Mise en conformité RGPD

Les 7 Obligations RGPD Que Votre Site WordPress Doit Respecter en 2025

ParPro-Dig-It
Les 7 Obligations RGPD Que Votre Site WordPress Doit Respecter en 2025 (Sous Peine d'Amende de 20M€)

Les 7 Obligations RGPD Que Votre Site WordPress Doit Respecter en 2025

Évitez les amendes jusqu'à 20 millions d'euros avec ce guide complet de mise en conformité

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018, mais en 2025, 83% des sites WordPress restent non-conformes selon les dernières études. Cette négligence expose les propriétaires de sites à des sanctions financières colossales : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Google a écopé de 90 millions d'euros d'amende en France en 2020, Amazon de 746 millions d'euros en 2021.

Le RGPD ne concerne pas uniquement les grandes entreprises. Tout site WordPress collectant des données personnelles est concerné : formulaires de contact (emails), newsletter (abonnés), e-commerce (adresses/paiements), commentaires (emails requis), Google Analytics (adresses IP), espace membre (comptes utilisateurs). Si votre site utilise ne serait-ce qu'un formulaire de contact, vous DEVEZ être conforme. La CNIL intensifie ses contrôles en 2025 avec un focus particulier sur les cookies et le consentement.

Ce guide détaille les 7 obligations RGPD incontournables pour votre site WordPress, avec solutions techniques concrètes, plugins recommandés, configurations étape par étape et checklist finale de conformité. Vous découvrirez comment protéger légalement votre activité tout en respectant la vie privée de vos utilisateurs, sans nécessiter d'expertise juridique approfondie.

🍪 Obligation #1 : Bannière de Consentement Cookies Conforme

Consentement Cookies : Avant vs Après RGPD ❌ NON-CONFORME Ce site utilise des cookies Accepter ✗ Pas de bouton "Refuser" ✗ Cookies déposés avant clic ✗ Consentement implicite ✗ Pas de gestion granulaire AMENDE 20M€ POSSIBLE ✅ CONFORME RGPD Nous utilisons des cookies pour améliorer votre expérience. Vous pouvez choisir : ✓ Tout accepter ✗ Tout refuser Personnaliser mes choix ✓ Boutons égalité visuelle ✓ Consentement préalable ✓ Gestion par catégories ✓ Enregistrement 13 mois ⚖️ Consentement = Libre, spécifique, éclairé, univoque (Article 4 RGPD)

Le consentement préalable obligatoire

L'article 82 de la loi Informatique et Libertés modifiée impose un consentement explicite AVANT tout dépôt de cookies non strictement nécessaires au fonctionnement du site. Concrètement, vous ne pouvez plus déposer Google Analytics, Facebook Pixel, cookies publicitaires ou de tracking tant que l'utilisateur n'a pas cliqué sur "Accepter". Le simple fait de continuer la navigation ne constitue PAS un consentement valide selon la jurisprudence CJUE 2019.

La bannière cookies doit apparaître dès la première visite, bloquer tous les cookies tiers, et proposer deux boutons de même taille et visibilité : "Tout accepter" ET "Tout refuser". Le refus doit être aussi simple que l'acceptation. Les pratiques du type "Accepter" en gros bouton vert et "Refuser" caché dans un menu à trois niveaux sont sanctionnées par la CNIL. Google a été condamné à 90 millions d'euros pour exactement ce type de dark patterns en 2020.

Gestion granulaire par catégories

Vous devez permettre aux utilisateurs de choisir précisément quelles catégories de cookies ils autorisent. Distinction obligatoire : cookies strictement nécessaires (panier e-commerce, session utilisateur, sécurité), cookies fonctionnels (préférences langue, choix affichage), cookies analytiques (Google Analytics, Matomo), cookies marketing (remarketing, publicité ciblée). Les cookies strictement nécessaires peuvent être déposés sans consentement, tous les autres nécessitent un opt-in actif.

Le consentement doit être enregistré avec horodatage pendant minimum 13 mois pour prouver à la CNIL que vous avez bien recueilli l'autorisation. Conservez la preuve du consentement (date, heure, version de la bannière acceptée, choix granulaires). Les plugins comme Complianz ou Cookiebot gèrent automatiquement cet enregistrement et génèrent les rapports de conformité nécessaires en cas de contrôle CNIL.

