Cookies et consentement sur WordPress : le guide complet

TL;DR

WordPress ne gère pas nativement le consentement cookies. Pour rendre un site WordPress conforme au RGPD, il faut installer une solution de gestion du consentement (CMP) qui affiche un bandeau, bloque les scripts non consentis et conserve la preuve de consentement. Plusieurs approches existent : plugin WordPress dédié, solution SaaS externe comme FlowConsent, ou intégration manuelle via un snippet de code.

Pourquoi WordPress ne suffit pas pour la conformité cookies ?

WordPress est un CMS de publication de contenu. Il ne contient aucun mécanisme natif pour informer les visiteurs sur les cookies, recueillir leur consentement ou bloquer les scripts avant accord. Pourtant, la plupart des sites WordPress déposent des cookies dès le premier chargement de page.

Les sources de cookies sur un site WordPress sont multiples : le coeur WordPress lui-même (cookies de session, cookies d'authentification), les plugins installés (formulaires, analytics, cache, e-commerce, SEO), le thème actif (polices Google Fonts, scripts embarqués) et les services tiers intégrés (Google Analytics, Facebook Pixel, YouTube, widgets de chat). Chacun de ces éléments peut déposer des cookies first-party ou third-party.

Sans CMP, tous ces cookies se déclenchent dès le chargement de la page, avant que le visiteur ait donné son accord. C'est la non-conformité la plus fréquente sur les sites WordPress, et l'une des plus sanctionnées par la CNIL.

Quelles sont les obligations RGPD pour un site WordPress ?

Les obligations sont les mêmes que pour tout site web, quelle que soit la technologie utilisée.

Afficher un bandeau de consentement conforme dès l'arrivée du visiteur, avec un bouton Accepter et un bouton Refuser de même visibilité. Bloquer tous les scripts non essentiels (analytics, publicité, réseaux sociaux) tant que le visiteur n'a pas cliqué sur Accepter. Fournir une politique de cookies accessible et à jour, listant tous les traceurs présents sur le site. Conserver la preuve de consentement pour pouvoir la présenter en cas de contrôle. Permettre au visiteur de modifier ou retirer son consentement à tout moment.

Le fait d'utiliser WordPress ne modifie ni n'atténue ces obligations. Un site WordPress avec WooCommerce, Google Analytics et un pixel Facebook a exactement les mêmes exigences qu'un site développé sur mesure.

Comment gérer les cookies sur WordPress ?

Trois approches principales permettent de mettre un site WordPress en conformité cookies.

Option 1 : un plugin WordPress de consentement cookies

C'est l'approche la plus courante. Des plugins comme Complianz, CookieYes, Cookie Notice ou GDPR Cookie Compliance ajoutent un bandeau de consentement et un mécanisme de blocage des scripts directement dans WordPress.

L'avantage est la simplicité d'installation : quelques clics dans l'interface WordPress suffisent. La limite est que ces plugins dépendent de l'écosystème WordPress : compatibilité avec les thèmes, les autres plugins, les mises à jour du coeur. Certains plugins gratuits offrent un bandeau basique mais ne bloquent pas réellement les scripts avant consentement, ce qui rend le site non conforme malgré les apparences.

Option 2 : une CMP SaaS externe

Une CMP externe comme FlowConsent, Cookiebot ou Didomi s'intègre via un snippet JavaScript dans le header du site. Elle fonctionne indépendamment de WordPress et gère le consentement, le blocage des scripts et la preuve de consentement côté serveur.

L'avantage est la fiabilité : la CMP ne dépend pas des plugins WordPress et fonctionne de façon identique quel que soit le thème ou la configuration. Elle offre aussi des fonctionnalités avancées (scan automatique des cookies, Google Consent Mode v2, TCF 2.2, rapports de conformité) que la plupart des plugins gratuits ne proposent pas.

Option 3 : intégration manuelle

Pour les développeurs, il est possible de construire un mécanisme de consentement sur mesure en utilisant l'API JavaScript de la CMP ou en codant le blocage des scripts manuellement (attribut type="text/plain" sur les balises script, puis activation conditionnelle après consentement).

Cette approche offre un contrôle total mais demande une maintenance continue et une bonne compréhension du fonctionnement des cookies et du RGPD. Elle est rarement justifiée pour un site WordPress standard.

Comment bloquer les scripts avant consentement sur WordPress ?

Le blocage des scripts est le point technique le plus critique. Un bandeau qui s'affiche mais qui ne bloque pas les cookies avant consentement est non conforme.

La méthode standard consiste à modifier l'attribut type des balises script. Au lieu de type="text/javascript" (qui déclenche l'exécution immédiate), on utilise type="text/plain" avec un attribut data-category qui identifie la catégorie de cookies (analytics, marketing, etc.). La CMP réactive les scripts de la catégorie correspondante uniquement après consentement.

