WordPress propulse plus de 40 % des sites web dans le monde, et une grande part des sites professionnels français. Sa simplicité d'installation est aussi son piège : en quelques clics, on déploie un thème, on empile une dizaine de plugins, et on se retrouve avec un site qui collecte des données personnelles, dépose des cookies tiers et fait transiter des informations vers les États-Unis — sans qu'aucun document légal n'ait été rédigé. En 2026, ce schéma est devenu un classique des plaintes traitées par la CNIL.
Voici la checklist concrète en 10 points pour qu'un site WordPress — vitrine, blog, e-commerce WooCommerce ou plateforme membres — soit juridiquement conforme.
Pourquoi WordPress ne rend pas automatiquement conforme
C'est une idée reçue tenace : « j'utilise WordPress, donc je suis aux normes ». Le cœur du CMS respecte effectivement plusieurs bonnes pratiques (hashage des mots de passe, outils d'export et d'effacement intégrés, mises à jour de sécurité régulières). Mais cela ne couvre qu'une infime partie des obligations.
Tout le reste dépend de vos choix : quel hébergeur, quels plugins, quels thèmes, quels services tiers (Google Fonts, Google Analytics, Meta Pixel, YouTube embeds…), quel formulaire de contact, quel système de newsletter ? Chaque ajout introduit potentiellement un nouveau traitement et une nouvelle obligation documentaire. WordPress est un outil, pas un certificat de conformité.
Les obligations légales communes à tout site français
Que votre site soit propulsé par WordPress, Shopify ou un développement sur mesure, le socle est le même : LCEN (mentions légales), RGPD et loi Informatique et Libertés (politique de confidentialité, droits des personnes), directive ePrivacy et article 82 de la loi de 1978 (consentement cookies), Code de la consommation (CGV et rétractation pour l'e-commerce).
Pour un panorama détaillé, consultez notre guide RGPD pour un site web français et notre article sur les mentions légales 2026 et leurs obligations.
La checklist en 10 points pour WordPress
1. Mentions légales accessibles depuis chaque page
Lien obligatoire en pied de page, identique sur l'ensemble du site. Sur WordPress, créez une page dédiée et utilisez le menu « Footer » ou un widget pied de page. Le contenu varie selon votre statut juridique (auto-entrepreneur, SARL, SAS, association) : identité, RCS, capital, hébergeur avec coordonnées complètes, directeur de la publication, numéro de TVA intracommunautaire le cas échéant.
2. Politique de confidentialité réellement personnalisée
WordPress fournit un modèle de politique de confidentialité dans Réglages > Confidentialité. Ce modèle est un point de départ utile, mais il ne suffit jamais en l'état. Il ne liste pas vos sous-traitants réels, ne décrit pas vos transferts hors UE, ne mentionne pas vos durées de conservation. Une politique générique est un signal d'amateurisme et, en cas de plainte, une circonstance aggravante.
3. CGV si vous vendez (WooCommerce, abonnements, formations)
Dès qu'il y a vente — y compris d'un produit numérique ou d'un abonnement —, les CGV deviennent obligatoires. Elles doivent être acceptées explicitement avant la commande (case à cocher non pré-cochée). Pour comprendre la frontière entre les deux documents, lisez notre article CGV vs CGU : quelle différence.
4. Politique cookies dédiée et à jour
C'est un document distinct de la politique de confidentialité, qui détaille chaque cookie déposé : nom, finalité, durée, émetteur. Pour un site WordPress moyennement équipé, la liste tourne facilement autour de 15 à 30 cookies.
5. Bandeau cookies conforme aux exigences CNIL
Bouton « Refuser tout » aussi visible que « Accepter tout », aucun cookie déposé avant choix, choix granulaire par finalité, possibilité de modifier son choix à tout moment. Notre guide complet sur le bandeau cookies CNIL 2026 détaille la mise en œuvre. Sur WordPress, cela passe nécessairement par un plugin de gestion du consentement (voir plus bas).
6. Hébergement et localisation des données
Privilégiez un hébergement dans l'Union européenne. OVH (France), Infomaniak (Suisse, avec décision d'adéquation), o2switch (France) ou Hetzner (Allemagne) restent les choix les plus sûrs pour un site WordPress français. WP Engine, Kinsta ou Cloudways exposent à des transferts vers les États-Unis, qui restent juridiquement fragiles malgré le Data Privacy Framework adopté en 2023 — un cadre régulièrement contesté.
7. Plugins : chacun est un sous-traitant à documenter
Chaque plugin qui transmet des données à un tiers (Jetpack, Akismet, Yoast Premium, Mailchimp for WP, formulaires connectés à un service externe…) est un sous-traitant RGPD. Vous devez :
- Lister chaque plugin actif et identifier les données qu'il manipule.
- Signer un DPA (Data Processing Agreement) avec chaque éditeur concerné.
- Mentionner ces sous-traitants dans votre politique de confidentialité.
Désactivez et supprimez les plugins inutilisés : un plugin désactivé reste installé, vulnérable et parfois actif côté base de données.
8. Formulaires : Contact Form 7, WPForms, Gravity Forms
Tous trois sont conformes RGPD à condition d'être configurés : ajout d'une case à cocher de consentement non pré-cochée, mention d'information juste sous le formulaire (qui collecte, pourquoi, durée, droits), pas de stockage inutile dans la base WordPress. Contact Form 7 ne stocke pas les soumissions par défaut, ce qui est plutôt vertueux. WPForms et Gravity Forms les stockent : pensez à définir une durée d'effacement automatique.
9. Commentaires et anti-spam Akismet
Akismet, plugin maison d'Automattic, transmet l'IP, l'e-mail et le contenu du commentaire à ses serveurs aux États-Unis. C'est un sous-traitant RGPD qui doit être déclaré dans votre politique de confidentialité. Alternative européenne : Antispam Bee (édité par pluginkollektiv, Allemagne) traite les commentaires localement.
10. Médias et droits d'auteur
Toute image, vidéo ou musique publiée doit être libre de droits ou utilisée sous licence vérifiable. WordPress ne vérifie rien — les bibliothèques gratuites (Unsplash, Pexels, Pixabay) restent les choix les plus sûrs. Documentez vos sources : c'est la première défense en cas de réclamation d'un photographe.
Le piège des plugins fantômes
Sur un site WordPress installé depuis quelques années, on trouve souvent des plugins fantômes : installés un jour pour tester, oubliés, parfois désactivés mais toujours présents. Certains continuent de collecter et transmettre des données en tâche de fond, même désactivés, via des scripts résiduels dans la base ou dans les thèmes.
Auditez vos plugins une fois par trimestre
Ouvrez le tableau de bord, listez tous les plugins (actifs et inactifs), identifiez ceux que vous n'utilisez plus depuis 6 mois et supprimez-les. Un audit RGPD sérieux commence toujours par cette étape. Un site WordPress « propre » tourne rarement avec plus de 15 plugins actifs.
À examiner en priorité : Jetpack (collecte d'analytics à configurer finement), les versions Premium de Yoast SEO qui appellent des services externes, tout plugin d'analytics ou de chat connecté à un service tiers.
Hébergeurs : le choix qui structure tout le reste
| Hébergeur | Localisation | DPA | Statut |
|---|---|---|---|
| OVH | France | Oui | Recommandé |
| Infomaniak | Suisse | Oui | Recommandé (adéquation) |
| o2switch | France | Oui | Recommandé |
| WP Engine | États-Unis | Oui | Risque transferts |
| WordPress.com | Mixte | Oui | Risque transferts |
Le choix de l'hébergeur conditionne 80 % de votre exposition aux transferts hors UE. Un site vitrine français hébergé chez OVH, sans Google Analytics ni Meta Pixel, est structurellement bien plus simple à mettre en conformité qu'un site équivalent chez WP Engine.
WordPress.com vs WordPress.org : le contrôle change tout
WordPress.org est le logiciel auto-hébergé : vous installez WordPress chez l'hébergeur de votre choix et contrôlez tout. WordPress.com est le service hébergé d'Automattic : vous payez un abonnement, ils gèrent l'infrastructure. Juridiquement, vous restez responsable de traitement dans les deux cas — mentions légales, politique de confidentialité et consentement cookies restent à votre charge. Ce qui change radicalement, c'est votre contrôle technique : sur WordPress.com, vous ne choisissez pas l'hébergeur, vous subissez certains scripts d'Automattic, vous dépendez de leur politique de plugins. Pour un site professionnel français, WordPress.org auto-hébergé chez un acteur européen reste le choix le plus sûr.
WooCommerce : la conformité e-commerce est plus exigeante
WooCommerce ajoute une dimension e-commerce qui empile les obligations :
- CGV obligatoires et acceptées avant chaque commande.
- Droit de rétractation de 14 jours clairement mentionné (formulaire type fourni par l'arrêté du 1er décembre 2014).
- Médiateur de la consommation désigné nommément avec ses coordonnées.
- Garantie légale de conformité (étendue à 2 ans depuis 2022) et garantie des vices cachés présentées.
- Information précontractuelle complète (article L.221-5 du Code de la consommation).
- Conservation des factures 10 ans (Code de commerce, article L.123-22).
À cela s'ajoute le RGPD côté clients : durée de conservation des comptes inactifs, gestion du droit à l'effacement compatible avec l'obligation comptable, sécurisation des paiements (PCI-DSS via Stripe, PayPal ou équivalent — qui sont eux-mêmes des sous-traitants à documenter).
Plugins de consentement cookies : trois choix solides
Le consentement n'est pas une option
Sans plugin de consentement correctement configuré, un site WordPress équipé d'Analytics, de Meta Pixel ou de YouTube embeds est par défaut non conforme. C'est le défaut le plus sanctionné par la CNIL ces dernières années.
Trois plugins se détachent en 2026 pour les sites français :
- Complianz : approche par assistant pas-à-pas, stockage local des consentements, gestion native du RGPD et de l'ePrivacy. Version gratuite suffisante pour la plupart des sites vitrines, version premium aux alentours de 60 € par an.
- CookieYes : très populaire (plus d'1,5 million d'installations actives), interface accessible, stockage cloud des consentements (donc transferts à surveiller). Modèle freemium avec limites sur la version gratuite.
- Real Cookie Banner : édité par une société allemande, très précis sur les exigences RGPD et ePrivacy, version Pro avec Consent Mode Google, IAB TCF et géo-restriction.
Pour un site français standard, Complianz offre le meilleur compromis : entièrement européen, stockage local, gratuit pour les besoins courants. Pour aller plus loin sur le sujet des outils de mesure, consultez notre article Google Analytics et RGPD en 2026.
Newsletter et prospection : la même rigueur qu'ailleurs
Si vous utilisez Mailchimp for WordPress, Brevo (ex-Sendinblue), MailPoet ou tout autre outil d'envoi, le double opt-in et la mention explicite avant inscription restent la règle d'or. Le détail des obligations est couvert dans notre article Newsletter, RGPD et prospection : règles de l'opt-in en 2026.
Sécurité de base WordPress : le minimum non-négociable
La sécurité fait partie intégrante du RGPD (article 32 — « mesures techniques et organisationnelles adaptées »). Pour WordPress, le socle 2026 est désormais standard :
- 2FA activée pour tous les comptes administrateurs (plugin WP 2FA, Wordfence Login Security, ou équivalent).
- Sauvegardes automatiques quotidiennes externalisées (UpdraftPlus, BackWPup, Solid Backups).
- Mises à jour appliquées dans le mois suivant leur publication (cœur, thème, plugins).
- Mots de passe longs et uniques, jamais partagés.
- Limitation des tentatives de connexion (Limit Login Attempts Reloaded).
- HTTPS activé partout, certificat renouvelé automatiquement.
- Désactivation de l'éditeur de fichiers dans wp-config.php (
define('DISALLOW_FILE_EDIT', true);).
Un site WordPress piraté qui a entraîné une fuite de données est, en plus de l'incident technique, une violation à notifier à la CNIL sous 72 heures. La sécurité n'est plus optionnelle.
Ce que sanctionne la CNIL en pratique
En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé de 486,8 millions d'euros, selon le bilan officiel 2025. Si les amendes record (SHEIN à 150 M€, Google à 325 M€) viennent des géants, plus de 60 % des dossiers concernent des PME.
Les motifs récurrents touchant directement les sites WordPress :
- Cookies déposés avant consentement (Google Analytics, Meta Pixel, YouTube embeds non bloqués).
- Bandeau cookies sans bouton « Refuser tout » visible.
- Politique de confidentialité absente, générique ou faussée.
- Mentions légales incomplètes (hébergeur non identifié, RCS manquant).
- Défaut de réponse à une demande d'exercice de droits dans le délai d'un mois.
Le scénario type : un internaute dépose plainte, la CNIL adresse une mise en demeure, le site dispose d'un délai pour corriger. Sans correction, la sanction tombe. Pour un site WordPress de TPE, l'amende se situe le plus souvent entre 3 000 € et 50 000 € — assez pour être pénalisante.
Récapitulatif : votre plan d'action
- Auditer tous les plugins actifs et inactifs, supprimer l'inutile.
- Vérifier la localisation de votre hébergeur et signer son DPA.
- Lister tous les services tiers appelés depuis votre site.
- Installer un plugin de consentement cookies sérieux (Complianz recommandé).
- Bloquer Analytics, Meta Pixel et embeds tant que le consentement n'est pas donné.
- Rédiger ou régénérer mentions légales, politique de confidentialité, politique cookies.
- Pour WooCommerce : rédiger des CGV complètes, désigner un médiateur.
- Activer 2FA, sauvegardes, mises à jour automatiques.
- Définir une adresse RGPD dédiée et un processus de réponse.
- Planifier un audit trimestriel rapide (30 minutes suffisent).
Un site WordPress conforme n'est pas un site sans plugins ni mesures d'audience : c'est un site documenté, qui sait exactement quelles données il collecte, où elles vont et pourquoi. Les documents légaux ne sont pas la conformité — ils sont la preuve de la conformité. Et en 2026, c'est cette preuve que la CNIL examine en premier.