Plugins WordPress recommandés

Complianz GDPR Premium (99€/an) est la solution la plus complète du marché WordPress : scan automatique des cookies présents sur votre site, génération bannière conforme, gestion granulaire, blocage scripts avant consentement, intégration Google Consent Mode v2, statistiques de consentement. Compatible avec tous les plugins majeurs (WooCommerce, Google Analytics, Facebook Pixel). L'investissement de 99€ annuels vous protège potentiellement de 20 millions d'euros d'amende.

Cookiebot (gratuit jusqu'à 100 pages, puis 9€/mois) offre une alternative cloud avec scan mensuel automatique, conformité multi-juridictions (RGPD, CCPA, LGPD), traductions 30+ langues, rapports de consentement détaillés. Cookie Notice for GDPR (gratuit) convient aux petits sites avec besoins basiques mais nécessite configuration manuelle plus poussée. Évitez absolument les plugins non maintenus depuis 2018 qui promettent la conformité mais utilisent des méthodes obsolètes.

📄 Obligation #2 : Politique de Confidentialité Complète et Accessible

Contenu Obligatoire Politique de Confidentialité RGPD 9 INFORMATIONS OBLIGATOIRES (Article 13 RGPD) IDENTITÉ 1. Responsable traitement 2. Coordonnées DPO 3. Finalités collecte 4. Base légale 5. Destinataires données 6. Durées conservation 7. Droits utilisateurs 8. Droit réclamation CNIL EXEMPLES CONCRETS Newsletter : email E-commerce : nom, adresse Analytics : IP anonymisée Commentaires : email Conservation : • Prospects : 3 ans • Clients : 10 ans • Analytics : 26 mois ACCESSIBILITÉ ✓ Lien footer visible ✓ Toutes les pages ✓ Langue utilisateur ✓ Mise à jour datée ✓ Format lisible ✓ Téléchargeable PDF 📋 Absence politique confidentialité = Non-conformité totale RGPD

Les 9 mentions obligatoires

L'article 13 du RGPD impose de fournir une information complète, concise et transparente sur le traitement des données personnelles. Votre politique de confidentialité DOIT mentionner : l'identité du responsable de traitement (nom société, SIRET, adresse), les coordonnées du DPO si vous en avez désigné un, les types de données collectées avec précision (email, nom, prénom, adresse IP, données de navigation), les finalités précises de chaque collecte (envoi newsletter, traitement commandes, analytics, support client).

Vous devez également préciser la base légale de chaque traitement : consentement de l'utilisateur (newsletter), exécution d'un contrat (commande e-commerce), obligation légale (factures comptables conservées 10 ans), intérêt légitime (sécurité du site, détection fraudes). Les destinataires des données doivent être listés : sous-traitants (hébergeur, processeur paiement Stripe/PayPal), services tiers (Mailchimp, Google Analytics), autorités si obligation légale. Cette transparence totale est obligatoire.

Durées de conservation justifiées

Le principe de limitation de conservation impose de supprimer les données personnelles dès qu'elles ne sont plus nécessaires à la finalité initiale. Durées standards recommandées par la CNIL : prospects inactifs 3 ans après dernier contact, clients actifs pendant durée contractuelle + 5 ans prescription commerciale, données comptables/fiscales 10 ans minimum (obligation légale), logs de connexion 6 mois à 1 an, données analytics 26 mois maximum.

Vous ne pouvez PAS conserver indéfiniment tous les emails récoltés depuis 2010. Un abonné newsletter inactif depuis 3 ans doit être supprimé ou re-sollicité pour consentement (double opt-in). Programmez des suppressions automatiques via cron jobs ou plugins dédiés. WooCommerce propose des outils de nettoyage automatique des comptes inactifs. Cette purge régulière réduit votre surface d'attaque en cas de fuite de données et démontre votre conformité proactive.

Droits des utilisateurs clairement expliqués

Votre politique doit expliquer en langage simple comment exercer les droits RGPD : droit d'accès (obtenir copie des données personnelles), droit de rectification (corriger informations inexactes), droit à l'effacement "droit à l'oubli" (supprimer données sous conditions), droit à la portabilité (récupérer données format structuré), droit d'opposition (refuser traitement), droit de limitation (geler traitement temporairement).

Indiquez le délai de réponse (1 mois maximum, prorogeable 2 mois si complexité), la procédure de contact (email dédié type dpo@votresite.com ou formulaire), les justificatifs éventuellement requis (pièce identité pour vérification), et la possibilité de réclamation CNIL en cas de litige. Le plugin WP GDPR Compliance génère automatiquement une politique personnalisée en répondant à un questionnaire sur vos traitements. Mise à jour obligatoire à chaque modification significative de vos pratiques.

