RGPD pour site WordPress

Comment rendre son site WordPress conforme au RGPD ?

Pour rendre un site WordPress conforme au RGPD, il faut publier une politique de confidentialité qui liste tous les plugins collectant des données, installer une CMP pour le consentement cookies (Tarteaucitron, Axeptio…), configurer les formulaires en opt-in explicite, désactiver les transferts hors UE non nécessaires (Jetpack, Akismet, reCAPTCHA) et tenir un registre des traitements.

Les 6 étapes pour la conformité RGPD d'un site WordPress :

  1. Auditer les plugins actifs et identifier ceux qui collectent ou transfèrent des données personnelles
  2. Publier une politique de confidentialité listant chaque traitement, sa finalité et sa base légale
  3. Installer une CMP (Consent Management Platform) conforme CNIL pour les cookies non essentiels
  4. Configurer les formulaires (Contact Form 7, WPForms, Gravity Forms) en opt-in explicite avec mention RGPD
  5. Remplacer ou désactiver les services tiers transférant hors UE quand une alternative existe (Matomo, Plausible)
  6. Tenir un registre des traitements, même simplifié, et nommer un référent RGPD interne

WordPress équipe environ 43% des sites web mondiaux. Son écosystème de plugins, sa flexibilité et ses thèmes prêts à l'emploi en font la cible privilégiée des contrôles CNIL : la majorité des manquements RGPD recensés concerne des installations WordPress mal configurées.

Notre générateur produit une politique de confidentialité spécifiquement adaptée aux extensions WordPress que vous utilisez (Yoast, Contact Form 7, WooCommerce, Elementor, etc.) et aux services tiers fréquemment intégrés.

Générer ma politique RGPD WordPressVoir tous les modèles RGPD

Plugins WordPress à risque RGPD

Certaines extensions très populaires injectent par défaut des scripts tiers qui collectent des données personnelles avant tout consentement : Jetpack (statistiques Automattic), Google Analytics, Facebook Pixel via plugins SEO, Akismet (antispam, transferts USA), reCAPTCHA (Google).

Chaque plugin actif qui charge un service tiers doit être déclaré dans votre politique de confidentialité, avec sa finalité, sa base légale, et la durée de conservation des données. Un audit régulier des plugins actifs est indispensable.

Cookies et bandeau de consentement

WordPress n'embarque pas nativement de mécanisme de consentement conforme aux recommandations CNIL. Vous devez installer une CMP (Consent Management Platform) — Axeptio, Tarteaucitron, Complianz, CookieYes — et la configurer pour bloquer les scripts tiers avant consentement.

Point souvent négligé : le bandeau doit permettre de refuser aussi facilement que d'accepter. Un bouton "Tout accepter" sans bouton "Tout refuser" au même niveau visuel est une non-conformité explicitement sanctionnée (délibérations CNIL 2021-2024).

Hébergement et transferts hors UE

Si votre site WordPress est hébergé chez un fournisseur hors Union Européenne (par exemple : WP Engine, GoDaddy, Hostinger international), les données de vos visiteurs sortent de l'UE. Le RGPD impose des garanties spécifiques (clauses contractuelles types, DPF avec les USA, etc.) qui doivent être mentionnées dans votre politique.

La solution la plus simple en pratique : choisir un hébergeur français ou européen (OVH, Infomaniak, Scaleway, o2switch, Hostinger France). Mention obligatoire de l'hébergeur dans vos mentions légales — c'est cumulatif.

Générez votre document en 5 minutes

Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.

Générer ma politique RGPD WordPress

Questions fréquentes

Faut-il faire un audit RGPD complet de son installation WordPress ?

Recommandé tous les 6 à 12 mois et à chaque ajout/suppression de plugin majeur. Outils gratuits : extension "Cookie Scanner" du navigateur, audit Webbkoll, vérification réseau via DevTools. Un audit identifie les requêtes tierces non documentées.

Google Fonts est-il un problème RGPD sur WordPress ?

Oui. Charger Google Fonts depuis fonts.googleapis.com transmet l'IP du visiteur à Google avant tout consentement. Un tribunal allemand a condamné un site pour ce seul fait en 2022. Solution : héberger les polices localement (plugin OMGF par exemple).

WooCommerce nécessite-t-il une politique de confidentialité spécifique ?

Oui, fortement enrichie : données de commande, adresses de facturation/livraison, données de paiement traitées par votre PSP (Stripe, PayPal — souvent USA, vigilance sur les transferts), historique des comptes clients, durée de conservation des factures (10 ans légalement).

Le formulaire de contact Contact Form 7 est-il conforme par défaut ?

Non. CF7 envoie les soumissions par email et ne logue rien côté serveur, mais il faut afficher une information RGPD à proximité du formulaire (finalité, durée de conservation, droits) et ajouter une case à cocher d'acceptation. L'extension Flamingo logue par défaut — pensez à la durée de rétention.

Voir aussi

RGPD
RGPD pour boutique Shopify
RGPD
RGPD pour boutique PrestaShop
CGV
CGV pour site e-commerce

Guides pour aller plus loin

Guide
RGPD : guide complet pour un site web français conforme

Comment mettre votre site en conformité avec le RGPD : politique de confidentialité, registre, bases légales, droits des utilisateurs, durées de conservation.

Guide
Sanctions CNIL : ce que risque un site non conforme RGPD

Amendes, mises en demeure, publication des sanctions : panorama des risques encourus par un site web non conforme au RGPD, avec exemples chiffrés récents.

Guide
Conformité juridique d'un site WordPress en 2026 : la checklist complète

WordPress RGPD, mentions légales, cookies, WooCommerce, plugins : la checklist en 10 points pour mettre votre site WordPress en conformité en 2026.

Guide
Registre des traitements RGPD : modèle gratuit et exemple rempli pour un e-commerce

Article 30 du RGPD : pourquoi tenir un registre des traitements, ce qu'il doit contenir, modèle CNIL gratuit et exemple détaillé pour un e-commerce français en 2026.