Something in the web

Something in the web

RGPD : ce que votre site doit absolument respecter

Votre site dispose d’un formulaire de contact ? Vous utilisez Google Analytics pour mesurer votre audience ? Vous affichez un bandeau de cookies ? Alors votre site est concerné par le RGPD, même si vous êtes artisan, indépendant ou à la tête d’une petite entreprise. C’est le point que beaucoup de propriétaires de sites ignorent encore : la conformité RGPD ne concerne pas uniquement les grandes plateformes ou les e-commerces qui traitent des milliers de transactions. Elle s’applique à tout site accessible depuis l’Union européenne dès lors qu’il collecte ou traite des données de résidents européens. Et la quasi-totalité des sites actifs aujourd’hui le font, souvent sans que leurs propriétaires en aient pleinement conscience. Cet article ne se limite pas à lister vos obligations. Pour chacune d’elles, vous comprendrez pourquoi elle existe, ce qu’elle implique concrètement sur votre site WordPress, et vous disposerez d’une vérification rapide pour évaluer immédiatement où vous en êtes.

Partager cet article:

RGPD - ce que votre site doit absolument respecter

🔍 Ce que le RGPD appelle « données personnelles »

Avant d’entrer dans les obligations, un point de définition s’impose. Une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique.

Cela inclut évidemment le nom, le prénom ou l’adresse e-mail renseignés dans un formulaire de contact. Mais cela couvre aussi l’adresse IP enregistrée par votre hébergeur, les cookies déposés dans le navigateur de vos visiteurs, les données de comportement collectées par Google Analytics, et toute information associée à un profil identifiable.

En pratique : si votre site WordPress utilise Google Analytics, un plugin de formulaire comme WPForms ou Fluent Forms, un plugin de cache qui enregistre des logs, ou simplement l’hébergement standard avec journaux de connexion, des données personnelles sont traitées. Le RGPD s’applique.

📄 Obligation 1 : La politique de confidentialité

Pourquoi elle existe

La politique de confidentialité concrétise le principe de transparence au cœur du RGPD. Son existence répond à une logique simple : une personne ne peut consentir à quelque chose qu’elle ne comprend pas. Ce document vous impose d’expliquer à vos visiteurs quelles données vous collectez, dans quel but, sur quelle base légale, pour combien de temps, et quels sont leurs droits.

Ce que ça implique concrètement

Votre politique de confidentialité doit mentionner votre identité en tant que responsable de traitement, les catégories de données collectées, la finalité de chaque traitement, la durée de conservation, les outils tiers qui accèdent à ces données (Google Analytics, votre hébergeur, votre plugin de formulaire…), et les droits des personnes concernées.

Elle doit être rédigée dans un langage accessible, pas en jargon juridique. Un lien en pied de page, visible sur toutes les pages, est la pratique standard. Des générateurs comme Iubenda ou le modèle proposé par la CNIL permettent de produire un document conforme en quelques minutes, à condition de renseigner précisément tous les outils que vous utilisez.

Votre vérification rapide :

  • Votre site dispose-t-il d’une page de politique de confidentialité accessible depuis le pied de page ?
  • Ce document liste-t-il l’ensemble de vos outils tiers (hébergeur, analytics, formulaire…) ?
  • A-t-il été mis à jour la dernière fois que vous avez ajouté ou modifié un plugin collectant des données ?

🍪 Obligation 2 : Le bandeau de cookies et le consentement

Pourquoi elle existe

Les cookies peuvent avoir des finalités très différentes. Certains sont indispensables au fonctionnement du site. D’autres servent à mesurer l’audience, à diffuser de la publicité ciblée ou à suivre un visiteur d’un site à l’autre. Le RGPD impose que ces cookies non strictement nécessaires ne soient déposés qu’avec le consentement explicite de l’utilisateur, donné librement, avant tout dépôt.

Ce que ça implique concrètement sur WordPress

C’est l’obligation la plus souvent mal implémentée. Un bandeau qui n’affiche qu’un bouton « Accepter » sans option de refus équivalente n’est pas conforme. Un bandeau qui laisse vos scripts Google Analytics se charger avant que l’utilisateur ait répondu n’est pas conforme. Le bouton « Refuser » doit être aussi accessible que le bouton « Accepter » : c’est une exigence explicite de la CNIL.

Sur WordPress, plusieurs solutions permettent de gérer ce consentement correctement. Complianz est l’une des plus complètes : elle scanne automatiquement votre site pour détecter les cookies présents, génère un bandeau conforme et bloque les scripts jusqu’à l’obtention du consentement. Axeptio est une alternative française appréciée pour son interface soignée. Pour les sites qui utilisent Google Analytics, l’activation du Google Consent Mode v2 est désormais indispensable pour rester compatible avec les exigences du règlement tout en conservant des données d’audience exploitables.

