Mis à jour en mai 2026. Vous avez une bannière de cookies sur votre site. Vous pensez être en règle. Mais êtes-vous vraiment conforme au RGPD ? C’est la question que beaucoup de propriétaires de sites web se posent — souvent trop tard.
Voici ce que dit la loi, comment vérifier la conformité de votre site, et surtout comment corriger les erreurs les plus courantes — que vous soyez en France, en Suisse ou au Québec.
Points clés à retenir : le RGPD impose un consentement explicite avant tout dépôt de cookie non essentiel. Une bannière mal configurée ne protège pas — elle aggrave votre situation en cas de contrôle CNIL. Les amendes peuvent atteindre 4 % du chiffre d’affaires annuel (article 83 du RGPD). Depuis 2024, la CNIL a sanctionné plus de 40 organismes pour non-conformité cookies, y compris des PME et indépendants.
Qu’est-ce que le RGPD et pourquoi ça concerne votre site ?
Le Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) est entré en vigueur en mai 2018 dans toute l’Union Européenne. Il encadre la façon dont les organisations collectent, traitent et stockent les données personnelles des internautes.
Et non, il ne concerne pas uniquement les grandes entreprises. Tout site web qui collecte des données de visiteurs européens est concerné — qu’il s’agisse d’un blog, d’un site vitrine ou d’une boutique en ligne. L’article 3 du RGPD précise que le règlement s’applique même si l’entreprise est basée hors de l’UE, dès lors qu’elle cible des résidents européens.
Or, la quasi-totalité des sites utilisent aujourd’hui des outils comme Google Analytics 4, Meta Pixel, ou Google Ads. Ces outils déposent des cookies sur l’appareil de vos visiteurs et collectent des données personnelles. C’est précisément ce que réglemente le RGPD, conjointement avec la directive ePrivacy (2002/58/CE).
Au Québec, la Loi 25 (Loi sur la protection des renseignements personnels dans le secteur privé, anciennement « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ») impose depuis septembre 2023 des obligations similaires : consentement explicite, politique de confidentialité détaillée, et désignation d’un responsable de la protection des renseignements. Les amendes peuvent atteindre 25 millions de dollars canadiens.
C’est quoi un cookie, exactement ?
Un cookie est un petit fichier texte déposé sur le navigateur de votre visiteur lorsqu’il consulte votre site. Il permet d’enregistrer des informations : préférences, comportement de navigation, identifiant publicitaire.
Il existe plusieurs types de cookies :
Les cookies strictement nécessaires sont indispensables au fonctionnement du site (session utilisateur, panier e-commerce, préférences de langue). Ceux-là ne nécessitent pas de consentement.
Les cookies statistiques mesurent l’audience du site (Google Analytics 4, Matomo). Ils collectent des données de navigation anonymisées ou non.
Les cookies marketing sont utilisés pour cibler avec des publicités personnalisées (Meta Pixel, Google Ads, LinkedIn Insight Tag). Ce sont les plus intrusifs et ils nécessitent un consentement explicite.
La règle est simple : tout cookie non essentiel ne peut être déposé qu’après le consentement explicite du visiteur.
Pourquoi une bannière de cookies ne suffit-elle pas ?
C’est l’erreur la plus répandue. Beaucoup de sites ont installé une bannière de consentement en pensant être conformes. Mais une bannière mal configurée ne protège pas — elle peut même aggraver votre situation en cas de contrôle, car elle démontre une démarche incomplète.
Pour être valide au regard de l’article 7 du RGPD, le consentement doit être :
- Libre : refuser doit être aussi simple qu’accepter. Un bouton « Tout refuser » doit être aussi visible que « Tout accepter ».
- Éclairé : le visiteur doit savoir exactement à quoi il consent. Cela implique une politique de confidentialité accessible et complète.
- Spécifique : le consentement doit être donné catégorie par catégorie (statistiques, marketing).
- Non ambigu : pas de cases pré-cochées, pas de consentement implicite par navigation.
Et surtout : aucun cookie non essentiel ne doit se charger avant que le visiteur ait donné son accord.
Comment Google Tag Manager piège-t-il votre conformité ?
Google Tag Manager (GTM) est un outil très utilisé pour gérer les scripts marketing d’un site. Le problème ? Par défaut, GTM se charge dès l’ouverture de la page — et avec lui, tous les tags qu’il contient (Google Analytics, Meta Pixel).