🔒 Obligation #3 : Sécurisation et Chiffrement des Données Personnelles

Sécurisation Données : Mesures Techniques RGPD ⚠️ RISQUES HTTP non sécurisé → Interception données Mots passe faibles → Accès non autorisés Pas de sauvegardes → Perte définitive Plugins obsolètes → Failles exploitables ✅ MESURES OBLIGATOIRES HTTPS/SSL Chiffrement TLS 1.3 Let's Encrypt gratuit Obligatoire e-commerce Authentification 2FA Google Authenticator Wordfence 2FA Accès admin sécurisés Sauvegardes Quotidiennes auto Chiffrées AES-256 Stockage offsite Mises à Jour WP Core automatique Plugins/thèmes réguliers Tests staging avant prod + Limitation connexions, logs accès, suppression comptes inactifs 🛡️ Fuite données non déclarée sous 72h = Amende doublée

HTTPS obligatoire et certificat SSL

L'article 32 du RGPD impose de chiffrer les données en transit pour empêcher leur interception. HTTPS via certificat SSL/TLS est obligatoire pour tout site collectant des données personnelles, particulièrement les sites e-commerce manipulant des paiements. Un site en HTTP non sécurisé transmet les formulaires en clair, permettant à un attaquant Man-in-the-Middle d'intercepter emails, mots de passe et données bancaires. Cette négligence constitue une violation caractérisée du RGPD.

Let's Encrypt propose des certificats SSL gratuits, renouvelés automatiquement tous les 90 jours. La plupart des hébergeurs WordPress (OVH, Kinsta, WP Engine, SiteGround) incluent Let's Encrypt en un clic dans leur panneau de contrôle. Si votre hébergeur ne propose pas SSL gratuit en 2025, changez d'hébergeur immédiatement. Le passage HTTPS nécessite quelques ajustements : redirections 301 de HTTP vers HTTPS, mise à jour URLs en base de données, configuration CDN si applicable.

Authentification forte et limitation accès

Imposez des mots de passe robustes à tous les comptes WordPress : minimum 12 caractères, majuscules/minuscules/chiffres/symboles, pas de mots dictionnaire. Le plugin Password Policy Manager force ces règles lors de la création de comptes. Activez l'authentification à deux facteurs (2FA) obligatoire pour tous les administrateurs via Google Authenticator, Wordfence 2FA ou Duo Security. Cette couche supplémentaire bloque 99% des tentatives de connexion frauduleuses même si le mot de passe est compromis.

Limitez les tentatives de connexion à 3 essais par IP avec blocage temporaire de 30 minutes via Limit Login Attempts Reloaded ou Wordfence. Désactivez l'utilisateur "admin" par défaut, créez des comptes avec noms uniques. Supprimez automatiquement les comptes inactifs depuis 12+ mois qui constituent des portes d'entrée oubliées. Auditez régulièrement les rôles et capacités : un rédacteur n'a pas besoin des droits administrateur complets.

Sauvegardes chiffrées et plans de reprise

Des sauvegardes régulières chiffrées constituent votre police d'assurance contre les ransomwares et corruptions de données. Automatisez des backups quotidiens complets (fichiers + base de données) avec UpdraftPlus Premium, BackWPup ou solutions hébergeur. Stockez les sauvegardes hors site (Dropbox, Google Drive, Amazon S3) avec chiffrement AES-256. Conservez minimum 30 jours d'historique pour restaurer à différents points dans le temps.

Testez la restauration mensuelle sur environnement staging pour vérifier l'intégrité des backups. Une sauvegarde non testée est une sauvegarde inexistante. En cas de fuite de données, le RGPD impose une notification CNIL sous 72 heures + information des personnes concernées si risque élevé pour leurs droits. Préparez une procédure de crise documentée : qui contacter, comment isoler la faille, communications à envoyer. Cette préparation minimise l'impact réputationnel et financier.

