WordPress RGPD 2026 : conformité + checklist

← Blog Fondamentaux RGPD Conformité & Droits
9 min de lecture
Mis à jour : 16 juin 2026
Équipe WebLegal

Gratuit · Sans inscription · Résultat en 30 secondes

WordPress fait tourner près de 40 % des sites web dans le monde, des blogs aux boutiques WooCommerce. Mais installer WordPress ne rend pas votre site conforme au RGPD. Avec un site auto-hébergé (WordPress.org), c’est vous l’éditeur qui êtes le responsable de traitement au sens du Règlement Général sur la Protection des Données. WordPress.org ne fournit que le logiciel ; votre hébergeur et chacune de vos extensions agissent comme sous-traitants. C’est donc à vous que la CNIL demandera des comptes : en 2025, elle a prononcé 83 sanctions pour 486 millions d’euros, dont la majorité via la procédure simplifiée — qui vise souvent les TPE et PME et prévoit des amendes de 3 000 à 20 000 €.

Commencez par analyser gratuitement votre site avec notre scanner de conformité RGPD pour identifier les points à corriger. Cet article vous explique ce que WordPress fait et ne fait pas pour votre conformité, les obligations que vous devez remplir vous-même, les erreurs les plus fréquentes, et comment mettre votre site en règle rapidement. Pour un panorama plus large des outils automatisés, consultez aussi notre guide complet du générateur IA de documents légaux 2026.

Ce que WordPress fait (et ne fait pas) pour votre conformité

Ce que WordPress fournit

Le cœur de WordPress intègre quelques fonctionnalités liées au RGPD :

  • Un modèle de politique de confidentialité : un brouillon générique accessible dans Réglages → Confidentialité. Il s’agit d’un canevas de base, non adapté à votre activité.
  • Des outils de droits des personnes : dans Outils → Données personnelles, vous pouvez exporter ou effacer les données d’un utilisateur pour répondre aux demandes d’accès et de suppression (articles 15 et 17 du RGPD).
  • Une case de consentement aux commentaires : activée par défaut, elle ne concerne que le stockage des informations du commentateur — ce n’est pas un bandeau cookies.

Ce que WordPress ne fournit PAS

WordPress est un logiciel libre : il ne signe aucun contrat avec vous et ne rédige pas vos documents. Les éléments suivants sont entièrement de votre responsabilité :

  • Un contrat de sous-traitance (DPA) conforme à l’article 28 — il provient de votre hébergeur (OVHcloud, o2switch, Infomaniak…) et de chaque extension, pas de WordPress.org.
  • Une bannière cookies conforme à la CNIL (la case native des commentaires n’en est pas une).
  • Votre politique de confidentialité personnalisée, votre politique de cookies, vos CGU, vos CGV et vos mentions légales conformes au droit français.
  • La gestion du Google Consent Mode v2, devenu indispensable si vous utilisez Google Analytics 4 ou Google Ads.

Les modèles génériques laissés tels quels constituent un risque juridique réel. Pour un panorama complet de ces obligations, consultez notre guide sur les 4 documents légaux obligatoires pour tout site.

Les 5 obligations RGPD pour votre site WordPress

1. Publier une politique de confidentialité complète

Les articles 13 et 14 du RGPD imposent une information transparente. Votre politique doit détailler l’identité du responsable de traitement, les finalités de chaque traitement, les bases juridiques, les destinataires (votre hébergeur et toutes vos extensions tierces), les durées de conservation et les droits des personnes. Pour aller plus loin, lisez notre article sur la politique de confidentialité obligatoire et ses sanctions.

2. Mettre en place un bandeau cookies conforme

La CNIL exige que le refus des cookies soit aussi simple que leur acceptation (boutons « Accepter » et « Refuser » de taille et de visibilité égales), que les traceurs non essentiels ne soient pas déposés avant le consentement, et que l’utilisateur puisse modifier ses choix à tout moment. Si vous utilisez Google Analytics 4 ou Google Ads, votre bandeau doit en plus transmettre le Consent Mode v2. Retrouvez les règles complètes dans notre guide sur la politique de cookies et les sanctions CNIL. Plutôt que d’empiler les extensions, vous pouvez installer notre bannière cookies RGPD gratuite, sans limite de pages vues ni abonnement.

3. Cartographier vos extensions (vos sous-traitants)

Chaque extension qui accède aux données de vos visiteurs est un sous-traitant supplémentaire au sens du RGPD. Votre politique de confidentialité doit les refléter, et vous devez vous assurer que chacune offre des garanties (DPA, localisation des données). C’est la spécificité WordPress : la flexibilité des extensions est aussi votre principale surface de risque.

4. Publier vos mentions légales

L’article 1-1 de la LCEN impose à tout site web de publier ses mentions légales (identité de l’éditeur, hébergeur, contact). Leur absence est passible d’une amende pouvant atteindre 75 000 € pour une personne physique.

5. Tenir un registre des traitements

L’article 30 du RGPD vous impose de documenter l’ensemble de vos traitements. Ce registre liste les finalités, les catégories de données, les destinataires et les durées de conservation. Pour un plan d’action complet, consultez notre guide sur la mise en conformité RGPD en 10 étapes.