Un point souvent négligé : vos visiteurs doivent pouvoir modifier leur choix à tout moment, depuis toutes les pages du site.

Votre vérification rapide :

  • Votre bandeau propose-t-il un bouton « Refuser » aussi visible que le bouton « Accepter » ?
  • Vos scripts d’analyse se chargent-ils uniquement après accord de l’utilisateur ?
  • Avez-vous activé le Google Consent Mode v2 si vous utilisez Google Analytics 4 ?

📝 Obligation 3 : Les formulaires de contact et de collecte

Pourquoi elle existe

Chaque formulaire sur votre site est un point de collecte de données personnelles. Formulaire de contact, demande de devis, inscription à une newsletter, prise de rendez-vous : tous sont concernés. Le RGPD impose que cette collecte repose sur une base légale identifiée et que les visiteurs soient informés de ce qui sera fait de leurs données au moment où ils les transmettent.

Ce que ça implique concrètement sur WordPress

Sous chaque formulaire, qu’il soit créé avec WPForms, Fluent Forms, Gravity Forms ou le formulaire natif de votre thème Elementor, doit figurer une mention informative courte qui indique qui traite les données, dans quel but, et renvoie vers la politique de confidentialité complète.

Pour une newsletter, une case à cocher non précochée est obligatoire. Vous ne pouvez pas inscrire automatiquement quelqu’un à votre liste de diffusion parce qu’il vous a envoyé un message de contact. Le consentement à recevoir des communications commerciales doit être distinct et explicite.

Le principe de minimisation s’applique aussi ici : collectez uniquement les informations dont vous avez réellement besoin. Si une adresse e-mail suffit pour traiter une demande de renseignement, ne demandez pas le numéro de téléphone.

Votre vérification rapide :

  • Chacun de vos formulaires affiche-t-il une mention informative avec un lien vers votre politique de confidentialité ?
  • Vos cases d’inscription à une newsletter sont-elles décochées par défaut ?
  • Avez-vous désactivé l’enregistrement automatique des soumissions dans la base de données si vous n’en avez pas l’utilité ?

🖥️ Obligation 4 : L’hébergement et vos prestataires tiers

Pourquoi elle existe

Votre site ne fonctionne pas seul. Il repose sur un hébergeur, utilise peut-être un service d’emailing, un outil de paiement, un CDN. Chacun de ces prestataires est susceptible d’accéder aux données de vos utilisateurs. Le RGPD exige que vous ayez conclu un accord de sous-traitance avec chacun d’eux, garantissant qu’ils traitent ces données selon des conditions conformes au règlement.

Ce que ça implique concrètement

La plupart des grands acteurs (OVHcloud, Infomaniak, Brevo, Mailchimp…) proposent des DPA (Data Processing Agreement) accessibles directement dans leurs conditions ou sur simple demande. Il s’agit rarement d’un contrat à négocier : c’est un document standard à retrouver et à conserver. Si vous cherchez un hébergeur français dont les données restent en Europe par défaut, nous avons détaillé ce que propose o2switch sur ce point. Pour choisir un hébergement adapté à votre projet WordPress, vous pouvez aussi consulter notre guide de sélection selon les objectifs de votre site.

Un point d’attention particulier concerne les transferts de données hors Union européenne. Si vous utilisez des services hébergés aux États-Unis, ces transferts doivent être encadrés par des mécanismes reconnus. Si vous souhaitez traiter vos données d’audience en dehors des serveurs de Google, Matomo hébergé sur votre propre serveur est une alternative qui évite complètement la question des transferts transatlantiques, et qui ne nécessite pas de bandeau de consentement pour les données qu’il collecte en mode configuré.

Votre vérification rapide :

  • Avez-vous identifié tous les outils tiers qui traitent des données de vos visiteurs ?
  • Avez-vous vérifié que ces prestataires proposent un DPA accessible ?
  • Vos données sont-elles hébergées en Europe, ou avez-vous identifié les garanties encadrant un transfert hors UE ?

👤 Obligation 5 : Les droits de vos visiteurs

Pourquoi elle existe

Le RGPD confère aux personnes dont vous traitez les données un ensemble de droits : droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, droit d’opposition. Ces droits ne sont pas symboliques. Si un contact vous écrit pour demander la suppression de ses données, vous disposez d’un mois pour traiter sa demande.