⚖️ Obligation #4 : Gestion des Droits Utilisateurs RGPD

Les 6 Droits Fondamentaux RGPD UTILISATEUR Droits garantis 1. DROIT D'ACCÈS 2. RECTIFICATION 3. EFFACEMENT 4. PORTABILITÉ 5. OPPOSITION 6. LIMITATION ⏱️ DÉLAI RÉPONSE : 1 MOIS MAXIMUM

Les 6 droits à implémenter techniquement

Le RGPD confère aux personnes physiques six droits fondamentaux que vous DEVEZ respecter techniquement. Droit d'accès (Article 15) : l'utilisateur peut demander une copie complète de toutes ses données personnelles détenues. Droit de rectification (Article 16) : corriger des informations inexactes ou incomplètes. Droit à l'effacement ou "droit à l'oubli" (Article 17) : supprimer les données sous conditions (retrait consentement, données obsolètes, traitement illicite).

Droit à la portabilité (Article 20) : récupérer ses données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV, XML) pour les transférer à un autre responsable de traitement. Droit d'opposition (Article 21) : refuser un traitement basé sur intérêt légitime, notamment prospection commerciale. Droit à la limitation (Article 18) : geler temporairement le traitement pendant vérification de l'exactitude des données ou contestation de la licéité.

Mise en place technique WordPress

WordPress 4.9.6+ intègre des outils natifs de gestion RGPD : page "Confidentialité" auto-générée, exportateur de données personnelles, outil d'effacement. Dans Réglages > Confidentialité, créez des demandes d'export ou suppression par email utilisateur. WordPress scanne automatiquement la base de données, génère un fichier ZIP avec toutes les données associées (commentaires, commandes WooCommerce, profil utilisateur, metadata). L'utilisateur reçoit un lien de téléchargement valide 72h.

Pour automatiser davantage, installez GDPR Data Request Form qui ajoute un formulaire public permettant aux utilisateurs de soumettre leurs demandes d'accès/rectification/suppression directement. Le plugin envoie une notification admin, vérifie l'identité du demandeur via email de confirmation, et trace toutes les demandes dans un registre dédié. Cette traçabilité prouve à la CNIL que vous avez bien traité les demandes dans les délais légaux.

Vérification identité et délais légaux

Avant de communiquer des données personnelles ou de les supprimer, vous DEVEZ vérifier l'identité du demandeur pour éviter la divulgation à un tiers malveillant. Demandez une copie de pièce d'identité si la demande porte sur des données sensibles (paiements, santé, données biométriques). Pour des données basiques (email newsletter), l'envoi d'un email de confirmation à l'adresse enregistrée suffit. Documentez ce processus de vérification dans votre procédure interne.

Le délai de réponse est de 1 mois maximum à compter de la réception de la demande. En cas de complexité particulière ou volume important de demandes, vous pouvez prolonger de 2 mois supplémentaires en informant le demandeur dans le premier mois avec justification. Tout dépassement injustifié constitue une violation exposant à sanction CNIL. Automatisez des rappels dans votre calendrier ou CRM pour ne jamais oublier une demande en attente.

📊 Obligation #5 : Anonymisation IP et Analytics Conformes RGPD

Google Analytics : Configuration RGPD-Compliant ❌ GA NON-CONFORME Google Analytics Universal ✗ IP complètes collectées ✗ Remarketing activé ✗ Partage données Google ✗ Cookies tiers déposés ✗ Tracking avant consentement ✗ Transfert USA non sécurisé AMENDE CNIL POSSIBLE ✅ GA4 RGPD-READY Google Analytics 4 ✓ Anonymisation IP activée ✓ Remarketing désactivé ✓ Partage données refusé ✓ Consent Mode v2 intégré ✓ Tracking post-consentement ✓ Conservation 26 mois max CONFORMITÉ RGPD 🔄 Alternative : Matomo auto-hébergé (RGPD by design)

Google Analytics 4 configuré RGPD

Google Analytics Universal (ancien GA) est incompatible RGPD car il collecte les adresses IP complètes, active le remarketing par défaut, partage les données avec Google pour amélioration produits, et transfère les données vers les serveurs US sans garanties adéquates post-Schrems II. La CNIL a sanctionné plusieurs sites français utilisant GA Universal en 2022. Vous DEVEZ migrer vers Google Analytics 4 avec configuration spécifique RGPD ou adopter une alternative conforme.

Configuration GA4 RGPD-compliant : dans Admin > Paramètres de propriété, activez "Anonymisation IP" qui masque les derniers octets des adresses IP avant stockage. Dans Collecte de données, désactivez toutes les options de partage de données Google (amélioration produits, benchmarking, support technique, spécialistes compte). Ces partages constituent des transferts de données vers Google Inc USA sans base légale valide. Désactivez également les fonctionnalités publicitaires et remarketing dans Propriété > Paramètres avancés.

