WordPress et RGPD : les plugins indispensables

WordPress propulse plus de 40 % des sites web dans le monde — dont une part considérable de sites français de PME, d’associations et de professions libérales. Pourtant, un site WordPress « par défaut » n’est pas conforme au RGPD. Cookies déposés sans consentement, formulaires sans mentions d’information, absence de mécanisme d’exercice des droits : les manquements sont courants et les sanctions de la CNIL n’épargnent pas les petites structures. Voici les plugins à installer et configurer pour atteindre un niveau de conformité acceptable.

Pourquoi WordPress pose un problème RGPD

L’installation de base de WordPress collecte déjà des données personnelles : commentaires (nom, email, adresse IP), cookies de session, et éventuellement des données analytiques. Mais ce sont surtout les extensions tierces qui multiplient les traitements : Google Analytics, formulaires de contact, plugins de newsletter, solutions e-commerce, outils de chat, pixels publicitaires.

Chaque plugin ajouté peut potentiellement déclencher des transferts de données vers des serveurs tiers, souvent situés hors de l’Union européenne. Sans maîtrise de ces flux, il est impossible de rédiger une politique de confidentialité exacte, ni de tenir un registre des traitements fiable.

Le problème est d’autant plus sérieux que la CNIL a durci sa position sur les cookies et traceurs depuis ses lignes directrices de 2020 et la vague de mises en demeure sur Google Analytics en 2022. Le simple fait d’utiliser un thème WordPress qui charge des polices Google Fonts depuis les serveurs de Google peut constituer un transfert de données hors UE non conforme.

Gestion du consentement cookies : la priorité absolue

Le premier plugin à installer sur tout site WordPress est une plateforme de gestion du consentement (CMP). Sans elle, les cookies non essentiels sont déposés avant tout consentement de l’utilisateur — ce qui constitue une violation directe de l’article 82 de la loi Informatique et Libertés et de la directive ePrivacy.

Complianz

Complianz est l’une des solutions les plus complètes pour WordPress. Le plugin scanne automatiquement votre site pour détecter les cookies déposés, génère un bandeau de consentement paramétrable et bloque les scripts tiers tant que le consentement n’a pas été recueilli. La version gratuite couvre les besoins de base ; la version premium ajoute la détection automatique des cookies, les statistiques de consentement et un registre des consentements.

Point fort : Complianz propose une configuration guidée qui pose les bonnes questions (votre site utilise-t-il des statistiques ? des pixels publicitaires ? des vidéos embarquées ?) et adapte le bandeau en conséquence. Pour une PME sans DPO dédié, c’est un gain de temps considérable.

CookieYes

CookieYes offre une mise en conformité rapide avec un bandeau élégant et un blocage automatique des cookies jusqu’au consentement. Le scanner de cookies identifie et catégorise automatiquement les traceurs présents sur votre site. La version gratuite est suffisante pour les sites à trafic modéré.

Axeptio

Solution française, Axeptio se distingue par son interface utilisateur particulièrement soignée. Le widget de consentement est personnalisable et s’intègre visuellement mieux que la plupart des concurrents. Axeptio propose également une CMP certifiée par la CNIL, ce qui constitue un argument de poids pour les entreprises soucieuses de conformité.

Tarteaucitron

Tarteaucitron.js est une solution open source française, gratuite, qui bloque les cookies et services tiers en attendant le consentement. Son intégration WordPress se fait via un plugin dédié ou par insertion manuelle du script. Moins ergonomique que les solutions commerciales, Tarteaucitron reste une option solide pour les budgets limités et bénéficie d’une communauté active.

Mon conseil : quel que soit le plugin choisi, vérifiez systématiquement que le blocage fonctionne réellement. Installez une extension navigateur de détection de cookies (comme Cookie-Editor) et testez votre site en navigation privée, sans accepter le bandeau. Si des cookies non essentiels apparaissent, votre configuration est défaillante. C’est l’erreur la plus fréquente que je constate lors d’audits de sites WordPress.

Formulaires : collecter les données en conformité

Les formulaires de contact, d’inscription newsletter ou de demande de devis sont des points de collecte de données personnelles. Le RGPD impose d’afficher des mentions d’information au moment de la collecte et de limiter les champs au strict nécessaire (principe de minimisation, Art. 5(1)© du RGPD).