Ce que ça implique concrètement

Votre politique de confidentialité doit expliquer comment exercer ces droits et indiquer un moyen de contact clairement identifié : une adresse e-mail dédiée ou une mention explicite de votre adresse principale. La bonne nouvelle pour les petites structures : vous n’avez pas besoin d’une infrastructure complexe. Ce qui est attendu, c’est d’être en mesure de retrouver puis supprimer les données d’une personne dans vos outils, base de données WordPress, liste e-mail, CRM éventuel et dans un délai raisonnable.

Votre vérification rapide :

  • Votre politique de confidentialité explique-t-elle comment exercer les droits RGPD et indique-t-elle un contact pour ces demandes ?
  • Seriez-vous en mesure, si quelqu’un vous le demandait aujourd’hui, de retrouver et supprimer l’ensemble des données que vous détenez sur lui dans vos différents outils ?

⏱️ Obligation 6 : La durée de conservation des données

Pourquoi elle existe

Des données que vous n’avez plus besoin de conserver ne devraient plus l’être. C’est le principe de limitation de la conservation : les données doivent être supprimées ou anonymisées une fois que la finalité pour laquelle elles ont été collectées est atteinte. C’est aussi une mesure de bon sens : des données que vous ne stockez plus ne peuvent ni fuiter ni vous exposer.

Ce que ça implique concrètement

Définissez des durées de conservation pour chaque catégorie de données et mentionnez-les dans votre politique de confidentialité. Pour les messages de formulaire sans suite, une à trois ans est généralement raisonnable. Pour une liste e-mail, la bonne pratique est de purger les contacts inactifs tous les deux à trois ans. Sur WordPress, vérifiez que vos plugins de formulaire n’accumulent pas indéfiniment les soumissions dans la base de données : c’est un réglage souvent ignoré lors de l’installation.

Votre vérification rapide :

  • Avez-vous défini des durées de conservation pour chaque type de données collecté sur votre site ?
  • Votre base de données WordPress contient-elle des soumissions de formulaire remontant à plusieurs années jamais purgées ?
  • Votre liste e-mail comporte-t-elle des contacts inactifs depuis longtemps que vous n’avez jamais purgés ?

« Ce que vous ne collectez pas ne peut pas fuiter. Ce que vous ne conservez pas ne peut pas vous exposer. »

❌ Les erreurs les plus fréquentes sur les sites WordPress

Après avoir audité de nombreux sites WordPress de TPE et d’indépendants, certaines erreurs reviennent systématiquement.

Un bandeau de cookies purement décoratif. Le visiteur clique sur « Accepter » ou ferme la fenêtre, mais Google Analytics s’est déjà chargé dès l’ouverture de la page. Cette configuration n’est pas conforme, même si le bandeau est visuellement présent.

Une politique de confidentialité générique copiée depuis un autre site. Un texte qui parle de « cookies tiers » sans nommer Google Analytics, votre plugin de formulaire ou votre hébergeur est insuffisant. Chaque site doit avoir un document qui reflète ses propres outils.

L’enregistrement automatique des soumissions de formulaire activé par défaut. Sur WPForms ou Gravity Forms, cette option est cochée à l’installation. Des milliers de messages s’accumulent alors dans la base de données WordPress sans durée de conservation définie et sans que le propriétaire du site en soit conscient.

L’absence de mention informative sous les formulaires de contact. Un lien vers la politique de confidentialité sous chaque formulaire est obligatoire. C’est une ligne de texte et un lien hypertexte : dix secondes à ajouter, et une obligation réelle.

⚠️ Ce que vous risquez réellement

Soyons directs. La CNIL ne cible pas en priorité une TPE de deux personnes ou un artisan avec un site vitrine. Les sanctions les plus lourdes concernent les acteurs qui traitent des données à grande échelle ou causent un préjudice significatif.

Cela ne signifie pas pour autant qu’une petite structure est à l’abri. Un visiteur ou un client mécontent peut déposer une plainte auprès de la CNIL, qui est tenue de traiter toute réclamation recevable. Une mise en demeure, même sans amende, mobilise du temps et crée un risque de réputation. Et si votre site est compromis, les petites structures ne sont pas épargnées par le piratage, une fuite de données clients constitue une violation RGPD que vous êtes tenu de déclarer à la CNIL dans les 72 heures.

À l’inverse, un site dont la conformité RGPD est visible, bandeau de cookies sérieux, politique de confidentialité à jour, formulaires bien encadrés, envoie un signal de professionnalisme. Pour des indépendants et des TPE qui travaillent à la confiance, ce signal a de la valeur, particulièrement auprès de clients qui sont eux-mêmes soumis au règlement.

✈️ L’avis du studio

Il serait facile de présenter la conformité RGPD comme une formalité administrative à cocher pour éviter des ennuis. Ce n’est pas la lecture que nous en faisons.

