Comment ça marche Ce que nous vérifions Tarifs Articles À propos Scanner gratuitement →
WordPress Conformité CNIL 2026
← Tous les articles WordPress · CNIL ⏱ 8 min de lecture Mis à jour le 27 juin 2026

WordPress Conformité CNIL 2026 : Ce que les propriétaires de sites français doivent faire

WordPress propulse environ 40 % des sites web. La CNIL — l'autorité française de protection des données — a fait du consentement aux cookies l'une de ses priorités de contrôle depuis 2021. Ces deux réalités sont en collision frontale.

Si votre site WordPress s'adresse à un public français, vous êtes dans le champ de compétence de la CNIL. Ce n'est pas théorique : la CNIL a sanctionné des éditeurs, des commerçants et des éditeurs de logiciels B2B — tous utilisant des configurations WordPress standard — pour des manquements que vous pouvez corriger en une après-midi.

Ce guide vous indique exactement ce que la CNIL exige, quels plugins valent la peine d'être utilisés, et où la plupart des sites WordPress échouent.

⚠️ Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les recommandations de la CNIL évoluent. Consultez un avocat qualifié pour un avis spécifique à votre situation.


Pourquoi les sites WordPress échouent aux contrôles de la CNIL

Le schéma de mise en application de la CNIL est constant. L'autorité recherche trois types de manquements, sensiblement dans cet ordre :

  1. Les cookies se déclenchent avant le consentement. Google Analytics, Meta Pixel, LinkedIn Insight Tag — tous se déclenchent au chargement de la page par défaut sur la plupart des sites WordPress. L'installation d'un bandeau de consentement ne résout pas ce problème si le bandeau ne bloque pas également les scripts.
  2. Refuser les cookies est plus difficile que les accepter. Les recommandations de la CNIL de 2021 sont explicites : refuser le consentement doit être aussi facile que l'accepter. Un bandeau avec un grand bouton « Tout accepter » et sans bouton « Tout refuser » équivalent n'est pas conforme. La CNIL a infligé des amendes pour ce seul motif.
  3. La politique de confidentialité est incomplète. La CNIL exige la divulgation de chaque sous-traitant tiers, la base légale de chaque traitement et les durées de conservation des données. Une page générique « nous utilisons des cookies » ne suffit pas.

Étape 1 : Auditer ce qui s'exécute avant le consentement

Avant de modifier votre bandeau de cookies, découvrez ce qui se charge réellement.

Comment vérifier : Ouvrez votre site dans une fenêtre de navigation privée. Ouvrez les outils de développement du navigateur (F12 → onglet Réseau). Chargez la page sans accepter les cookies. Filtrez par requêtes « tierces ». Toute requête externe qui se déclenche avant que vous cliquiez sur quoi que ce soit constitue une violation potentielle de la CNIL.

Les sources les plus fréquentes sur les sites WordPress :

Si l'un de ces éléments se charge avant le consentement — sur un site ciblant un public français — vous avez un problème de conformité CNIL.

Lancez un scan gratuit Sitetals pour obtenir un rapport structuré de ce qui se charge avant consentement sur votre site.

⚠️ Avertissement Google Site Kit : Si vous avez installé GA4 via Site Kit (le plugin WordPress officiel de Google), il peut injecter des scripts GA4 directement dans votre page — indépendamment de votre plugin de consentement. Vérifiez dans Chrome DevTools que les requêtes gtag ne se déclenchent pas avant le consentement, même avec Site Kit actif.


Étape 2 : Installer un bandeau de cookies conforme à la CNIL

Tous les plugins de consentement aux cookies ne sont pas conformes aux exigences de la CNIL. Les conditions essentielles :

Options de plugins WordPress

Plugin Bouton Tout refuser Blocage automatique des scripts Journal de consentement Prix
Complianz ✅ Configurable ✅ Oui ✅ Oui 59 €/an
Cookiebot ✅ Oui ✅ Oui ✅ Oui À partir de 9 €/mois
CookieYes ✅ Oui (vérifier le positionnement) ✅ Offres payantes ✅ Offres payantes Gratuit + payant
WP GDPR Compliance ⚠️ Manuel ❌ Non ❌ Non Gratuit

Tarifs des plugins au juin 2026 — vérifiez les prix actuels sur le site de chaque fournisseur.

Complianz — Solide orientation UE, langue française prise en charge, génère une déclaration de cookies. Répond aux exigences de la CNIL lorsqu'il est correctement configuré.

Cookiebot — Scanne votre site, catégorise automatiquement les cookies, bloque le pré-consentement. Découverte plus automatisée ; coût plus élevé.

CookieYes — Fonctionnalités de base gratuites, les offres payantes ajoutent le blocage automatique et le reporting. Adapté aux petits sites ; vérifiez manuellement le positionnement du bouton « Tout refuser ».

Ce qu'il faut éviter : Tout plugin qui se contente d'afficher un bandeau sans bloquer les scripts. Le bandeau n'est pas la solution — bloquer les scripts jusqu'à l'obtention du consentement, voilà la vraie solution.


Étape 3 : Configurer correctement le blocage des scripts

Installer un plugin de consentement est la première étape. Le configurer pour qu'il bloque effectivement les scripts de suivi est la deuxième — et c'est là que la plupart des sites échouent.

Pour chaque script de suivi présent sur votre site, nous recommandons d'indiquer à votre plugin de consentement de le bloquer jusqu'à ce que l'utilisateur accepte la catégorie concernée. Dans la plupart des plugins, cela signifie convertir la balise script :

Avant (se déclenche immédiatement, non conforme) :

<script src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX"></script>

Après (bloqué jusqu'au consentement) :

<script type="text/plain" data-category="analytics" src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX"></script>

La plupart des plugins de consentement reconnaissent le schéma type="text/plain" + data-category et n'activent le script que lorsque le visiteur consent à cette catégorie.

Tester après la configuration : Ouvrez une fenêtre de navigation privée, ouvrez l'onglet Réseau, chargez la page sans accepter. Les scripts de suivi ne doivent pas apparaître. Acceptez les analyses. Actualisez. Ils doivent maintenant se charger. S'ils se chargent dans les deux cas, le blocage ne fonctionne pas.

⚠️ Conflit avec les plugins de cache : WP Rocket, W3 Total Cache et les plugins de mise en cache similaires servent du HTML pré-généré. Après avoir configuré le blocage des scripts, videz intégralement le cache de vos pages et retestez en navigation privée. À chaque modification de votre configuration de consentement, videz à nouveau le cache.


Étape 4 : Mettre à jour votre politique de confidentialité

La CNIL exige que votre politique de confidentialité contienne :


À quoi ressemble une procédure de mise en demeure de la CNIL

La CNIL a sanctionné Doctissimo (un site de contenu français) d'une amende de 380 000 € en mai 2023. Les manquements constatés :

Doctissimo est un site média. La décision CNIL SAN-2023-006 a constaté que le site conservait les données trop longtemps, gérait mal le consentement pour les données de santé, et faisait tourner des cookies avant — et après — un refus. Cela leur a coûté 380 000 € : 280 000 € au titre du RGPD et 100 000 € au titre des règles françaises sur le consentement aux cookies.


Mentions Légales — L'obligation LCEN

La conformité CNIL couvre le consentement aux cookies et la protection des données. La Loi pour la Confiance dans l'Économie Numérique (LCEN, Art. 6) est une obligation distincte et parallèle : tout site web publié ou hébergé en France doit afficher une page de Mentions légales.

Contenu obligatoire :

Cette page est distincte de votre politique de confidentialité. Des mentions légales absentes ou incomplètes posent un problème juridique distinct, indépendant de votre configuration RGPD/CNIL.


Liste de contrôle rapide de la conformité pour WordPress


Lancez votre vérification de conformité CNIL gratuite

Collez l'URL de votre site WordPress. Obtenez un scan gratuit indiquant ce qui se charge avant le consentement, les pages légales manquantes et les lacunes de conformité par rapport aux exigences de la CNIL.

Scan gratuit sur Sitetals

Rapport PDF complet avec les références de mise en application de la CNIL et une liste de contrôle des actions correctives : 49 €.


À lire également :


Sources : Recommandations de la CNIL sur les cookies (septembre 2020, mises à jour en 2022) · Décisions de mise en application de la CNIL : Doctissimo (mai 2023), Criteo (juin 2023) · Article 7 du RGPD (conditions du consentement) · Article 5(3) de la directive ePrivacy · LCEN Art. 6 (Mentions légales)

🩸 — Rédaction Sitetals