Points clés à retenir
- Sommaire
- 1. Le RGPD s'applique-t-il à votre site WordPress ?
- 2. Les principes fondamentaux du RGPD
Le Règlement Général sur la Protection des Données (RGPD) s'applique à tout site web collectant des données personnelles de résidents européens. Avec plus de 400 000 WordPress installations en France, c'est la plateforme la plus concernée par ces obligations. Les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel — un risque que tout propriétaire de site WordPress doit prendre au sérieux.
Cette article détaille les obligations légales du RGPD applicables aux sites WordPress, les actions concrètes à mettre en place et les erreurs fréquentes à éviter.
1. Le RGPD s'applique-t-il à votre site WordPress ?
Le RGPD s'applique si votre site WordPress :
- Cible des résidents de l'UE/EEE — même si votre entreprise est hors d'Europe
- Collecte des données personnelles — noms, emails, adresses IP, cookies de tracking
- Propose des biens ou services à des personnes dans l'Union européenne
- Surveille le comportement de personnes dans l'Union européenne
En pratique : si votre site WordPress affiche un formulaire de contact, un formulaire d'inscription à une newsletter, un formulaire de commentaire ou utilise Google Analytics, le RGPD s'applique à votre site.
Le seuil d'application ne dépend pas du nombre de visiteurs. Un blog WordPress avec 10 visiteurs par jour collectant des emails est soumis au RGPD.
2. Les principes fondamentaux du RGPD
Le RGPD repose sur sept principes que chaque propriétaire de site WordPress doit respecter :
- Licéité, loyauté et transparence — les données doivent être traitées合法ment, de manière honnête et transparente
- Limitation des finalités — collecter les données pour des objectifs déterminés, explicites et légitimes
- Minimisation des données — ne collecter que les données strictement nécessaires
- Exactitude — maintenir les données à jour et supprimer les données inexactes
- Limitation de la conservation — ne pas conserver les données plus longtemps que nécessaire
- Intégrité et confidentialité — protéger les données contre les accès non autorisés
- Responsabilité (accountability) — être en mesure de démontrer la conformité
Ces principes doivent être appliqués à chaque traitement de données sur votre site WordPress. Ils influencent directement le choix des plugins, la configuration du site et la gestion des données.
3. Gestion des cookies et consentement
Les cookies sont le domaine où les sites WordPress sont le plus souvent en non-conformité. L'Autorité de protection des données française (CNIL) a prononcé des amendes de plusieurs millions d'euros pour des cookies non conformes en 2024 et 2025.
Cookies soumis au consentement
- Google Analytics — cookies de tracking (
_ga,_ga_,_gid) - Facebook Pixel — cookies publicitaires
- Hotjar — cookies d'analyse comportementale
- YouTube intégré — cookies tiers lors de la lecture de vidéos
- Publicités — tous les cookies publicitaires tiers
Cookies ne nécessitant PAS de consentement
- Cookies strictement nécessaires — panier d'achat, session utilisateur, préférences linguistiques
- Cookies de session — supprimés à la fermeture du navigateur
- Cookies de cache — si le cache ne contient pas de données personnelles
Obligations relatives aux cookies
- Bannière de consentement — affichée avant tout cookie non essentiel
- Choix libre — pouvoir accepter ou refuser sans que le refus empêche l'accès au site
- Détail des cookies — liste complète des cookies avec leur finalité et durée de conservation
- Enregistrement du consentement — preuve du consentement conservée
- Facilité de retrait — possibilité de modifier le consentement à tout moment
Plugins WordPress pour la gestion des cookies :
- Complianz — solution complète avec gestion automatique des bannières
- CookieYes — bannière personnalisable avec scan automatique
- Cookiebot — solution cloud avec reporting de conformité
- Tarteaucitron — solution française open source, très populaire
Configurez votre plugin de cookies pour bloquer les scripts tiers par défaut et n'activer qu'après consentement explicite.
4. Politique de confidentialité obligatoire
Chaque site WordPress collectant des données personnelles doit disposer d'une politique de confidentialité accessible depuis chaque page du site.
Contenu minimum requis
- Identité du responsable — nom de l'entreprise, adresse, email de contact
- Finalités du traitement — pourquoi vous collectez chaque type de donnée
- Base légale — consentement, intérêt légitime, obligation légale, etc.
- Destinataires — qui a accès aux données (hébergeur, prestataires, etc.)
- Transferts hors UE — si des données sont transférées hors de l'Union européenne
- Durée de conservation — combien de temps chaque donnée est conservée
- Droits des personnes — droit d'accès, de rectification, de suppression, etc.
- Réclamation CNIL — comment déposer une plainte
WordPress et la politique de confidentialité
WordPress inclut un générateur de politique de confidentialité intégré (Paramètres → Confidentialité). C'est un bon point de départ, mais il doit être complété avec les informations spécifiques à votre site : plugins installés, services tiers, formulaires, etc.
La page de politique de confidentialité doit être :
- Accessible depuis le pied de page de chaque page
- Lisible et compréhensible (pas de jargon juridique excessif)
- Mise à jour régulièrement (au minimum 1 fois par an)
- Date de dernière mise à jour affichée
5. Traitement des données personnelles
Pour être conforme au RGPD, vous devez cartographier l'ensemble des données personnelles traitées par votre site WordPress.
Types de données collectées par WordPress
| Source | Données collectées | Finalité |
|---|---|---|
| Formulaires de contact | Nom, email, message | Prise de contact |
| Commentaires | Nom, email, IP, contenu | Modération |
| Inscription newsletter | Email, nom | Communication marketing |
| E-commerce (WooCommerce) | Nom, adresse, téléphone, email, historique | Commande et livraison |
| Google Analytics | Adresse IP, pages visitées, durée | Analyse d'audience |
| Connexion utilisateur | Login, email, rôle | Accès au site |
Mesures de protection
- Chiffrement — données transitant en HTTPS (certificat SSL obligatoire)
- Pseudonymisation — masquer les identifiants quand possible
- Accès restreint — seules les personnes autorisées accèdent aux données
- Journalisation — tracer les accès aux données personnelles
- Sauvegardes chiffrées — les sauvegardes contenant des données personnelles doivent être chiffrées
Le service WpDefender inclut l'analyse de conformité RGPD dans son audit de sécurité — identification de toutes les sources de collecte de données et recommandations de protection.
6. Consentement de l'utilisateur
Le consentement est la base légale la plus utilisée pour le traitement des données personnelles sur les sites WordPress. Le consentement doit être libre, spécifique, éclairé et univoque.
Consentement valide
- Action positive — pas de cases pré-cochées
- Séparation — consentement séparé pour chaque finalité
- Information préalable — l'utilisateur doit être informé AVANT de donner son consentement
- Preuve — le responsable doit pouvoir prouver que le consentement a été obtenu
Consentement non valide
- Cases pré-cochées
- Consentement « par défaut »
- Consentement lié à l'accès au site (« acceptez pour continuer »)
- Absence d'information sur les finalités
- Consentement global pour toutes les finalités
Bonnes pratiques pour WordPress
- Utiliser un plugin de consentement (Complianz, CookieYes)
- Ajouter des cases à cocher séparées pour chaque finalité dans les formulaires
- Enregistrer la date, l'heure et la méthode du consentement
- Permettre le retrait du consentement facilement (lien de désinscription dans chaque email)
- Ne pas stocker les consentements dans des champs non sécurisés
7. Droits des utilisateurs
Le RGPD accorde aux utilisateurs six droits fondamentaux que vous devez pouvoir exercer sur votre site WordPress :
- Droit d'accès — l'utilisateur peut obtenir une copie de toutes les données que vous détenez sur lui
- Droit de rectification — corriger les données inexactes
- Droit à l'effacement (droit à l'oubli) — supprimer les données personnelles
- Droit à la limitation du traitement — restreindre l'utilisation des données
- Droit à la portabilité — exporter les données dans un format structuré
- Droit d'opposition — s'opposer au traitement des données
Mise en œuvre WordPress
- Formulaire de demande — page dédiée pour exercer ces droits
- Délai de réponse — maximum 1 mois (extendable à 3 mois pour les demandes complexes)
- Vérification d'identité — avant de traiter une demande, vérifier l'identité du demandeur
- Suppression dans WordPress — supprimer l'utilisateur ET toutes les données associées (comments, orders, metadata)
- Export de données — WordPress inclut un outil d'export intégré (Outils → Exporter)
Des plugins comme WP GDPR Compliance ou Starter Templates GDPR facilitent la mise en place de ces mécanismes.
8. Délégué à la Protection des Données (DPO)
Un DPO (Data Protection Officer) est obligatoire dans certains cas. Vous devez désigner un DPO si :
- Votre activité principale consiste en des opérations de traitement nécessitant un suivi régulier et systématique des personnes à grande échelle
- Votre activité principale consiste en un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales
Pour la plupart des petits sites WordPress, un DPO n'est pas obligatoire. Cependant, il est recommandé d'avoir un responsable de la protection des données (même sans le titre officiel de DPO) qui :
- Supervise la conformité RGPD
- Répond aux demandes des utilisateurs
- Coopère avec la CNIL
- Sensibilise l'équipe aux enjeux de protection des données
9. Violation de données : obligations de notification
En cas de violation de données personnelles (piratage, fuite, accès non autorisé), le RGPD impose des obligations strictes de notification.
Notification à la CNIL
- Délai : 72 heures après la prise de connaissance de la violation
- Contenu : nature de la violation, catégories et nombre approximatif de personnes concernées, mesures prises
- Exception : notification non requise si la violation est peu probable d'engendrer un risque pour les droits et libertés
Notification aux personnes concernées
- Obligatoire si la violation présente un risque élevé pour les droits et libertés
- Contenu : nature de la violation, coordonnées du DPO, conséquences probables, mesures prises et proposées
- Moyen : communication individuelle (email) ou affichage sur le site si l'information de chaque personne est impossible
WordPress : être prêt
- Avoir un plan de réponse aux incidents documenté
- Savoir qui contacter en premier (hébergeur, WpDefender, DPO)
- Avoir un modèle de notification pré-rempli
- Conserver un registre des violations même si la notification n'est pas requise
Le service d'urgence WpDefender vous accompagne dans la gestion d'une violation de données, de la détection à la notification, dans les délais imposés par le RGPD.
10. Outils WordPress pour la conformité RGPD
Voici les plugins et configurations recommandés pour mettre votre site WordPress en conformité :
Plugins essentiels
- Complianz — gestion complète des cookies, politique de confidentialité, consentement
- WP GDPR Compliance — cases à cocher de consentement pour les formulaires
- Starter Templates GDPR — conformité pour les formulaires de contact
- Antispam Bee — protection anti-spam respectueuse de la vie privée (pas de transfert de données vers des tiers)
Configurations WordPress
- Suppression des comptes inactifs — nettoyer régulièrement les comptes utilisateur
- Limiter les données collectées — ne demander que les champs strictement nécessaires
- Chiffrement des sauvegardes — utiliser des sauvegardes chiffrées
- Journalisation — activer les logs d'activité
- Désactiver XML-RPC — réduire la surface d'attaque
Intégrations tierces
- Google Analytics : activer l'anonymisation IP, mode de consentement, durée de conservation 14 mois
- Google Tag Manager : bloquer les tags par défaut, activer après consentement
- Réseaux sociaux : ne pas intégrer de boutons sociaux qui chargent des cookies tiers
- Email marketing : double opt-in obligatoire, lien de désinscription dans chaque email
Checklist de conformité RGPD pour WordPress
| Action | Priorité | Délai |
|---|---|---|
| Installer un plugin de gestion des cookies | Haute | Immédiat |
| Rédiger/mettre à jour la politique de confidentialité | Haute | Immédiat |
| Ajouter la bannière de cookies | Haute | Immédiat |
| Configurer le consentement pour Google Analytics | Haute | Sous 1 semaine |
| Vérifier les formulaires (cases à cocher de consentement) | Moyenne | Sous 2 semaines |
| Mettre en place un mécanisme de suppression de compte | Moyenne | Sous 1 mois |
| Auditer les plugins et services tiers | Moyenne | Sous 1 mois |
| Former l'équipe aux principes RGPD | Haute | Sous 2 semaines |
| Documenter les traitements de données | Haute | Sous 1 mois |
| Mettre en place un plan de réponse aux violations | Haute | Sous 1 mois |
Conclusion
Le RGPD n'est pas une option — c'est une obligation légale pour tout site WordPress collectant des données personnelles en Europe. La non-conformité expose à des amendes pouvant atteindre 20 millions d'euros, sans parler de la perte de confiance des utilisateurs.
Bonne nouvelle : avec les bons outils et une approche méthodique, la conformité RGPD est atteignable pour tout propriétaire de site WordPress, même sans expertise juridique.
Besoin d'un audit de conformité RGPD pour votre site WordPress ? Contactez WpDefender — nous analysons la conformité de votre site et fournissons un plan d'action prioritaire. Réponse garantie en 30 minutes, 7/7.