Mettre son site en conformité, c’est aussi l’occasion de faire le point sur sa propre collecte de données. Avez-vous vraiment besoin de tous les outils analytiques installés au fil du temps ? Ces plugins tiers sont-ils tous indispensables, ou se sont-ils accumulés sans vraiment servir ? Cette remise en ordre a souvent des effets positifs bien au-delà de la conformité : des sites plus légers, plus rapides, et plus respectueux des visiteurs qui leur font confiance.

Nous aidons nos clients WordPress à mettre en place ces bonnes pratiques dans le cadre de notre service de maintenance WordPress, sans complexifier inutilement ce qui peut rester simple. Si vous souhaitez savoir précisément où en est votre site sur ces points, c’est le genre de question que l’on peut regarder ensemble.

Table des matières

PLUS D'INSPIRATION

Comment sauvegarder son site WordPress (et pourquoi la plupart des sauvegardes sont inutiles)

Comment sauvegarder son site WordPress (et pourquoi la plupart des sauvegardes sont inutiles)

Lire l'article ›

Article Tranquillité - O2switch l’hébergeur web français simple, performant et tout-en-un

o2switch : l’hébergeur web français simple, performant et tout-en-un

Lire l'article ›

Pourquoi même un petit site peut être piraté

Pourquoi même un « petit » site peut être piraté

Lire l'article ›

Article Tranquillité - Comment avoir un site Wordpress performant pour Google

Comment avoir un site WordPress performant pour Google ?

Lire l'article ›

Peut-on avoir un hébergement écologique sans sacrifier la performance ?

Peut-on avoir un hébergement écologique sans sacrifier la performance ?

Lire l'article ›

Hébergement WordPress et Elementor - comment choisir selon les objectifs de votre site

Hébergement WordPress et Elementor : comment choisir selon les objectifs de votre site

Lire l'article ›

Article Tranquillité - Optimisez vos images WordPress avec QuickWebP

Optimisez vos images WordPress avec QuickWebP : le guide complet

Lire l'article ›

Article Tranquillité - Quels sont les meilleurs plugins pour gérer le cache d’un site WordPress

Quels sont les meilleurs plugins pour gérer le cache d’un site WordPress ?

Lire l'article ›

PROFITEZ D'UN
DIAGNOSTIC OFFERT

Nous vous proposons une analyse stratégique de votre présence en ligne, gratuite et sans engagement, lors d’une séance en visio.

Réserver mon audit
Cerisier sakura
Fleur de cerisier sakura rose foncée de profil
Fleur de cerisier sakura rose foncée
Fleur de cerisier sakura rose
Fleur de cerisier sakura rose de profil
Fleur de cerisier sakura rose
Fleur de cerisier sakura rose de profil
Fleur de cerisier sakura rose foncée de profil
Fleur de cerisier sakura rose foncée

PLUS DE
SÉRÉNITÉ

Notre savoir-faire repose sur quatre piliers du web : la création, la visibilité, l’identité et la tranquillité. Ensemble, ils nous permettent de concevoir des sites WordPress sur-mesure qui font rayonner votre marque à travers le web.

NOS
SERVICES

Des prestations à la hauteur de vos ambitions digitales.

NOS SERVICES

Des prestations à la hauteur de vos ambitions.

Base de fleur de lotus
Feuille centrale de fleur de lotus
Feuille de fleur de lotus droite 3
Feuille de fleur de lotus droite 2
Feuille de fleur de lotus droite 1
Feuille de fleur de lotus gauche 3
Feuille de fleur de lotus gauche 2
Feuille de fleur de lotus gauche 1

TRANQUILLITÉ

Un site rapide, sécurisé et optimisé pour garder un esprit zen.

Choisir la destination
Porte coulissante gauche d'entrée d'un hotel
Porte coulissante droite d'entrée d'un hotel
Auvent de porte d'entrée d'un hotel
Porte coulissante gauche d'entrée d'un hotel
Porte coulissante droite d'entrée d'un hotel
Auvent de porte d'entrée d'un hotel

CRÉATION

Nous développons des sites WordPress sur mesure, pensés pour être aussi accueillants qu’un hôtel 5 étoiles.

Choisir la destination
Nuage blanc décoratif
Un homme tenant une longue vue dans une montgolfière
Un homme dans une montgolfière

VISIBILITÉ

Un beau site, c’est bien. Un site référencé, c’est mieux.

Choisir la destination
Bateau voguant sur l'eau

IDENTITÉ

Naviguez à contre-courant et faites la différence avec une image forte, un ton juste et un design qui vous ressemble.

Choisir la destination