Lyode / Blog / WordPress RGPD : comment rendre votre site conforme en 2026

WordPress RGPD : comment rendre votre site conforme en 2026

Q: Le RGPD s’applique-t-il à tous les sites WordPress ?

Oui. Dès qu’un visiteur remplit un formulaire, laisse un commentaire ou déclenche un cookie analytics, vous traitez des données personnelles au sens du RGPD. Même un site vitrine sans boutique en ligne est concerné.

Q: Un bandeau cookies suffit-il à être conforme ?

Non. Le bandeau est une obligation parmi d’autres. Vous devez aussi publier une politique de confidentialité complète, ajouter des cases de consentement sur vos formulaires, documenter un registre des traitements et être en mesure de répondre aux demandes d’accès ou de suppression.

Q: Quel plugin RGPD installer sur WordPress ?

Complianz est le plus complet : il gère le bandeau, la politique de confidentialité et le registre des consentements en un seul outil. CookieYes est une bonne alternative pour les sites vitrines avec peu de cookies.

Q: La sécurité du site est-elle liée au RGPD ?

Directement. L’article 32 du règlement impose des mesures techniques pour protéger les données. Un site piraté peut entraîner une fuite de données, que vous devez signaler à la CNIL dans les 72 heures sous peine de sanction supplémentaire.

Le RGPD concerne tous les sites WordPress qui collectent des données personnelles et dans les faits, c’est quasiment tous les sites. Formulaires de contact, cookies analytics, commentaires : chaque interaction laisse une trace. Je vous explique ici comment mettre votre site en conformité, étape par étape.

WordPress RGPD : de quoi parle-t-on ?

Le Règlement Général sur la Protection des Données est en vigueur depuis mai 2018 en Europe. Il encadre la collecte, le traitement et le stockage des données personnelles. Pour un site WordPress, ça couvre large. Dès qu’un visiteur remplit un formulaire, laisse un commentaire ou accepte un cookie, vous traitez des données personnelles. Google Analytics aussi entre dans ce cadre, même si ça surprend souvent mes clients.

Ce que vous devez respecter : recueillir le consentement avant toute collecte, être transparent sur l’usage des données, permettre à l’utilisateur de consulter, modifier ou supprimer ses informations, notifier la CNIL en cas de fuite. Les sanctions peuvent atteindre 4 % du chiffre d’affaires annuel. Si vous vous occupez déjà de la sécurité de votre site WordPress, la conformité RGPD en est la suite logique.

Les obligations RGPD pour un site WordPress

La plupart de mes clients arrivent convaincus que le RGPD se résume à un bandeau de cookies. Ce n’est pas le cas.
Voici ce que vous devez avoir en place.

1. Politique de confidentialité

WordPress propose un modèle depuis Réglages > Confidentialité. Mais ce modèle de base ne suffit pas. Vous devez le personnaliser : identité du responsable de traitement, types de données collectées, durée de conservation, droits des utilisateurs, coordonnées du DPO si vous en avez un.

2. Bandeau cookies

Un message « ce site utilise des cookies » ne suffit plus. Vous devez proposer un vrai choix : accepter, refuser, ou personnaliser les catégories. Aucun cookie non essentiel ne peut être déposé avant que le visiteur ait validé.

3. Cases de consentement sur les formulaires

Chaque formulaire doit avoir une case à cocher non pré-cochée. Le lien vers la politique de confidentialité doit être visible juste en dessous.

4. Registre des traitements

Même pour un site vitrine, je le recommande. Ce document liste les données collectées, leur finalité, leur durée de conservation, et les sous-traitants impliqués : hébergeur, outil d’emailing, etc.

Ce que WordPress gère nativement

Depuis la version 4.9.6, WordPress intègre plusieurs outils RGPD. Autant les configurer avant d’installer quoi que ce soit.

