RGPD et WordPress : checklist pour les éditeurs en 2026

28 mars 2026 · 11 min de lecture · Catégorie : Conformité

En 2026, les contrôles CNIL se sont intensifiés sur les sites WordPress de PME et d’indépendants. Voici une checklist actionnable, écrite par nos experts judiciaires, pour mettre votre site en conformité RGPD sans ressortir un cabinet d’avocats à 5 000 €.

Cette checklist ne constitue pas un conseil juridique. Pour un traitement à risque élevé, consultez votre DPO ou un avocat spécialisé.

1. Hébergement et localisation des données

  • ☐ Mon hébergeur est dans l’UE (OVH, Infomaniak, Scaleway…)
  • ☐ Si hébergeur hors UE, j’ai des CCT (clauses contractuelles types) à jour
  • ☐ Les sauvegardes sont aussi hébergées dans l’UE
  • ☐ J’ai documenté la chaîne de sous-traitants (art. 30 RGPD)

2. Cookies et traceurs

  • ☐ Bandeau cookies par finalité, pas un bouton « OK » global
  • ☐ Refus aussi simple que l’accept (depuis 2022, position CNIL)
  • ☐ Google Analytics : configuration server-side ou Matomo / Plausible préférable
  • ☐ Aucun cookie déposé avant consentement (sauf strictement nécessaires)
  • ☐ Politique cookies accessible en pied de page

3. Formulaires

  • ☐ Case de consentement non précochée
  • ☐ Finalité du traitement explicite à côté du formulaire
  • ☐ Durée de conservation indiquée
  • ☐ Lien vers la politique de confidentialité
  • ☐ Si données sensibles : double opt-in et consentement explicite

4. Comptes utilisateurs et WooCommerce

  • ☐ Mot de passe stocké haché (par défaut WordPress, ne pas désactiver)
  • Chiffrement E2E des tables wp_users, wp_usermeta (cf. WPSQL)
  • ☐ Procédure de droit d’accès, rectification, effacement documentée
  • ☐ Anonymisation des comptes inactifs > 3 ans (sauf obligation légale)
  • ☐ Export des données utilisateur disponible (outil natif WP fait ça)

5. Authentification

  • ☐ HTTPS partout (forcé via .htaccess ou config serveur)
  • ☐ Cookies de session sécurisés (Secure, HttpOnly, SameSite)
  • ☐ Si SSO : provider conforme RGPD (Google avec DPA, Microsoft Entra, FranceConnect)
  • ☐ MFA pour les comptes admin (recommandation CNIL renforcée 2025)
  • ☐ Politique de mot de passe minimale (12 caractères, complexité)

6. Logs et traçabilité

  • ☐ Logs d’accès au back-office conservés (au moins 6 mois)
  • ☐ Logs d’opérations sur données personnelles (création, modification, suppression)
  • ☐ Durée de conservation des logs limitée et documentée
  • ☐ Logs eux-mêmes ne contenant pas de données sensibles en clair

7. Pages obligatoires

  • ☐ Mentions légales (éditeur, hébergeur, directeur de la publication)
  • ☐ Politique de confidentialité (finalités, durées, droits, contact DPO)
  • ☐ CGU si vente en ligne ou compte utilisateur
  • ☐ Politique cookies dédiée

8. Sécurité technique

  • ☐ WordPress et plugins à jour (semaine après publication de patch sécurité)
  • ☐ WAF activé (Wordfence, Cloudflare, équivalent)
  • ☐ Sauvegardes automatiques chiffrées, testées en restauration
  • ☐ Plan de réponse aux incidents documenté (qui prévenir en 72 h ?)

9. Registre des traitements

Obligatoire dès 1 salarié ou traitement régulier. Le registre doit contenir, pour chaque traitement :

  • Finalité (newsletter, commandes, support client…)
  • Base légale (consentement, contrat, intérêt légitime)
  • Catégories de données et de personnes concernées
  • Destinataires (prestataires, partenaires)
  • Durée de conservation
  • Mesures de sécurité

10. Sanctions et statistiques 2025–2026

La CNIL a infligé 89 sanctions pécuniaires en 2025, dont 41 à des PME françaises. Les sujets récurrents : cookies non conformes, mots de passe stockés en clair, absence de registre, transferts hors UE non encadrés. La fourchette des amendes pour PME : 1 000 € à 50 000 €.