Les erreurs les plus fréquentes sur WordPress

Les sites WordPress commettent souvent les mêmes erreurs :

  • Prendre la case de consentement des commentaires pour un bandeau cookies : ce sont deux choses différentes. Sans véritable bandeau, vos cookies analytiques et publicitaires sont déposés sans consentement valable.
  • Installer Google Analytics sans Consent Mode v2 : GA4 dépose alors des traceurs avant tout consentement, en violation directe des exigences de la CNIL.
  • Laisser le modèle de politique de confidentialité par défaut : ce canevas générique ne reflète ni vos traitements réels ni vos extensions, et vous expose en cas de contrôle.
  • Accumuler les extensions et les oublier : chaque extension active qui conserve des données augmente votre risque. Désinstallez celles que vous n’utilisez plus.
  • Ne pas signer le DPA de son hébergeur : la relation de sous-traitance avec votre hébergeur doit être encadrée conformément à l’article 28.
  • Des formulaires sans base légale : un formulaire de contact ou d’inscription newsletter (Contact Form 7, WPForms…) doit reposer sur une base légale et informer l’utilisateur du traitement.

Les extensions WordPress et le RGPD

L’écosystème d’extensions est le grand atout de WordPress, mais chaque extension qui touche aux données de vos visiteurs devient un sous-traitant. Les catégories à auditer en priorité :

  • Formulaires : Contact Form 7, WPForms, Gravity Forms — vérifiez la base légale et la durée de conservation des entrées.
  • Analytics : Google Analytics 4, Matomo, Jetpack Stats — couplés au consentement et au Consent Mode v2. Notre guide sur les alternatives à Google Analytics conformes à la CNIL détaille les options.
  • Email et newsletter : Mailchimp, Brevo, MailPoet — consentement marketing distinct et traitement des désinscriptions.
  • E-commerce : WooCommerce ajoute les obligations e-commerce (droit de rétractation, CGV).
  • Page builders et réseaux sociaux : Elementor, Divi, Meta Pixel — attention aux scripts tiers chargés avant consentement.

Beaucoup de ces extensions sont éditées par des entreprises américaines : vérifiez que les transferts hors UE sont couverts par le Data Privacy Framework ou par des clauses contractuelles types (arrêt Schrems II). Un bon réflexe : à chaque nouvelle extension, contrôlez sa politique de confidentialité et mettez la vôtre à jour.

Comment mettre votre site WordPress en conformité

Quatre options s’offrent à vous pour obtenir l’ensemble de vos documents légaux :

Faire appel à un avocat (500-2 000 €) : conseil personnalisé et expertise pointue, mais coût élevé et délai de plusieurs semaines.

Faire soi-même avec des modèles (0 €, risque élevé) : les modèles gratuits sont rarement à jour des dernières exigences et jamais adaptés à vos extensions ni à votre activité.

Utiliser une IA générique (0 € + 150-300 € de révision) : des outils comme ChatGPT produisent des ébauches, mais chaque document est généré séparément, d’où des incohérences entre vos textes. Nous détaillons ces risques dans notre article sur pourquoi utiliser ChatGPT pour rédiger ses CGU est risqué.

Utiliser une IA juridique spécialisée (19,90 € à 49,90 €) : le générateur de documents légaux WebLegal produit vos 4 documents (politique de confidentialité, cookies, CGU, CGV) en moins de 10 minutes, avec une cohérence garantie entre eux. Le formulaire guidé vous interroge sur vos extensions, vos outils analytics et votre activité pour produire des documents réellement adaptés à votre site WordPress.

Vous gérez une boutique en ligne sur une autre plateforme ? Voir aussi notre guide Shopify RGPD : évitez 7 erreurs coûteuses.

Conclusion

Utiliser WordPress ne vous exonère pas de vos obligations RGPD. En tant que responsable de traitement, vous devez garantir que votre politique de confidentialité, votre bandeau cookies, vos CGU, vos CGV et vos mentions légales sont conformes au droit européen et français — et que vos extensions ne déposent pas de traceurs avant le consentement. WordPress fournit des briques de base, mais elles ne suffisent pas. En 2026, avec le renforcement des contrôles de la CNIL, la conformité n’est plus une option. N’attendez pas une mise en demeure pour agir : générez vos documents légaux conformes pour WordPress en moins de 10 minutes.

RGPD E-commerce : 7 Erreurs CNIL à Éviter - Fondamentaux RGPD

RGPD E-commerce : 7 Erreurs CNIL à Éviter

⏱ 9 min de lecture
Fondamentaux RGPD E-commerce & Startups

Les 7 erreurs RGPD les plus fréquentes en boutique en ligne qui déclenchent un contrôle CNIL en 2026 (cookies, transferts US, sous-traitants).

Lire l'article →
Site Vitrine et RGPD : Êtes-vous Conforme ? - Fondamentaux RGPD

Site Vitrine et RGPD : Êtes-vous Conforme ?

⏱ 9 min de lecture
Fondamentaux RGPD Multi

83% des sites vitrines ont des violations RGPD. Vérifiez votre conformité : mentions légales, cookies, formulaires.

Lire l'article →
Conformité RGPD E-commerce : 10 Étapes - Fondamentaux RGPD

Conformité RGPD E-commerce : 10 Étapes

⏱ 10 min de lecture
Fondamentaux RGPD E-commerce & Startups Multi

Plan d'action RGPD en 10 étapes pour votre e-commerce : de l'audit initial à la conformité complète. Guide pratique pour protéger votre boutique en ligne.

Lire l'article →