Le RGPD est entré en vigueur en 2018, mais beaucoup de sites WordPress de TPE et PME restent encore incomplets sur le plan légal. En 2026, la CNIL maintient une vigilance active, y compris envers les petites structures. Une mise en conformité bâclée ou absente peut exposer votre entreprise à des sanctions, mais surtout à une perte de confiance de vos visiteurs. Voici ce que votre site doit respecter, concrètement, sans jargon inutile.
Les mentions légales et la politique de confidentialité : deux pages obligatoires
Tout site professionnel accessible en France doit afficher des mentions légales. Ce n’est pas une option, c’est une obligation issue de la loi pour la Confiance dans l’Économie Numérique (LCEN). Ces mentions doivent préciser : le nom ou la raison sociale de l’éditeur du site, son adresse, son numéro SIRET, son numéro de téléphone, et le nom de l’hébergeur.
La politique de confidentialité, elle, est imposée par le RGPD. Elle doit expliquer, en langage clair, quelles données personnelles vous collectez (formulaire de contact, newsletter, analytics…), pourquoi vous les collectez, combien de temps vous les conservez, et quels sont les droits des utilisateurs (accès, rectification, suppression).
Ces deux pages doivent être accessibles depuis n’importe quelle page de votre site, idéalement via le pied de page. Sous WordPress, elles se créent comme de simples pages, puis s’ajoutent au menu de navigation secondaire ou au footer.
- Mentions légales : identité de l’éditeur, hébergeur, responsable de publication
- Politique de confidentialité : types de données collectées, finalités, durée de conservation, droits des utilisateurs
- Accessibilité : lien visible dans le pied de page sur toutes les pages
La gestion des cookies : ce que la loi impose vraiment
C’est le point le plus visible pour les visiteurs, et aussi l’un des plus mal appliqués. En France, la réglementation sur les cookies est encadrée par la CNIL. Le principe est simple : tout cookie non strictement nécessaire au fonctionnement du site doit faire l’objet d’un consentement explicite de l’utilisateur avant son dépôt.
Concrètement, cela signifie que si votre site WordPress utilise Google Analytics, des pixels publicitaires, des boutons de partage sur les réseaux sociaux ou des vidéos YouTube intégrées, ces éléments ne doivent pas se charger tant que l’utilisateur n’a pas donné son accord.
Un bandeau cookie conforme doit obligatoirement proposer :
- Un bouton « Accepter » clairement visible
- Un bouton « Refuser » aussi accessible que le bouton d’acceptation (même couleur, même taille)
- Un lien vers votre politique de confidentialité
- La possibilité de personnaliser les choix par catégorie
Un simple bandeau avec uniquement un bouton « Accepter » n’est plus conforme. La CNIL a sanctionné cette pratique à plusieurs reprises. Sous WordPress, des plugins comme Complianz ou CookieYes permettent de mettre en place une gestion des cookies correcte, à condition de les configurer sérieusement et de les mettre à jour quand vos traceurs évoluent.
Les formulaires et la collecte de données : vos obligations pratiques
Chaque fois que votre site collecte des informations sur un visiteur — formulaire de contact, inscription à une newsletter, demande de devis — vous êtes soumis au RGPD. Plusieurs règles s’appliquent.
Le consentement doit être explicite et éclairé. Une case pré-cochée pour accepter de recevoir des emails commerciaux n’est pas valide. L’utilisateur doit cocher lui-même cette case, en sachant précisément à quoi il consent.
La minimisation des données est un autre principe clé : vous ne devez collecter que ce qui est strictement nécessaire. Si vous proposez un formulaire de contact, inutile de demander la date de naissance ou le numéro de téléphone si ce n’est pas indispensable à votre service.
Sous WordPress, les plugins de formulaire comme Contact Form 7, WPForms ou Gravity Forms permettent d’ajouter facilement une case de consentement. Il faut aussi veiller à ce que les données collectées soient stockées de façon sécurisée et supprimées passé le délai de conservation mentionné dans votre politique de confidentialité.
Si vous utilisez un outil d’emailing tiers (Mailchimp, Brevo, etc.), vérifiez que ce prestataire est lui aussi conforme au RGPD et que vous avez signé un contrat de sous-traitance avec lui. C’est une obligation souvent oubliée.
Sécuriser votre site WordPress : une exigence RGPD à part entière
Le RGPD impose non seulement de collecter les données de façon transparente, mais aussi de les protéger techniquement. En cas de violation de données (piratage, fuite d’informations), vous avez l’obligation de notifier la CNIL dans un délai de 72 heures. Mieux vaut donc prévenir.
Pour un site WordPress, la sécurité passe par plusieurs mesures concrètes :
- Certificat SSL actif (adresse en HTTPS) : indispensable pour chiffrer les échanges entre le visiteur et votre site
- Mises à jour régulières de WordPress, des thèmes et des plugins : la majorité des piratages exploitent des failles dans des logiciels obsolètes
- Mots de passe forts et comptes administrateurs limités au strict nécessaire
- Sauvegardes automatiques régulières, stockées hors du serveur principal
- Plugin de sécurité (Wordfence, iThemes Security…) pour bloquer les tentatives d’intrusion
IDEAXE intègre systématiquement ces bonnes pratiques lors de la création ou de la refonte d’un site WordPress, pour que vos clients puissent vous faire confiance dès le premier clic.
En résumé : une checklist pour faire le point
La conformité RGPD d’un site WordPress n’est pas réservée aux grandes entreprises. Voici les points essentiels à vérifier dès maintenant :
- ✅ Page de mentions légales complète et à jour
- ✅ Politique de confidentialité claire et accessible
- ✅ Bandeau cookies conforme avec bouton « Refuser » aussi visible que « Accepter »
- ✅ Formulaires avec case de consentement explicite (non pré-cochée)
- ✅ Collecte de données limitée au nécessaire
- ✅ Site en HTTPS, mis à jour et sauvegardé régulièrement
- ✅ Contrats de sous-traitance signés avec vos prestataires qui traitent des données
Se mettre en conformité demande un peu de temps, mais c’est aussi un signal de professionnalisme envoyé à vos visiteurs. Un site sérieux sur le plan légal inspire confiance — et la confiance, c’est ce qui transforme un visiteur en client.
💡 Besoin d’accompagnement ? IDEAXE accompagne TPE/PME (artisans, commerçants, professions libérales, indépendants) dans France avec des solutions sur mesure, sans abonnement caché. Contactez-nous pour un devis gratuit.