Résultat : même si vous avez une bannière de consentement, les cookies marketing peuvent se charger avant que le visiteur ait cliqué sur quoi que ce soit.
C’est une violation du RGPD et de la directive ePrivacy, même si vous n’en êtes pas conscient.
La solution s’appelle le Google Consent Mode v2. Il permet de dire à GTM d’attendre la réponse de l’utilisateur avant de déclencher certains tags. Sa configuration nécessite une coordination entre votre outil de consentement (CookieYes, Axeptio, Cookiebot) et GTM. Depuis mars 2024, Google exige le Consent Mode v2 pour continuer à utiliser les fonctions de remarketing — cette obligation rend la mise en conformité encore plus urgente.
Comment auditer votre site en 10 minutes ?
Voici comment vérifier rapidement l’état de conformité de votre site.
Étape 1 — Le test visuel
Ouvrez votre site en navigation privée (pour partir sans cookies existants) et observez :
- La bannière s’affiche-t-elle immédiatement, avant tout contenu ?
- Y a-t-il un bouton « Tout refuser » aussi visible que « Tout accepter » ?
- La bannière contient-elle un lien vers votre politique de confidentialité ?
Étape 2 — Vérifier les cookies chargés avant consentement
Toujours en navigation privée, ouvrez les outils développeur (F12) :
- Allez dans l’onglet Application > Cookies
- Avant de cliquer sur la bannière, regardez quels cookies sont déjà présents
- Seul le cookie de votre outil de consentement devrait apparaître à ce stade
Étape 3 — Utiliser un outil d’audit
Deux outils gratuits et fiables pour aller plus loin :
- Cookiebot (cookiebot.com/en/cookie-checker) : l’outil de référence, utilisé par les juristes et la CNIL. Il liste tous les cookies détectés, leur catégorie, leur durée et s’ils respectent le consentement.
- 2GDPR (2gdpr.com) : plus simple, donne une vue rapide de la conformité globale.
Quels éléments sont obligatoires pour être conforme ?
Au-delà de la bannière, voici ce que votre site doit impérativement avoir :
Une politique de confidentialité accessible depuis toutes les pages (généralement dans le footer). Elle doit mentionner : les données collectées, les finalités du traitement, les tiers destinataires, les durées de conservation, et les droits des utilisateurs (accès, rectification, suppression, portabilité — articles 15 à 20 du RGPD).
Une page de gestion des cookies ou un bouton permettant à l’utilisateur de modifier ses préférences à tout moment, même après avoir accepté.
Des durées de consentement limitées : le consentement doit être renouvelé régulièrement. La CNIL recommande 13 mois maximum (délibération n° 2020-091 du 17 septembre 2020). Au Québec, la Loi 25 impose une durée raisonnable sans préciser de plafond fixe.
Quelles solutions concrètes pour un site WordPress ?
Pour les outils de consentement, plusieurs solutions s’intègrent bien avec WordPress :
- CookieYes — simple à installer, plan gratuit disponible, bonne intégration GTM
- Axeptio — solution française, interface très soignée, prisée des agences
- Cookiebot — très complet, référence pour les sites à fort trafic
- Complianz — plugin WordPress natif, entièrement géré depuis le back-office
Pour générer votre politique de confidentialité, des générateurs en ligne comme iubenda.com ou privacypolicygenerator.info permettent de créer un document conforme en quelques minutes.
Pour la configuration GTM, si vous n’êtes pas développeur, faites appel à un spécialiste WordPress. La mise en place du Consent Mode v2 est une opération technique mais ponctuelle. Combinée à un audit de performance et de conformité, elle garantit que votre site respecte les normes sans ralentir le chargement.
Quels risques en cas de non-conformité RGPD ?
La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité de contrôle française en matière de RGPD. Elle dispose de pouvoirs de sanction importants :
- Mise en demeure publique
- Amendes pouvant atteindre 4 % du chiffre d’affaires annuel (article 83 du RGPD)
- Pour les PME et indépendants, les sanctions restent proportionnées mais réelles
Entre 2023 et 2025, la CNIL a multiplié les contrôles et les sanctions, y compris envers des petites structures. Selon une étude du rapport annuel CNIL 2024, la Commission a prononcé 87 mises en demeure et 42 sanctions — un record. L’ignorance de la loi n’est pas une circonstance atténuante.
