'être introduites lorsque des extensions sont mises à jour ou que de nouveaux contenus sont publiés.

Article précédent

Liste de contrôle de sécurité WordPress

Article suivant

Liste de vérification SEO pour WordPress

Articles liés

Lancer un nouveau site WordPress — que vérifier

Guide d'optimisation des performances WordPress

Liste de vérification SEO pour WordPress

Voir tous les articles

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement