RGPD WordPress 2026 : 10 plugins qui te mettent en infraction (et leurs alternatives)
WordPress fait tourner ~43% des sites web dans le monde et environ 40% des sites français. Pourtant, c'est aussi le CMS qui pose le plus de problèmes RGPD — non pas à cause de WordPress lui-même, mais à cause de son écosystème de plugins.
70% des sites WordPress français ont au moins 1 plugin qui viole le RGPD sans que le propriétaire le sache. Et 30% en ont 3 ou plus. Source : analyses croisées de la CNIL et de plusieurs cabinets d'audit en 2024-2025.
Cet article liste les 10 plugins WordPress les plus problématiques en 2026, avec pour chacun :
- La violation RGPD précise (cookies, trackers, transfert USA…)
- La sanction CNIL potentielle
- Comment le configurer correctement (si possible)
- Les alternatives gratuites et 100% RGPD-compliant
Pourquoi WordPress = problèmes RGPD spécifiques
WordPress en lui-même est un CMS open-source neutre. Le problème vient de :
- L'écosystème plugin : la moyenne d'un site WP est de 22 plugins installés. Chacun peut introduire ses propres scripts tiers, cookies, transferts de données.
- Les mises à jour automatiques : un plugin conforme aujourd'hui peut devenir non-conforme après une mise à jour qui ajoute du tracking.
- Les dépendances cachées : Google Fonts auto-chargées, gravatars de WordPress.org, embeds YouTube → tous chargent des données utilisateur sans contrôle.
- Le manque de contrôle natif : WordPress n'a pas de gestionnaire de consentement intégré. Il faut un plugin tiers (Complianz, CookieYes…).
Résultat : même un dirigeant prudent qui pense être en règle peut avoir 5-10 violations RGPD sur son site, simplement parce que ses plugins se chargent comme prévu.
Les 10 plugins problématiques (avec leurs alternatives)
1
WP Statistics
700 000+ installations
⚠️ Problème : Collecte par défaut les adresses IP complètes des visiteurs sans consentement préalable. Les IP sont des données personnelles selon la CNIL.
✓ Configuration correcte : Aller dans Statistiques → Réglages → Anonymisation IP et activer "Hash IP" (transformation en hash non-identifiant). Désactiver aussi la collecte du User-Agent complet.
🔄 Alternative recommandée : Plausible Analytics (européen, sans cookies, conforme RGPD par design, 9€/mois) ou Matomo (open-source, auto-hébergeable, gratuit). Aucun des deux ne nécessite de bandeau cookies.
2
Jetpack (par Automattic)
5 millions+ installations
⚠️ Problème : Module "Stats" envoie les données de visite vers les serveurs Automattic aux États-Unis. Depuis l'arrêt Schrems II (2020), tout transfert vers les USA est problématique sans clauses contractuelles types et analyse d'impact (TIA). Module "Photon" charge les images depuis WordPress.com (mêmes serveurs USA).
✓ Configuration correcte : Désactiver les modules "Stats", "Photon", "Comments" et "Related Posts". Garder uniquement les modules locaux (Backup, Security pour les versions payantes auto-hébergées).
🔄 Alternative recommandée : Pour le backup, utilisez UpdraftPlus (sauvegarde locale ou vers S3 EU). Pour la sécurité, Wordfence (firewall, sans transfert USA pour la version gratuite).
3
Yoast SEO + Yoast Local SEO
5 millions+ installations
⚠️ Problème : Le module Local SEO charge automatiquement Google Maps sur la page de contact, ce qui transfère des données utilisateur (IP, comportement) à Google sans consentement. Yoast SEO Premium charge aussi des pixels de tracking pour son fonctionnement interne.
✓ Configuration correcte : Désactiver le module Local SEO ou utiliser des images statiques de carte au lieu de Google Maps interactives. Bloquer le chargement de Yoast Premium tracker via votre CMP.
🔄 Alternative recommandée : Rank Math (équivalent Yoast, moins de tracking interne). Pour Google Maps, utiliser OpenStreetMap + plugin Leaflet (européen, sans tracking).
4
Akismet (anti-spam, par Automattic)
5 millions+ installations
⚠️ Problème : Envoie tout le contenu des commentaires (avec IP et email du commentateur) aux serveurs Akismet aux USA. Aucun consentement demandé au commentateur, et aucune information dans les politiques de confidentialité par défaut.
✓ Configuration correcte : Si vous gardez Akismet, vous DEVEZ ajouter une mention claire dans votre politique de confidentialité ET sur le formulaire de commentaire avec consentement explicite.
🔄 Alternative recommandée : Antispam Bee (allemand, conforme RGPD, sans transfert externe, gratuit). Ou désactiver les commentaires si vous n'en avez pas besoin.