Contact Form 7 + extension RGPD

Contact Form 7 est le plugin de formulaire le plus utilisé sur WordPress. Il propose nativement un champ d’acceptation (case à cocher) qui peut servir à recueillir le consentement lorsque celui-ci est la base légale applicable. Ajoutez systématiquement un texte de mentions d’information sous chaque formulaire : identité du responsable de traitement, finalité, base légale, durée de conservation, droits des personnes.

Attention cependant : Contact Form 7 envoie les données par email, ce qui pose un problème de sécurité et de traçabilité. Pour une gestion plus rigoureuse, combinez-le avec Flamingo (qui stocke les messages dans la base WordPress) et configurez un chiffrement des emails sortants.

Gravity Forms

Gravity Forms intègre des champs de consentement natifs et permet de configurer des politiques de rétention des données directement dans le plugin. Les entrées de formulaire peuvent être automatiquement supprimées après un délai défini — ce qui facilite le respect des durées de conservation. C’est la solution que je recommande pour les sites qui gèrent un volume important de formulaires.

WPForms

WPForms propose des modèles de formulaires conformes au RGPD avec cases de consentement préconfigurées. L’extension WPForms GDPR permet de désactiver les cookies de suivi du plugin et de gérer les entrées stockées.

Règle pratique : chaque formulaire doit collecter uniquement les données strictement nécessaires à la finalité poursuivie. Un formulaire de contact n’a pas besoin de la date de naissance ni du numéro de téléphone si l’email suffit à répondre. La CNIL sanctionne régulièrement les formulaires excessivement intrusifs.

Droits des personnes : faciliter l’exercice

Le RGPD confère aux personnes concernées plusieurs droits : droit d’accès (Art. 15), droit à l’effacement (Art. 17), droit de rectification (Art. 16), droit à la portabilité (Art. 20), droit d’opposition (Art. 21). Votre site WordPress doit permettre l’exercice effectif de ces droits.

WordPress natif : outils intégrés

Depuis la version 4.9.6, WordPress intègre deux outils RGPD natifs accessibles dans le menu « Outils » du back-office :

L’exportation de données personnelles permet de générer un fichier ZIP contenant toutes les données associées à une adresse email (commentaires, compte utilisateur, commandes WooCommerce). C’est l’outil de réponse aux demandes de droit d’accès et de portabilité.

La suppression de données personnelles permet d’effacer les données associées à une adresse email. C’est l’outil de réponse aux demandes d’effacement.

Ces outils natifs sont basiques mais fonctionnels. Ils envoient un email de confirmation à la personne concernée avant d’exécuter la demande, ce qui constitue une bonne pratique de vérification d’identité.

WP GDPR Compliance

Ce plugin ajoute des cases de consentement aux formulaires de commentaires, à WooCommerce et à Contact Form 7. Il permet également de gérer les demandes d’accès et de suppression depuis le tableau de bord. Attention : vérifiez que le plugin est toujours maintenu activement avant de l’installer — certains plugins RGPD WordPress ont été abandonnés par leurs développeurs.

Sécurité : une obligation RGPD souvent négligée

L’article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Pour un site WordPress, cela implique au minimum la mise en place de plusieurs couches de protection.

Mises à jour automatiques

C’est la mesure la plus importante et la plus simple. Activez les mises à jour automatiques de WordPress, des thèmes et des plugins. Les failles de sécurité dans les extensions WordPress sont l’un des vecteurs d’attaque les plus exploités. Une extension non mise à jour pendant 6 mois est un risque de violation de données.

Wordfence ou Sucuri

Wordfence (version gratuite disponible) fournit un pare-feu applicatif (WAF), un scanner de malwares et une protection contre les attaques par force brute. Sucuri offre des fonctionnalités similaires avec un CDN intégré. L’un ou l’autre est indispensable sur tout site WordPress traitant des données personnelles.

Authentification à deux facteurs

Installez un plugin d’authentification à deux facteurs (comme WP 2FA ou Two-Factor) pour tous les comptes administrateurs. La CNIL recommande explicitement l’authentification multifacteur pour l’accès aux systèmes contenant des données personnelles.

Sauvegarde chiffrée

UpdraftPlus ou BackWPup permettent de programmer des sauvegardes automatiques. Configurez un stockage distant (pas uniquement sur le même serveur) et, si possible, un chiffrement des sauvegardes. En cas de violation de données, une sauvegarde récente et intègre est votre meilleur filet de sécurité.

Hébergement et transferts hors UE

Le choix de l’hébergeur est un sujet RGPD à part entière. Un site WordPress hébergé chez un prestataire américain sans garanties adéquates pose un problème de transfert de données hors UE.

Privilégiez un hébergeur européen (OVH, Scaleway, Infomaniak, o2switch) ou, si vous utilisez un hébergeur américain, vérifiez qu’il bénéficie du EU-US Data Privacy Framework. Attention également aux CDN : Cloudflare, par exemple, peut router le trafic via des serveurs situés hors de l’UE.

Même constat pour les polices de caractères : si votre thème charge Google Fonts depuis les serveurs de Google, chaque visiteur transmet son adresse IP à Google. La solution est simple : hébergez les polices localement sur votre serveur. Plusieurs plugins WordPress (comme OMGF ou Local Google Fonts) automatisent cette opération.

Checklist de conformité WordPress

Avant de considérer votre site WordPress comme conforme, vérifiez ces points :

Un bandeau cookies conforme est installé et bloque effectivement les traceurs avant consentement. La politique de cookies est accessible et détaille chaque cookie déposé, sa finalité et sa durée.

Chaque formulaire affiche les mentions d’information RGPD requises par l’Art. 13. Les champs collectés sont limités au strict nécessaire.

Une page « Politique de confidentialité » complète et à jour est publiée, accessible depuis toutes les pages du site. Elle mentionne l’identité du responsable de traitement, les finalités, les bases légales, les durées de conservation, les droits des personnes et les coordonnées du DPO le cas échéant.

Les outils natifs d’export et de suppression de données sont fonctionnels et une procédure interne de traitement des demandes est documentée.

Les mises à jour automatiques sont activées. Un plugin de sécurité est installé et configuré. L’authentification à deux facteurs est active pour les administrateurs.

L’hébergement est situé dans l’UE ou couvert par un mécanisme de transfert adéquat. Les polices de caractères sont hébergées localement.

Le registre des traitements inclut les traitements réalisés via le site WordPress.

Ce qu’il faut retenir

• Un site WordPress par défaut n’est pas conforme au RGPD : cookies non bloqués, formulaires sans mentions, absence de mécanisme d’exercice des droits.
• La priorité absolue est l’installation d’une CMP (Complianz, CookieYes, Axeptio ou Tarteaucitron) qui bloque réellement les traceurs avant consentement — testez systématiquement le blocage effectif.
• Chaque formulaire doit afficher des mentions d’information conformes à l’Art. 13 du RGPD et ne collecter que les données strictement nécessaires.
• La sécurité est une obligation RGPD (Art. 32) : mises à jour automatiques, pare-feu applicatif, authentification à deux facteurs et sauvegardes chiffrées sont le minimum.
• L’hébergement et les services tiers (polices, CDN, analytics) doivent être audités pour les transferts hors UE — privilégiez des solutions européennes ou hébergez localement les ressources tierces.

FAQ

Quel est le meilleur plugin WordPress gratuit pour la conformité RGPD ?

Complianz en version gratuite offre le meilleur compromis pour les petits sites : détection des cookies, bandeau paramétrable et blocage des scripts. Pour une solution entièrement française et open source, Tarteaucitron.js est une alternative solide. Aucun plugin unique ne couvre cependant l’ensemble de la conformité RGPD — il faut combiner CMP, formulaires conformes et mesures de sécurité.

Suffit-il d’installer un plugin RGPD pour être en conformité ?

Non. Un plugin facilite certains aspects techniques (bandeau cookies, cases de consentement), mais la conformité RGPD exige aussi des mesures organisationnelles : tenue d’un registre des traitements, rédaction d’une politique de confidentialité complète, procédure de traitement des demandes de droits, analyse d’impact si nécessaire. Le plugin est un outil, pas une solution complète.

Google Fonts sur WordPress pose-t-il un problème RGPD ?

Oui. Lorsque votre thème charge les polices depuis les serveurs de Google, l’adresse IP de chaque visiteur est transmise à Google, ce qui constitue un transfert de données vers les États-Unis. La solution recommandée est d’héberger les polices localement sur votre serveur à l’aide d’un plugin comme OMGF ou Local Google Fonts, ce qui élimine le transfert.

Comment vérifier que mon bandeau cookies bloque bien les traceurs ?

Ouvrez votre site en navigation privée, sans accepter le bandeau. Utilisez les outils de développement du navigateur (onglet « Application » > « Cookies ») ou une extension comme Cookie-Editor pour vérifier qu’aucun cookie non essentiel n’est déposé. Si des cookies tiers apparaissent avant consentement, votre CMP n’est pas correctement configurée.