Sur WordPress, cette modification peut se faire de trois façons : via les réglages du plugin de consentement (la plupart proposent un mécanisme de blocage automatique), via un plugin de gestion des scripts comme Header Footer Code Manager (pour modifier manuellement les attributs), ou via le fichier functions.php du thème enfant (pour les intégrations sur mesure).

Après la mise en place du blocage, un audit de cookies permet de vérifier que les scripts sont effectivement bloqués avant consentement. C'est une étape de validation indispensable.

Les cookies courants sur un site WordPress

Un site WordPress standard dépose plusieurs catégories de cookies qu'il faut identifier et documenter.

Les cookies WordPress natifs incluent wordpress_test_cookie (test de fonctionnement des cookies), wordpress_logged_in_* (session d'authentification pour les utilisateurs connectés) et wp-settings-* (préférences de l'interface d'administration). Ces cookies sont strictement nécessaires et exemptés de consentement pour les utilisateurs authentifiés.

Les cookies WooCommerce (si installé) incluent woocommerce_cart_hash et woocommerce_items_in_cart (panier d'achat). Ces cookies sont strictement nécessaires dans le contexte d'un parcours d'achat.

Les cookies tiers sont ceux qui nécessitent un consentement : _ga et _gid (Google Analytics), _fbp et _fbc (Facebook Pixel), les cookies de YouTube (si des vidéos sont embarquées), les cookies de plugins de partage social, et les cookies des solutions de chat ou de support.

Un scan de votre site identifie l'ensemble de ces cookies et permet de les classifier correctement dans votre CMP.

Erreurs fréquentes sur les sites WordPress

Installer un plugin de bandeau sans activer le blocage des scripts. Le bandeau s'affiche, mais les cookies analytics et publicitaires se déclenchent quand même au chargement. C'est la non-conformité la plus répandue sur WordPress.

Utiliser un plugin gratuit qui ne bloque pas réellement les cookies. Certains plugins gratuits se contentent d'afficher une notification sans aucun mécanisme de blocage technique. Le bandeau est purement cosmétique.

Ne pas mettre à jour la configuration après l'ajout d'un nouveau plugin. Chaque plugin WordPress peut déposer ses propres cookies. L'ajout d'un plugin de formulaire, d'un outil de chat ou d'un module e-commerce modifie l'inventaire des cookies du site.

Oublier les cookies déposés par le thème. Les thèmes WordPress chargent souvent des polices Google Fonts, des bibliothèques JavaScript externes ou des scripts d'analytics intégrés. Ces éléments déposent des cookies tiers qui doivent être bloqués avant consentement.

Ne pas gérer le cache WordPress. Les plugins de cache (WP Rocket, W3 Total Cache, LiteSpeed Cache) peuvent servir une version mise en cache de la page qui contient déjà les cookies d'une session précédente. La CMP doit être configurée pour fonctionner correctement avec le cache.

WordPress et le Google Consent Mode v2

Si votre site WordPress utilise Google Analytics 4 ou Google Ads, le Consent Mode v2 est indispensable. Ce mécanisme permet aux tags Google d'adapter leur comportement selon le choix de consentement du visiteur.

En mode basique (basic), les tags Google ne se déclenchent pas du tout avant consentement. En mode avancé (advanced), les tags envoient des pings sans cookies pour alimenter le machine learning de Google, même sans consentement.

Sur WordPress, le Consent Mode v2 peut être configuré via Google Tag Manager (GTM) ou directement via la CMP. FlowConsent et la plupart des CMP SaaS transmettent automatiquement les signaux de consentement aux tags Google. Avec un plugin WordPress, vérifiez que le plugin prend en charge le Consent Mode v2 nativement.

Checklist : conformité cookies sur WordPress

1. Lancer un scan du site pour inventorier tous les cookies (coeur, plugins, thème, tiers).
2. Installer une CMP (plugin WordPress ou solution SaaS externe).
3. Configurer le blocage des scripts non essentiels avant consentement.
4. Vérifier que le bouton Refuser est aussi visible que le bouton Accepter.
5. Activer le Google Consent Mode v2 si Google Analytics ou Google Ads est utilisé.
6. Rédiger et publier une politique de cookies complète.
7. Tester le comportement en navigation privée : aucun cookie non essentiel avant clic sur Accepter.
8. Configurer la CMP pour fonctionner avec le plugin de cache WordPress.
9. Planifier un audit trimestriel et après chaque ajout de plugin.
10. Documenter la configuration pour pouvoir la présenter en cas de contrôle.

Conclusion

WordPress ne gère pas le consentement cookies nativement, mais la mise en conformité est accessible avec les bons outils. L'essentiel est de choisir une solution qui bloque réellement les scripts avant consentement, pas seulement un bandeau cosmétique. Une CMP SaaS comme FlowConsent offre une intégration fiable, indépendante des plugins et du thème, avec scan automatique et Consent Mode v2 inclus.

Commencez par un scan gratuit de votre site WordPress pour identifier tous les cookies présents et évaluer votre niveau de conformité actuel.