InspectWP Logo
Glossaire

Qu'est-ce que Gravatar ?

8 février 2026 Mis à jour le 19 avr. 2026

Gravatar, abréviation de Globally Recognized Avatar, est un service gratuit exploité par Automattic (l'entreprise derrière WordPress.com) qui associe des images de profil à des adresses e-mail. Le concept est simple : vous téléversez un avatar une seule fois sur gravatar.com, et il vous suit partout sur le web. Tout site qui prend en charge Gravatar peut afficher votre photo de profil à côté de votre nom, sans que vous ayez à la téléverser à nouveau.

WordPress prend en charge Gravatar depuis la version 2.5 (2008), et il est activé par défaut sur chaque installation WordPress. Cela signifie qu'à moins de le désactiver activement, votre site WordPress envoie des données aux serveurs de Gravatar chaque fois qu'une page contenant des avatars se charge. Pour de nombreux propriétaires de sites, en particulier dans l'Union européenne, cela crée un problème de confidentialité important.

Comment Gravatar fonctionne en interne

Le processus technique derrière Gravatar est simple mais comporte d'importantes implications en matière de confidentialité. Lorsque WordPress doit afficher un avatar pour un utilisateur ou un commentateur, il prend son adresse e-mail, la convertit en minuscules, supprime les espaces et génère un hachage MD5. Par exemple, l'e-mail user@example.com devient quelque chose comme b58996c504c5638798eb6b511e6f49af.

WordPress construit alors une URL d'image comme celle-ci :

https://secure.gravatar.com/avatar/b58996c504c5638798eb6b511e6f49af?s=96&d=mm

Le paramètre s définit la taille de l'image (96 pixels dans ce cas), et le paramètre d spécifie une image par défaut à afficher si aucun Gravatar n'existe pour ce hachage. Lorsque le navigateur d'un visiteur charge la page, il effectue une requête HTTP vers secure.gravatar.com pour récupérer chaque image d'avatar. Cette requête inclut l'adresse IP du visiteur (comme toute requête HTTP), et l'URL elle-même contient le hachage MD5 de l'e-mail du commentateur.

Les hachages MD5 sont théoriquement à sens unique, mais en pratique, ils sont facilement réversibles pour les adresses e-mail courantes. Les rainbow tables et services de recherche de hachages peuvent souvent reconvertir un hachage MD5 en e-mail original. Cela signifie que les URL Gravatar ne sont pas vraiment anonymisées.

Où WordPress utilise Gravatar par défaut

Les images Gravatar apparaissent à plusieurs endroits sur un site WordPress, et tous ne sont pas évidents :

  • Sections de commentaires : chaque commentaire affiche le Gravatar du commentateur à côté de son nom. Sur un article avec 50 commentaires, cela représente 50 requêtes distinctes vers les serveurs de Gravatar.
  • Tableau de bord d'administration : la zone d'administration de WordPress affiche les Gravatars de l'utilisateur connecté, dans les listes d'utilisateurs et sur le widget "D'un coup d'œil".
  • Encarts d'auteur : de nombreux thèmes affichent le Gravatar de l'auteur dans la section de bio de l'auteur sous les articles.
  • Pages de profil utilisateur : dans l'administration WordPress, les profils utilisateur utilisent Gravatar comme source d'avatar par défaut.
  • BuddyPress et bbPress : si vous utilisez ces extensions communautaires, les Gravatars apparaissent dans les forums, les annuaires de membres et les flux d'activité.
  • Avis WooCommerce : les avis sur les produits affichent les Gravatars des évaluateurs comme les commentaires de blog.

Le problème RGPD et DSGVO en détail

Le Règlement Général sur la Protection des Données (RGPD, ou DSGVO en allemand) exige que les données personnelles ne soient traitées qu'avec une base légale, généralement le consentement éclairé. Le comportement par défaut de Gravatar dans WordPress crée plusieurs problèmes de conformité au RGPD :

Transmission de l'adresse IP : lorsque le navigateur d'un visiteur récupère une image Gravatar, son adresse IP est envoyée aux serveurs d'Automattic (situés aux États-Unis). Les adresses IP sont considérées comme des données personnelles selon le RGPD. Ce transfert de données se produit à l'insu du visiteur et sans son consentement, et il n'existe aucun mécanisme dans WordPress pour demander la permission avant de charger les Gravatars.

Exposition du hachage de l'e-mail : le hachage MD5 de l'adresse e-mail de chaque commentateur est intégré dans l'URL du Gravatar, qui est visible dans le code source HTML de la page. Bien qu'il s'agisse d'un hachage plutôt que de l'e-mail en clair, il est tout de même considéré comme une donnée personnelle car il peut être inversé ou utilisé pour suivre la même personne sur plusieurs sites web. Automattic reçoit ces hachages dans le cadre de chaque requête d'image.

Potentiel de suivi inter-sites : comme Gravatar utilise le même hachage d'e-mail sur tous les sites web, Automattic peut théoriquement constituer un profil des sites sur lesquels une personne commente. Même s'ils ne le font pas activement, la capacité technique existe, et c'est sur cela que la conformité au RGPD se concentre.

Transfert de données vers un pays tiers : Automattic est une entreprise basée aux États-Unis. Suite à l'arrêt Schrems II de la Cour de justice de l'Union européenne en 2020, le transfert de données personnelles vers les États-Unis nécessite des garanties supplémentaires. De nombreux experts juridiques considèrent que l'utilisation par défaut de Gravatar sur les sites web européens n'est pas conforme, car il n'existe pas d'accord de traitement des données en place et aucun moyen d'obtenir un consentement approprié avant que le transfert de données ne se produise.

Les autorités allemandes de protection des données ont été particulièrement strictes sur cette question. Plusieurs décisions de justice et avis réglementaires ont conclu que le chargement d'images Gravatar sans consentement viole le RGPD. La situation juridique est très similaire à la décision bien connue concernant Google Fonts, où un tribunal de Munich a ordonné le versement de dommages et intérêts pour le chargement de Google Fonts depuis des serveurs externes sans consentement.

Impact sur les performances de votre site WordPress

Au-delà de la confidentialité, Gravatar affecte également les performances de chargement de votre site. Chaque image Gravatar nécessite une requête HTTP distincte vers un serveur externe. Sur un article de blog avec de nombreux commentaires, cela peut s'additionner rapidement :

  • Chaque avatar nécessite une recherche DNS pour secure.gravatar.com (au moins lors de la première requête).
  • Chaque image est une requête HTTP distincte avec sa propre latence.
  • Si les serveurs de Gravatar sont lents ou inaccessibles, le rendu de votre page se bloque pendant que le navigateur attend les images.
  • Les images Gravatar ne peuvent pas être optimisées par vos extensions locales de cache ou d'optimisation d'images.
  • Les limites de connexion du navigateur signifient que de nombreuses requêtes Gravatar simultanées peuvent bloquer le chargement de vos propres ressources.

Sur une page avec 30 commentaires, vous pourriez ajouter 30 requêtes HTTP externes que les navigateurs de vos visiteurs doivent effectuer avant que la page soit entièrement chargée. Pour les visiteurs sur des connexions mobiles lentes, c'est un délai notable.

Alternatives à Gravatar pour WordPress

Il existe plusieurs approches pour remplacer Gravatar tout en affichant des avatars sur votre site WordPress :

  • Désactiver complètement les avatars : dans Réglages > Discussion, décochez "Afficher les avatars". C'est la solution la plus simple, mais elle supprime l'identité visuelle des commentaires.
  • Utiliser des avatars générés localement : des extensions comme "Simple Local Avatars" ou "WP User Avatar" permettent aux utilisateurs de téléverser des photos de profil stockées sur votre propre serveur. Aucune requête externe, aucune préoccupation en matière de confidentialité.
  • Avatars par défaut générés : WordPress peut générer des avatars géométriques simples (comme des identicons ou des motifs rétro) basés sur le hachage de l'e-mail, sans contacter les serveurs de Gravatar. Certaines extensions implémentent cela localement.
  • Mise en cache locale de Gravatar : des extensions comme "Avatar Privacy" ou "Cache Gravatar" téléchargent les images Gravatar une seule fois et les servent depuis votre serveur local. Cela préserve l'expérience Gravatar tout en éliminant les requêtes externes à chaque chargement de page. Cependant, le téléchargement initial envoie tout de même des données à Gravatar, donc cela ne résout que partiellement le problème RGPD.
  • Chargement basé sur le consentement : certaines extensions de consentement aux cookies RGPD peuvent bloquer le chargement de Gravatar jusqu'à ce que le visiteur donne son consentement. C'est l'approche la plus conforme si vous souhaitez continuer à utiliser Gravatar, mais cela signifie que les avatars sont invisibles tant que le consentement n'est pas donné.

Ce que vérifie InspectWP

InspectWP analyse le code source HTML et les requêtes réseau de votre site WordPress à la recherche de connexions vers gravatar.com ou secure.gravatar.com. Si des images Gravatar sont détectées, le rapport signale cela comme une préoccupation RGPD dans la section confidentialité. Ce signalement indique que votre site transfère des données personnelles (adresses IP des visiteurs et hachages d'e-mails) vers les serveurs basés aux États-Unis d'Automattic sans mécanisme de consentement explicite. Le rapport recommande soit de désactiver entièrement Gravatar, soit de passer à des avatars hébergés localement, soit d'implémenter une solution de chargement basée sur le consentement.

Article précédent

Qu'est-ce que l'API REST de WordPress ?

Article suivant

Qu'est-ce que HTTP/2 ?

Articles liés

Qu'est-ce qu'une meta description ?

Qu'est-ce que le contenu mixte ?

Qu'est-ce que le lazy loading ?

Voir tous les articles

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement