WordPress propulse environ 40 % des sites web. La CNIL — l'autorité française de protection des données — a fait du consentement aux cookies l'une de ses priorités de contrôle depuis 2021. Ces deux réalités sont en collision frontale.
Si votre site WordPress s'adresse à un public français, vous êtes dans le champ de compétence de la CNIL. Ce n'est pas théorique : la CNIL a sanctionné des éditeurs, des commerçants et des éditeurs de logiciels B2B — tous utilisant des configurations WordPress standard — pour des manquements que vous pouvez corriger en une après-midi.
Ce guide vous indique exactement ce que la CNIL exige, quels plugins valent la peine d'être utilisés, et où la plupart des sites WordPress échouent.
⚠️ Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les recommandations de la CNIL évoluent. Consultez un avocat qualifié pour un avis spécifique à votre situation.
Le schéma de mise en application de la CNIL est constant. L'autorité recherche trois types de manquements, sensiblement dans cet ordre :
Avant de modifier votre bandeau de cookies, découvrez ce qui se charge réellement.
Comment vérifier : Ouvrez votre site dans une fenêtre de navigation privée. Ouvrez les outils de développement du navigateur (F12 → onglet Réseau). Chargez la page sans accepter les cookies. Filtrez par requêtes « tierces ». Toute requête externe qui se déclenche avant que vous cliquiez sur quoi que ce soit constitue une violation potentielle de la CNIL.
Les sources les plus fréquentes sur les sites WordPress :
Si l'un de ces éléments se charge avant le consentement — sur un site ciblant un public français — vous avez un problème de conformité CNIL.
Lancez un scan gratuit Sitetals pour obtenir un rapport structuré de ce qui se charge avant consentement sur votre site.
⚠️ Avertissement Google Site Kit : Si vous avez installé GA4 via Site Kit (le plugin WordPress officiel de Google), il peut injecter des scripts GA4 directement dans votre page — indépendamment de votre plugin de consentement. Vérifiez dans Chrome DevTools que les requêtes
gtagne se déclenchent pas avant le consentement, même avec Site Kit actif.
Tous les plugins de consentement aux cookies ne sont pas conformes aux exigences de la CNIL. Les conditions essentielles :
| Plugin | Bouton Tout refuser | Blocage automatique des scripts | Journal de consentement | Prix |
|---|---|---|---|---|
| Complianz | ✅ Configurable | ✅ Oui | ✅ Oui | 59 €/an |
| Cookiebot | ✅ Oui | ✅ Oui | ✅ Oui | À partir de 9 €/mois |
| CookieYes | ✅ Oui (vérifier le positionnement) | ✅ Offres payantes | ✅ Offres payantes | Gratuit + payant |
| WP GDPR Compliance | ⚠️ Manuel | ❌ Non | ❌ Non | Gratuit |
Tarifs des plugins au juin 2026 — vérifiez les prix actuels sur le site de chaque fournisseur.
Complianz — Solide orientation UE, langue française prise en charge, génère une déclaration de cookies. Répond aux exigences de la CNIL lorsqu'il est correctement configuré.
Cookiebot — Scanne votre site, catégorise automatiquement les cookies, bloque le pré-consentement. Découverte plus automatisée ; coût plus élevé.
CookieYes — Fonctionnalités de base gratuites, les offres payantes ajoutent le blocage automatique et le reporting. Adapté aux petits sites ; vérifiez manuellement le positionnement du bouton « Tout refuser ».
Ce qu'il faut éviter : Tout plugin qui se contente d'afficher un bandeau sans bloquer les scripts. Le bandeau n'est pas la solution — bloquer les scripts jusqu'à l'obtention du consentement, voilà la vraie solution.
Installer un plugin de consentement est la première étape. Le configurer pour qu'il bloque effectivement les scripts de suivi est la deuxième — et c'est là que la plupart des sites échouent.
Pour chaque script de suivi présent sur votre site, nous recommandons d'indiquer à votre plugin de consentement de le bloquer jusqu'à ce que l'utilisateur accepte la catégorie concernée. Dans la plupart des plugins, cela signifie convertir la balise script :
Avant (se déclenche immédiatement, non conforme) :
<script src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX"></script>
Après (bloqué jusqu'au consentement) :
<script type="text/plain" data-category="analytics" src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX"></script>
La plupart des plugins de consentement reconnaissent le schéma type="text/plain" + data-category et n'activent le script que lorsque le visiteur consent à cette catégorie.
Tester après la configuration : Ouvrez une fenêtre de navigation privée, ouvrez l'onglet Réseau, chargez la page sans accepter. Les scripts de suivi ne doivent pas apparaître. Acceptez les analyses. Actualisez. Ils doivent maintenant se charger. S'ils se chargent dans les deux cas, le blocage ne fonctionne pas.
⚠️ Conflit avec les plugins de cache : WP Rocket, W3 Total Cache et les plugins de mise en cache similaires servent du HTML pré-généré. Après avoir configuré le blocage des scripts, videz intégralement le cache de vos pages et retestez en navigation privée. À chaque modification de votre configuration de consentement, videz à nouveau le cache.
La CNIL exige que votre politique de confidentialité contienne :
La CNIL a sanctionné Doctissimo (un site de contenu français) d'une amende de 380 000 € en mai 2023. Les manquements constatés :
Doctissimo est un site média. La décision CNIL SAN-2023-006 a constaté que le site conservait les données trop longtemps, gérait mal le consentement pour les données de santé, et faisait tourner des cookies avant — et après — un refus. Cela leur a coûté 380 000 € : 280 000 € au titre du RGPD et 100 000 € au titre des règles françaises sur le consentement aux cookies.
La conformité CNIL couvre le consentement aux cookies et la protection des données. La Loi pour la Confiance dans l'Économie Numérique (LCEN, Art. 6) est une obligation distincte et parallèle : tout site web publié ou hébergé en France doit afficher une page de Mentions légales.
Contenu obligatoire :
Cette page est distincte de votre politique de confidentialité. Des mentions légales absentes ou incomplètes posent un problème juridique distinct, indépendant de votre configuration RGPD/CNIL.
Collez l'URL de votre site WordPress. Obtenez un scan gratuit indiquant ce qui se charge avant le consentement, les pages légales manquantes et les lacunes de conformité par rapport aux exigences de la CNIL.
Rapport PDF complet avec les références de mise en application de la CNIL et une liste de contrôle des actions correctives : 49 €.
À lire également :
Sources : Recommandations de la CNIL sur les cookies (septembre 2020, mises à jour en 2022) · Décisions de mise en application de la CNIL : Doctissimo (mai 2023), Criteo (juin 2023) · Article 7 du RGPD (conditions du consentement) · Article 5(3) de la directive ePrivacy · LCEN Art. 6 (Mentions légales)
🩸 — Rédaction Sitetals