Checklist — WordPress & RGPD

10 erreurs RGPD courantes sur un site WordPress (et comment les corriger en 1 jour)

Publié le 28 mai 2026·10 min de lecture·Tous les guides

WordPress propulse 43 % des sites mondiaux. Mais l'écosystème (thèmes, plugins) génère par défaut de nombreux écarts RGPD. Sur 200 sites WordPress audités par ScanRGPD en 2026, 92 % présentent au moins 3 non-conformités majeures. Voici les 10 erreurs les plus fréquentes — et comment les corriger en 1 journée.

1. Google Analytics chargé avant consentement

Cause : la plupart des plugins SEO (Yoast, Rank Math) ou de performance (Perfmatters, WP Rocket) chargent GA dans le head, donc AVANT que la bannière cookies n'ait pu réagir.

Fix : utiliser un plugin de gestion des consentements (Axeptio, Complianz, CookieYes) qui bloque les scripts tiers jusqu'au clic « Accepter ».

2. Meta Pixel sans consentement

Cause : intégration via plugin marketing (PixelYourSite, Custom Facebook Feed). Le pixel charge à chaque visite, même sans consentement.

Fix : configurer le plugin pour conditionner le tag au consentement. Sinon : supprimer Meta Pixel si pas indispensable.

3. reCAPTCHA Google sans consentement

Cause : reCAPTCHA (v2 ou v3) transfère des données aux USA. Sans consentement préalable explicite + mention dans la politique de confidentialité, c'est non-conforme.

Fix : remplacer par hCaptcha (alternatif européen, conforme par défaut) ou Cloudflare Turnstile (gratuit, sans tracking).

4. Formulaires sans case « J'accepte »

Cause : Contact Form 7, WPForms par défaut ne demandent aucun consentement RGPD pour le traitement des données du formulaire.

Fix : ajouter une case à cocher (non pré-cochée) avec :« J'ai lu et j'accepte la politique de confidentialité. »

5. Newsletter avec opt-in implicite (case pré-cochée)

Cause : ajouter une case « Inscrivez-vous à la newsletter » PRÉCOCHÉE dans le formulaire de contact = opt-in implicite, illégal.

Fix : case décochée par défaut + texte explicite :« Je souhaite recevoir la newsletter (1 email/mois, désinscription en 1 clic). »

6. Mentions légales incomplètes ou absentes

Cause : page « Mentions légales » oubliée ou copiée d'un modèle générique sans personnalisation.

Fix : voir notre modèle gratuit de mentions légales conformes LCEN.

7. Politique de confidentialité datée ou inexistante

Cause : la page n'a pas été mise à jour depuis 2018 ou liste des sous-traitants qui ne sont plus utilisés.

Fix : utilisez notre modèle 2026 et listez précisément vos sous-traitants actuels.

8. Headers HTTP de sécurité manquants

Cause : WordPress ne configure aucun header de sécurité par défaut. HSTS, CSP, X-Frame-Options sont absents.

Fix : installer le plugin « Headers Security Advanced & HSTS WP » ou ajouter directement les headers via.htaccess (Apache) ou la config Nginx :

# .htaccess - Apache
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-Frame-Options "DENY"
Header set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "strict-origin-when-cross-origin"
Header set Permissions-Policy "camera=(), microphone=(), geolocation=()"

9. Commentaires WP avec dépôt de cookie automatique

Cause : le système de commentaires natif WordPress dépose des cookies (comment_author_*) au premier commentaire posté, sans consentement.

Fix : depuis WP 4.9.6, une case « Enregistrer mes informations » apparaît. Vérifiez qu'elle est décochée par défaut dans Réglages → Discussion.

10. Gravatar — fuite d'email vers Automattic

Cause : Gravatar (par défaut sur WordPress.org) envoie un hash MD5 de l'email des commentateurs à automattic.com (USA), sans consentement.

Fix : désactiver Gravatar dans Réglages → Discussion → décocher « Afficher les avatars ». Ou utiliser WP User Avatar qui héberge les avatars en local.

Plan d'action en 1 journée

  1. Matin (2h) : installer Axeptio + configurer le blocage des trackers (cookies 1, 2, 3 résolus)
  2. Midi (1h) : remplacer reCAPTCHA → hCaptcha (cookie 3 finalisé)
  3. Début aprem (1h) : ajouter case consentement sur formulaires + désactiver Gravatar (4, 5, 10)
  4. Fin aprem (2h) : mettre à jour mentions légales + politique de confidentialité (6, 7)
  5. Fin journée (1h) : ajouter headers HTTP via .htaccess (8)

Total : 7h. Coût : 0 € (si tu utilises Axeptio Free, hCaptcha free tier). Résultat : score conformité de 30/100 → 85/100 en moyenne.

Vérifier en 30 secondes que vous avez tout corrigé

Lancez un pré-diagnostic gratuit ScanRGPD sur votre site (sans inscription) — vous saurez immédiatement quels écarts persistent.

Allez au-delà du registre

Notre audit RGPD du site web scanne votre site (cookies, trackers, formulaires, pages légales), génère un rapport personnalisé (à partir de 20 à 30 pages, selon la complexité de votre activité), et inclut 4 modèles RGPD prêts à publier + le Kit Conformité Interne complet (registre + contrat Art. 28 + procédure violation 72 h + 13 templates emails droits RGPD).
490 € TTC, livré sous 24 h ouvrées, sans abonnement.

Découvrir l'audit completVoir un exemple de rapport