WordPress fait tourner environ 40 % des sites web. La CNIL — l'autorité française de protection des données — a fait du consentement aux cookies sa priorité d'application numéro un depuis 2021. Ces deux réalités se percutent de front.
Si votre site WordPress touche un public français, vous êtes dans le périmètre de la CNIL. Ce n'est pas théorique : la CNIL a sanctionné des éditeurs, des commerçants et des éditeurs de logiciels B2B — tous sur des installations WordPress standard — pour des manquements que vous pouvez corriger en une après-midi.
Ce guide vous explique exactement ce que la CNIL exige, quels plugins valent la peine d'être utilisés, et où la plupart des sites WordPress échouent.
⚠️ Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les recommandations de la CNIL évoluent. Consultez un avocat qualifié pour tout conseil spécifique.
Le schéma d'application de la CNIL est cohérent. L'autorité recherche trois manquements, dans cet ordre approximatif :
Avant de toucher à votre bandeau, identifiez ce qui se charge réellement.
Comment vérifier : Ouvrez votre site en navigation privée. Ouvrez les outils développeur (F12 → onglet Réseau). Chargez la page sans accepter les cookies. Filtrez les requêtes tierces. Chaque requête externe qui se déclenche avant que vous ne cliquiez sur quoi que ce soit est une violation potentielle de la CNIL.
Coupables fréquents sur les sites WordPress :
Si l'un d'eux se charge avant consentement — sur un site à audience française — vous avez un problème CNIL.
Lancez un scan Sitetals gratuit pour obtenir un rapport structuré de ce qui se charge avant consentement sur votre site.
Tous les plugins de consentement aux cookies ne sont pas conformes CNIL. Les exigences clés :
| Plugin | Bouton « Tout refuser » | Blocage auto des scripts | Journal de consentement | Prix |
|---|---|---|---|---|
| Complianz | ✅ Configurable | ✅ Oui | ✅ Oui | 59 €/an |
| Cookiebot | ✅ Oui | ✅ Oui | ✅ Oui | À partir de 9 €/mois |
| CookieYes | ✅ Oui (vérifier l'emplacement) | ✅ Offres payantes | ✅ Offres payantes | Gratuit + payant |
| WP GDPR Compliance | ⚠️ Manuel | ❌ Non | ❌ Non | Gratuit |
Tarifs des plugins en juin 2026 — vérifiez le tarif actuel sur le site de chaque éditeur.
Complianz — Bonne orientation UE, français pris en charge, génère une déclaration de cookies. Respecte les exigences CNIL si bien configuré.
Cookiebot — Scanne votre site, catégorise automatiquement les cookies, bloque le pré-consentement. Plus cher mais détection plus automatisée.
À éviter : Tout plugin qui se contente d'afficher un bandeau sans bloquer réellement les scripts.
L'installation d'un plugin de consentement est la première étape. Le configurer pour qu'il bloque effectivement les scripts de suivi est la deuxième — et c'est là que la plupart des sites échouent.
Pour chaque script de suivi sur votre site, nous recommandons d'indiquer à votre plugin de le bloquer jusqu'à ce que l'utilisateur accepte la catégorie correspondante. Dans la plupart des plugins, cela implique de convertir la balise script :
Avant (se charge immédiatement — non conforme) :
<script src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX"></script>
Après (bloqué jusqu'au consentement) :
<script type="text/plain" data-category="analytics" src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX"></script>
Testez après configuration : Repassez en navigation privée, ouvrez l'onglet Réseau, chargez la page sans accepter. Vos scripts de suivi ne doivent pas apparaître. Acceptez les cookies analytiques, rechargez. Ils doivent maintenant se charger.
⚠️ Conflit avec les plugins de cache : WP Rocket, W3 Total Cache et autres plugins de cache peuvent servir des pages HTML pré-générées. Après toute modification de la configuration du blocage des scripts, videz votre cache complet et retestez en navigation privée.
La CNIL exige que votre politique de confidentialité comprenne :
La CNIL a sanctionné Doctissimo (un site de contenu français) de 380 000 € en mai 2023. Les manquements :
Doctissimo est une propriété média. La décision CNIL SAN-2023-006 a constaté que le site conservait les données trop longtemps, gérait mal le consentement pour les données de santé, et faisait tourner des cookies avant — et après — un refus. Cela leur a coûté 380 000 € : 280 000 € au titre du RGPD et 100 000 € au titre des règles françaises sur le consentement aux cookies.
La Loi pour la Confiance dans l'Économie Numérique (LCEN, Art. 6) est une obligation distincte : tout site web publié ou hébergé en France doit afficher une page Mentions légales.
Contenu obligatoire :
Cette page est distincte de votre politique de confidentialité. Elle figure généralement dans le pied de page.
Collez l'URL de votre site WordPress. Obtenez un scan gratuit indiquant ce qui se charge avant consentement, les pages légales manquantes, et les manquements aux exigences CNIL.
Rapport PDF complet avec références aux décisions CNIL et liste de mesures correctives : 49 €.
Lectures complémentaires :
Sources : Recommandation CNIL sur les cookies (septembre 2020, mise à jour 2022) · Délibérations CNIL : Doctissimo (mai 2023), Criteo (juin 2023) · Article 7 RGPD · Article 5(3) Directive ePrivacy · LCEN Art. 6
🩸 — Sitetals Editorial