Google Consent Mode v2 obligatoire 2024+

Depuis mars 2024, Google impose Consent Mode v2 pour tous les sites européens utilisant Google Analytics ou Google Ads. Ce mode ajuste automatiquement le comportement des tags Google selon le consentement recueilli via votre bannière cookies. Sans consentement, GA4 fonctionne en mode dégradé avec modélisation statistique sans cookies. Avec consentement analytics, GA4 active les cookies complets. Avec consentement marketing, les fonctionnalités publicitaires s'activent.

Implémentez Consent Mode v2 via Google Tag Manager ou plugin compatible comme Complianz qui gère automatiquement l'intégration. Cette configuration garantit que GA4 ne dépose aucun cookie avant le consentement explicite, satisfaisant les exigences CNIL. Vérifiez l'implémentation avec l'extension Chrome "Google Tag Assistant" qui affiche l'état de consentement transmis. Sans Consent Mode v2, vos données GA4 seront progressivement limitées par Google.

Alternatives RGPD-native : Matomo et Plausible

Matomo (anciennement Piwik) est l'alternative open-source RGPD by design. Auto-hébergé sur votre serveur, Matomo ne transfère aucune donnée vers des tiers. Vous contrôlez 100% des données analytics. Configuration recommandée : anonymisation IP automatique 2 octets, suppression automatique logs anciens après 26 mois, désactivation tracking intersites, respect Do Not Track navigateur. Matomo Cloud (19€/mois hébergé) offre les mêmes garanties sans gestion serveur.

Plausible Analytics (9€/mois) adopte une approche minimaliste RGPD-friendly : aucun cookie déposé, aucune donnée personnelle collectée, script léger 1 Ko, données hébergées UE exclusivement, tableaux de bord publics possibles. L'absence totale de cookies élimine le besoin de bannière consentement pour la partie analytics. Idéal pour petits sites privilégiant simplicité et conformité totale. Le compromis : statistiques moins détaillées que GA4 (pas de démographie, centres d'intérêt, remarketing).

📋 Obligation #6 : Registre des Traitements et Délégué à la Protection des Données

Registre des Traitements RGPD (Article 30) CARTOGRAPHIE OBLIGATOIRE DES TRAITEMENTS TRAITEMENT 1 Newsletter Données : email, prénom Finalité : envoi actualités Base légale : consentement Destinataire : Mailchimp Conservation : 3 ans Transfert : UE/USA SCCs Sécurité : chiffrement TLS TRAITEMENT 2 E-commerce Données : nom, adresse, tel Finalité : livraison commandes Base légale : contrat Destinataire : Stripe, Colissimo Conservation : 10 ans factures Transfert : UE Sécurité : HTTPS + PCI DSS TRAITEMENT 3 Analytics Données : IP anonymisée Finalité : stats audience Base légale : intérêt légitime Destinataire : Google LLC Conservation : 26 mois Transfert : UE/USA Consent Sécurité : anonymisation 📝 Modèle registre téléchargeable gratuitement sur CNIL.fr

Documentation obligatoire des traitements

L'article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Cette obligation s'applique même aux petites structures sans DPO. Le registre documente tous les traitements de données personnelles effectués : newsletter, formulaires contact, commandes e-commerce, commentaires blog, comptes utilisateurs, analytics, cookies, CRM, support client. Pour chaque traitement, vous devez consigner 10 informations obligatoires.

Informations obligatoires par traitement : nom et coordonnées du responsable de traitement, finalités du traitement (pourquoi collectez-vous ces données ?), catégories de personnes concernées (clients, prospects, abonnés, employés), catégories de données (identité, coordonnées, données bancaires, cookies), catégories de destinataires (sous-traitants, partenaires, autorités), transferts hors UE avec garanties, délais de suppression prévus, description mesures sécurité techniques et organisationnelles.

Quand désigner un Délégué à la Protection des Données

La désignation d'un DPO (Data Protection Officer) devient obligatoire dans trois cas : autorités publiques et organismes publics (communes, hôpitaux, universités), traitements à grande échelle nécessitant suivi régulier et systématique des personnes (géolocalisation, profilage comportemental, publicité ciblée massive), traitements à grande échelle de données sensibles (santé, origines raciales/ethniques, opinions politiques, orientations sexuelles, données biométriques).