5
Elementor / Elementor Pro
10 millions+ installations
⚠️ Problème : Charge Google Fonts depuis les serveurs Google par défaut (transfert USA). Le widget "Form" ne propose pas de gestion native du consentement RGPD. Le widget "Google Maps" idem que Yoast.
✓ Configuration correcte : Aller dans Elementor → Réglages → Avancé et choisir "Charger les polices localement". Pour les formulaires, utiliser une intégration Fluent Forms ou ajouter manuellement un champ consentement.
🔄 Alternative recommandée : Plugin OMGF (Optimize My Google Fonts) qui télécharge automatiquement toutes les Google Fonts en local. Fluent Forms pour les formulaires (gestion consentement native).
6
Contact Form 7
10 millions+ installations
⚠️ Problème : Plugin par défaut sans gestion native du consentement RGPD. Aucune case à cocher de consentement, aucun lien vers la politique de confidentialité, aucune trace du consentement (preuve obligatoire selon RGPD art. 7).
✓ Configuration correcte : Ajouter manuellement un champ
[acceptance acceptance-rgpd]J'accepte la politique de confidentialité[/acceptance] obligatoire. Mais vous n'aurez toujours pas de stockage de la preuve du consentement.
🔄 Alternative recommandée : Fluent Forms (gratuit, gestion consentement native + stockage preuve), ou WPForms (version payante avec module RGPD intégré).
7
WooCommerce (sans configuration)
5 millions+ installations
⚠️ Problème : Crée par défaut des cookies de session (panier, recently viewed, etc.) AVANT consentement. Stocke les emails clients sans rétention claire. Charge des scripts Stripe/PayPal sans bloquer avant consentement explicite.
✓ Configuration correcte : Configurer WooCommerce → Réglages → Confidentialité avec une rétention claire (ex : "Anonymiser les commandes après 90 jours"). Bloquer Stripe/PayPal via votre CMP jusqu'au consentement.
🔄 Alternative : Pas vraiment (WooCommerce est dominant). Mais coupler avec Complianz pour le bandeau cookies + bien configurer la rétention des données clients.
8
Slider Revolution
2 millions+ installations
⚠️ Problème : Charge des ressources externes (vidéos YouTube, fonts CDN, embeds Vimeo) sans consentement préalable. Chaque vidéo YouTube embed = transfert de données vers Google avant consentement.
✓ Configuration correcte : Activer le mode "youtube-nocookie.com" pour les embeds YouTube. Désactiver le chargement automatique des vidéos. Préférer des images animées GIF ou WebP au lieu de vidéos externes.
🔄 Alternative recommandée : Smart Slider 3 (gratuit, moins de dépendances externes) ou utiliser le bloc Gutenberg natif "Diaporama".
9
WP-Optimize / WP Rocket (configurations par défaut)
1 million+ installations
⚠️ Problème : Activent par défaut le préchargement (preload) des Google Fonts, Google Tag Manager et autres scripts tiers — qui se chargent donc plus rapidement, MAIS aussi avant le consentement utilisateur. Performance WIN, RGPD LOSS.
✓ Configuration correcte : Désactiver le préchargement des scripts tiers (Google Fonts, GTM, Facebook Pixel) dans les réglages avancés. Garder uniquement le préchargement des assets locaux.
🔄 Alternative recommandée : Cache Enabler (allemand, conforme RGPD, gratuit). Plus simple mais sans le préchargement controversé.
10
Google Site Kit (officiel Google)
3 millions+ installations
⚠️ Problème : Connecte Google Analytics, Google Search Console, Google Ads et AdSense en quelques clics. Mais TOUS ces services chargent par défaut AVANT le consentement utilisateur. La CNIL a sanctionné des dizaines de sites pour utilisation de Google Analytics sans consent management.
✓ Configuration correcte : Activer obligatoirement le Consent Mode v2 de Google + utiliser un CMP (Complianz, CookieYes) qui le supporte. Bloquer le chargement GA4 jusqu'au consentement explicite.
🔄 Alternative recommandée : Remplacer Google Analytics par Plausible (sans cookies, sans bandeau requis, conforme RGPD). Pour Search Console, utiliser l'interface web directement plutôt que Site Kit.
Tableau récap : ce que tu dois faire de tes 10 plugins
| Plugin | Verdict | Action |
|---|---|---|
| WP Statistics | À configurer | Activer hash IP, désactiver User-Agent collecté |
| Jetpack (modules Stats/Photon) | À désactiver | Module Stats → KO. Garder uniquement Backup local |
| Yoast Local SEO | À désactiver | Remplacer par OpenStreetMap + Leaflet |
| Akismet | À remplacer | Antispam Bee (équivalent, conforme RGPD) |
| Elementor (Google Fonts par défaut) | À configurer | "Charger polices localement" + plugin OMGF |
| Contact Form 7 | À remplacer | Fluent Forms (gestion consent native) |
| WooCommerce (config par défaut) | À configurer | Coupler avec Complianz + définir rétention |
| Slider Revolution | À configurer | Mode youtube-nocookie + désactiver auto-play |
| WP-Optimize / WP Rocket | À configurer | Désactiver préchargement scripts tiers |
| Google Site Kit | À configurer | Consent Mode v2 + CMP qui le supporte |
Configuration WordPress conforme RGPD en 5 étapes
1
Auditez vos plugins actuels
Listez tous vos plugins activés. Pour chaque, demandez : "Charge-t-il des scripts/données externes ?". Désinstallez ceux que vous n'utilisez pas réellement (chaque plugin = surface d'attaque RGPD).
2
Installez un CMP (Consent Management Platform)
Recommandé : Complianz (version gratuite suffit pour 90% des cas). Il scanne votre site, détecte tous les cookies/trackers, et bloque ceux non-consentis.
3
Hébergez les Google Fonts en local
Plugin OMGF télécharge automatiquement toutes les Google Fonts utilisées et les sert depuis votre serveur. Plus de transfert USA.
4
Remplacez Google Analytics par Plausible ou Matomo
Outils analytics européens, sans cookies, sans bandeau cookies requis. Plus simple, plus rapide, conforme RGPD par design.
5
Vérifiez avec un scanner externe
Une fois tout configuré, scannez votre site avec un outil tiers pour valider qu'aucun tracker non-consenti ne se charge. C'est exactement ce que fait VeriSite en 30 secondes (gratuit).
Comment vérifier ton WordPress en 30 secondes
Tu peux faire l'audit manuel décrit ci-dessus (compte 2-4h pour 1 site complet), ou utiliser un scanner automatisé.
VeriSite est un SaaS français qui scanne automatiquement ton site WordPress (ou n'importe quel site) en 30 secondes et te donne :
- La liste des cookies et trackers détectés (avant consentement)
- Les transferts de données vers les USA identifiés
- Les pages légales manquantes ou incomplètes
- Les problèmes d'accessibilité RGAA détectés
- Les problèmes de sécurité HTTP (headers manquants, SSL, etc.)
Le scan est gratuit, sans inscription, sans CB. Tu obtiens un score sur 100 et la liste des corrections concrètes.
Scanner gratuit ton WordPress en 30 secondes
Détecte automatiquement les plugins WordPress qui te mettent en infraction RGPD. Aucune inscription requise pour le scan.
Lancer le scan gratuit →Pour aller plus loin
Si après cet audit tu veux aller jusqu'au bout :
- Documenter ta conformité : registre des activités de traitement, DPA avec tes sous-traitants, politique de confidentialité à jour. Voir notre plan d'action conformité RGPD en 7 jours.
- Mise en conformité accessibilité (RGAA) : si tu touches plus de 2M€ de CA ou si tu es une administration. Voir les 10 erreurs RGAA les plus fréquentes.
- Surveillance continue : ne rester pas conforme une fois — il faut surveiller dans le temps (chaque mise à jour plugin peut introduire de nouveaux problèmes). VeriSite Pro fait ça automatiquement.
FAQ rapide
Tarteaucitron suffit-il à rendre WordPress conforme RGPD ?
Non. Tarteaucitron gère le consentement, mais ne corrige pas les problèmes des plugins. Il bloque l'exécution des trackers non-consentis, ce qui est essentiel — mais si Akismet envoie des données USA dès qu'un commentaire est posté, Tarteaucitron ne fera rien.
Faut-il un DPO pour un site WordPress de PME ?
Pas obligatoire si vous ne traitez pas de données sensibles à grande échelle. Mais recommandé d'avoir un référent RGPD interne (même 5h/mois) pour suivre l'évolution. Voir l'article officiel CNIL.
Les plugins anglo-saxons sont-ils tous problématiques ?
Pas systématiquement, mais souvent. Les plugins européens (français, allemands, néerlandais) sont en général conçus avec le RGPD en tête. Les plugins US/UK doivent être configurés avec attention et nécessitent souvent un Consent Mode v2 ou CMP en complément.
Combien de temps pour mettre en conformité un WordPress existant ?
Pour un site de 5-10 plugins : 4-8h en suivant ce guide. Pour un site WooCommerce avec 30+ plugins : 1-3 jours. Le scanner VeriSite peut accélérer en identifiant directement les plugins problématiques sans inspection manuelle.