TL;DR — WordPress est utilisé par plus de 40 % des sites web mondiaux, ce qui en fait une cible prioritaire pour la conformité RGPD sur les cookies. Par défaut, WordPress installe peu de cookies first-party, mais les plugins et thèmes en ajoutent souvent des dizaines sans contrôle. Pour être conforme, un site WordPress doit bloquer tous les scripts tiers avant consentement, afficher une bannière cookies valide et conserver des preuves de consentement.
Gérer les cookies RGPD sur WordPress n'est pas automatique. La plateforme est neutre, mais dès qu'on installe WooCommerce, Google Analytics, un pixel Meta ou un plugin de formulaire, des cookies sont déposés sans que l'utilisateur ait pu donner son accord. La CNIL sanctionne régulièrement des sites pour non-conformité, et WordPress n'y échappe pas. Ce guide explique quels cookies WordPress installe, comment les contrôler et comment mettre en place une conformité durable.
Quels cookies WordPress installe-t-il par défaut ?
WordPress core installe très peu de cookies first-party. Les principaux sont wordpress_logged_in_[hash] (session utilisateur connecté), wp-settings-[user-id] (préférences d'interface pour les admins) et wordpress_test_cookie (test fonctionnel supprimé après vérification). Ces cookies sont strictement fonctionnels : ils n'ont pas besoin de consentement selon le RGPD et la directive ePrivacy.
Les plugins qui posent problème
Le vrai risque vient des plugins et thèmes. WooCommerce ajoute des cookies de panier (fonctionnels, exemptés), mais les plugins de paiement et de remarketing associés déposent souvent des cookies publicitaires. Google Analytics / GA4 dépose _ga, _gid, _ga_XXXXXXXX — soumis à consentement. Meta Pixel dépose _fbp et _fbc — consentement obligatoire. Les plugins de formulaires avec reCAPTCHA, les plugins de cache qui injectent des scripts tiers et Jetpack selon les modules activés peuvent également déposer des cookies analytiques ou publicitaires.
Comment auditer les cookies de son site WordPress ?
Avant d'installer une CMP, il faut savoir exactement quels cookies votre site dépose. La méthode en trois étapes.
Étape 1 — Scanner le site
Utilisez un scanner de cookies : le scanner FlowConsent (/fr/scan), les DevTools Chrome (Application > Cookies) ou une extension dédiée. Scannez toutes les pages principales, les pages produits WooCommerce et les pages avec formulaires. Notez chaque cookie : nom, domaine, durée, valeur.
Étape 2 — Classifier les cookies
Pour chaque cookie identifié, déterminez sa nature (first-party ou third-party), sa catégorie (fonctionnel/essentiel, analytique, publicitaire, personnalisation), sa durée de conservation et son émetteur. Les cookies fonctionnels sont exemptés de consentement. Tous les autres nécessitent un accord préalable.
Étape 3 — Mettre à jour la politique de cookies
La politique de cookies doit lister tous les cookies actifs, leur finalité, leur durée et l'émetteur. Elle doit être accessible depuis la bannière et le pied de page. Repeter cette opération après chaque installation de plugin.
Quelle CMP choisir pour WordPress ?
Une CMP (Consent Management Platform) affiche la bannière, recueille le consentement, bloque les scripts avant accord et conserve les preuves. Quatre critères non négociables : le bloquage résel des scripts avant consentement, le refus accessible en un clic, la conservation des preuves horodatées et l'intégration avec Google Consent Mode v2.
FlowConsent s'intégre nativement sur WordPress via un snippet JavaScript et prend en charge le Consent Mode v2 sans configuration supplémentaire. Les alternatives courantes (Axeptio, Cookiebot, CookieYes) proposent également des plugins WordPress dédiés. Le critère décisif n'est pas le prix mais la conformité fonctionnelle : est-ce que les scripts sont réellement bloqués avant le clic ?
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Comment configurer le blocage de scripts sur WordPress ?
Le blocage des scripts est l'étape la plus critique et souvent mal faite. Deux approches principales.
Via Google Tag Manager
Chargez tous vos scripts analytiques et marketing via GTM. La CMP envoie des signaux de consentement à GTM via dataLayer, qui déclenche ou bloque les tags en conséquence. C'est l'approche la plus robuste si vous utilisez déjà GTM : un seul point de contrôle pour tous les scripts tiers.
Via le mécanisme natif de la CMP
La plupart des CMP WordPress modifient les attributs type des balises <script> (ex : type="text/plain") pour empécher leur exécution jusqu'au consentement. Cette méthode fonctionne mais dépend de l'ordre de chargement. Vérifier en DevTools (onglet Réseau, navigation privée) qu'aucun appel tiers ne se produit avant le consentement.
Erreurs fréquentes sur les sites WordPress
Erreur 1 : les scripts se chargent avant le consentement. Vérifier en navigation privée (sans cookies) que GA, Meta Pixel et autres n'apparaissent pas dans les requêtes réseau avant le clic sur Accepter.
Erreur 2 : le refus nécessite plusieurs clics. Le refus doit être accessible en un clic depuis la bannière principale, sans écran intermédiaire.
Erreur 3 : la politique de cookies est obsolète. Re-scanner le site après chaque installation de plugin et mettre à jour la liste.
Erreur 4 : GA se charge aussi pour les admins connectés. Exclure les rôles administrateur du tracking analytique.
Erreur 5 : pas de lien ¬ Gérer les cookies » dans le footer. Ajouter un lien accessible dans le pied de page déclenchant le panneau de préférences.
Erreur 6 : aucune preuve de consentement conservée. Activer le logging des consentements dans la CMP : date, heure, version de la politique, choix, identifiant de session.
Checklist conformité cookies WordPress
- Scanner tous les cookies actifs sur les pages principales, produits et formulaires.
- Classifier chaque cookie : fonctionnel, analytique, publicitaire, personnalisation.
- Installer et configurer une CMP valide (bannière + blocage de scripts + logging).
- Vérifier que le refus est accessible en un clic depuis la bannière principale.
- Contrôler en DevTools (navigation privée) qu'aucun script tiers ne se charge avant consentement.
- Intégrer la CMP avec Google Consent Mode v2 si GA4 ou Google Ads sont utilisés.
- Mettre à jour la politique de cookies avec finalités et durées de tous les cookies actifs.
- Ajouter un lien ¬ Gérer les cookies » dans le pied de page.
- Activer la conservation des preuves de consentement (logs horodatés).
- Planifier un re-scan mensuel et après chaque installation de plugin.
WordPress est flexible, mais cette flexibilité crée des risques si chaque plugin ajoute ses propres scripts sans contrôle. La conformité RGPD repose sur trois piliers : auditer regulièrement, bloquer les scripts avant consentement, conserver les preuves. Scanner votre site WordPress sur /fr/scan permet d'identifier exactement quels cookies sont actifs.