La page de politique de confidentialité se crée depuis Réglages > Confidentialité. WordPress génère un brouillon à compléter et publier. Pensez à le lier dans votre footer, c’est aussi ce que Google attend.

Dans Réglages > Discussion, activez la case « Les commentaires doivent contenir le consentement aux cookies ». WordPress conserve la preuve du consentement de chaque commentateur.

Dans Outils > Exporter/Effacer les données personnelles, vous trouvez deux fonctions utiles :
envoyer à un utilisateur les données que vous détenez sur lui, ou les supprimer sur sa demande. Ce sont les réponses directes au droit d’accès et au droit à l’effacement. Si vous gérez votre site depuis le back-office WordPress, tout ça se fait en quelques clics.

Les plugins RGPD que j’utilise en 2026

Les outils natifs posent une base correcte. Pour un site professionnel, il faut aller plus loin.

Complianz — Le plus complet

C’est le plugin que j’installe sur la quasi-totalité de mes projets. Il gère le bandeau cookies, la politique de
confidentialité et le registre de consentements en un seul endroit. Il scanne votre site pour détecter les cookies
actifs et génère les documents juridiques selon votre localisation.

CookieYes (ex Cookie Law Info)

Une bonne alternative, plus simple à configurer. Bandeau personnalisable, blocage des scripts avant consentement,
tableau de bord des consentements. Je le recommande pour les sites vitrines avec peu de cookies.

WP GDPR Compliance

Celui-ci se concentre sur les formulaires : Contact Form 7, Gravity Forms, WooCommerce. Il ajoute les cases de
consentement et gère les demandes de suppression. Utile en complément si vous avez déjà un autre outil pour les
cookies.

RGPD et sécurité WordPress : le lien que beaucoup oublient

L’article 32 du règlement impose des mesures techniques pour protéger les données personnelles. La sécurité de votre site WordPress n’est pas optionnelle, c’est une obligation légale.

Un site piraté, c’est une fuite de données potentielle. Une fuite non signalée à la CNIL dans les 72 heures, c’est une infraction supplémentaire. Si vous avez déjà vécu ça, je détaille la marche à suivre dans mon guide sur que faire quand votre site WordPress a été piraté.

Pour éviter d’en arriver là : maintenez WordPress, vos thèmes et plugins à jour, utilisez des mots de passe robustes, protégez votre page de connexion contre les
attaques brute force, et activez le HTTPS. Une maintenance WordPress régulière couvre tout ça.

Checklist RGPD WordPress : les 10 points à vérifier

Je passe en revue cette liste lors du recettage de chaque projet que je livre.

1. Page de politique de confidentialité publiée et accessible depuis le footer
2. Bandeau cookies avec choix réel (accepter / refuser / personnaliser)
3. Aucun cookie non essentiel déposé avant consentement
4. Cases de consentement sur tous les formulaires
5. Mentions légales à jour avec identité du responsable de traitement
6. Certificat SSL actif (HTTPS sur toutes les pages)
7. Hébergement des données en Union européenne
8. Registre des traitements documenté
9. Procédure de réponse aux demandes d’accès / suppression
10. Plan de notification en cas de violation de données

Les erreurs que je vois à chaque audit

Quand j’audite un site existant, les mêmes problèmes reviennent.

Google Analytics chargé sans consentement. Beaucoup de sites intègrent le script directement dans le header, avant que
le visiteur ait validé quoi que ce soit. C’est une infraction.

Contact Form 7 sans case de consentement. Le plugin ne l’ajoute pas par défaut. Il faut le configurer manuellement ou passer par un plugin complémentaire.

Une politique de confidentialité copiée depuis un autre site. Ce document doit décrire vos traitements à vous, pas un template générique trouvé sur Google.

Des données stockées hors UE sans le mentionner. Si votre hébergeur ou un outil que vous utilisez transfère des données aux États-Unis, vous devez le déclarer et justifier un mécanisme de transfert, comme les clauses contractuelles types.