Au Québec, la Commission d’accès à l’information (CAI) applique la Loi 25 avec des pouvoirs de sanction comparables. Un propriétaire de boutique WooCommerce qui collecte des données de clients québécois sans consentement valide s’expose à des sanctions administratives lourdes.
Checklist de conformité RGPD 2026
| Élément | Obligatoire | Sans ça… |
|---|---|---|
| Bannière de consentement | ✅ | Violation ePrivacy |
| Bouton « Tout refuser » visible | ✅ | Consentement invalide |
| Aucun cookie avant consentement | ✅ | Violation RGPD art. 6 |
| Politique de confidentialité | ✅ | Consentement non éclairé |
| Gestion des préférences modifiable | ✅ | Non-conformité CNIL |
| Consent Mode v2 si GTM | ✅ | Fuite de données avant consentement |
| Durée de consentement ≤ 13 mois | ✅ | Renouvellement obligatoire (CNIL) |
Questions fréquentes
Un site WordPress sans Google Analytics a-t-il besoin d’une bannière cookies ?
Pas nécessairement. Si votre site ne dépose aucun cookie non essentiel (pas de tracking, pas de publicité, pas de vidéos YouTube embarquées), la bannière n’est pas obligatoire. Les cookies strictement nécessaires (session, panier WooCommerce) sont exemptés de consentement selon la directive ePrivacy.
La Loi 25 au Québec remplace-t-elle le RGPD ?
Non. La Loi 25 est la législation québécoise, le RGPD est le règlement européen. Si votre site cible des visiteurs en France ET au Québec, vous devez respecter les deux. Les principes sont similaires (consentement, transparence, droits des utilisateurs), mais les autorités de contrôle et les plafonds de sanctions diffèrent.
Quel est le meilleur plugin WordPress gratuit pour la conformité cookies ?
Complianz est le plugin WordPress natif le plus complet en version gratuite. Il gère la bannière, le blocage des scripts avant consentement, et génère une politique cookies conforme. CookieYes propose aussi un plan gratuit avec intégration GTM. Pour les sites à fort trafic ou multi-pays, Cookiebot reste la référence (payant au-delà de 100 pages).
Google Analytics 4 dépose-t-il des cookies sans consentement ?
Oui. GA4 dépose des cookies de mesure (_ga, _ga_*) dès le chargement du script, même avec le mode « anonymisation IP » activé. Le Consent Mode v2 de Google permet de bloquer ces cookies tant que le visiteur n’a pas accepté, tout en conservant des données de conversion modélisées (sans cookie). C’est la configuration recommandée par la CNIL depuis 2024.
Combien coûte une mise en conformité RGPD pour un site WordPress ?
Entre 0 € et 500 € selon la complexité. Un plugin comme Complianz (gratuit) couvre les bases. La configuration du Consent Mode v2 avec GTM prend 1 à 3 heures pour un développeur WordPress expérimenté. La rédaction d’une politique de confidentialité sur mesure, avec mention des sous-traitants (hébergeur, outil email, CRM), peut nécessiter l’aide d’un juriste — comptez 200 à 400 €.
La CNIL contrôle-t-elle vraiment les petits sites ?
Oui. La CNIL utilise des outils de scan automatisé pour détecter les bannières non conformes à grande échelle. En 2024, plusieurs TPE et associations ont reçu des mises en demeure. Le contrôle peut aussi venir d’une plainte d’un visiteur — un seul signalement suffit à déclencher une vérification.
Avoir une bannière de cookies est un bon début — mais ce n’est qu’un début. La conformité RGPD est un ensemble cohérent : consentement valide, cookies bloqués jusqu’à l’accord, politique de confidentialité complète, et outils correctement configurés.
Avec les bons outils et une configuration soignée, mettre son site en conformité est accessible à tous — même sans être développeur. Et si vous avez un doute sur votre site, commencez par le test Cookiebot : cinq minutes suffisent pour savoir où vous en êtes.
Vous avez besoin d’aide pour la conformité RGPD de votre site WordPress ? Demandez un devis — l’audit de conformité est inclus dans nos forfaits de maintenance WordPress.