Un site e-commerce WordPress classique (5000 clients/an, pas de données sensibles) n'a généralement PAS besoin de DPO désigné. Un site de santé collectant questionnaires médicaux, un site de rencontres avec orientations sexuelles, ou une marketplace avec 100 000+ utilisateurs actifs DOIVENT désigner un DPO. Ce dernier peut être interne (salarié formé) ou externe (prestataire DPO mutualisé). Le DPO supervise conformité RGPD, conseille sur analyses d'impact, point de contact CNIL et personnes concernées.

Analyse d'impact DPIA pour traitements à risque

L'analyse d'impact relative à la protection des données (DPIA - Data Protection Impact Assessment) est obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes. Exemples nécessitant DPIA : profilage automatisé avec décisions produisant effets juridiques (scoring crédit, recrutement automatisé), surveillance systématique à grande échelle (vidéosurveillance magasins), traitement données sensibles à grande échelle (hôpital collectant dossiers médicaux 10 000+ patients).

Un site WordPress standard ne nécessite généralement pas de DPIA sauf fonctionnalités spécifiques : système de notation/scoring utilisateurs, collecte données enfants de moins de 15 ans, tracking comportemental poussé avec profilage psychologique, biométrie (reconnaissance faciale), données santé. La DPIA évalue les risques, décrit les mesures envisagées pour y répondre, et doit être révisée si changement majeur du traitement. Consultez la liste des traitements nécessitant DPIA publiée par la CNIL.

📝 Obligation #7 : Formulaires et Principe de Minimisation des Données

Formulaire Contact : Avant vs Après RGPD ❌ FORMULAIRE NON-CONFORME Contactez-nous Nom * _______________ Email * _______________ Téléphone * _______________ Adresse * _______________ Code postal * _______________ Date naissance * _______________ J'accepte CGV et politique Envoyer ✅ FORMULAIRE CONFORME Contactez-nous Nom * _______________ Email * _______________ Message * _______________ Téléphone (optionnel) __________ J'accepte que mes données soient utilisées pour me répondre Voir politique confidentialité Envoyer ⚖️ Principe minimisation : ne collectez QUE le nécessaire

Le principe de minimisation des données

L'article 5.1.c du RGPD impose que les données collectées soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités. Vous ne pouvez PAS demander date de naissance, adresse postale complète, numéro de téléphone et profession pour un simple formulaire de contact. Limitez-vous au strict nécessaire : nom/prénom, email, message. Le téléphone devient acceptable pour demande de rappel, l'adresse pour devis travaux nécessitant déplacement.

Évitez les champs obligatoires abusifs : exiger code postal pour télécharger un livre blanc est disproportionné. Indiquez clairement les champs optionnels avec mention "(facultatif)" à côté. Justifiez chaque donnée collectée : pourquoi demandez-vous le secteur d'activité ? Si c'est pour statistiques internes non essentielles au service, le champ doit être optionnel. La CNIL sanctionne les collectes excessives même avec consentement car le consentement ne peut légitimer une collecte disproportionnée.

Checkbox consentement séparée et explicite

Vous DEVEZ ajouter une checkbox de consentement spécifique avant chaque formulaire collectant données personnelles. Cette case ne peut être pré-cochée (consentement actif requis), doit être distincte de l'acceptation des CGV/CGU (pas de bundling), et expliquer clairement la finalité. Formulation correcte : "J'accepte que mes données soient utilisées par [Nom Société] pour traiter ma demande de contact conformément à la politique de confidentialité". Lien hypertexte vers politique complète obligatoire.

Formulation INTERDITE : "J'accepte les CGV, politique de confidentialité et de recevoir des offres commerciales" (bundling de plusieurs consentements), "En soumettant ce formulaire, vous acceptez..." (consentement implicite), case pré-cochée (consentement non actif). La CNIL vérifie systématiquement ces détails lors des contrôles. WPForms GDPR et Gravity Forms avec addon GDPR ajoutent automatiquement des champs consentement conformes avec horodatage des acceptations.

Double opt-in obligatoire pour newsletters

Pour l'inscription à une newsletter, le simple clic "S'abonner" ne suffit pas juridiquement. Vous devez implémenter un double opt-in : l'utilisateur entre son email, reçoit un email de confirmation avec lien à cliquer, et n'est ajouté à la liste qu'après ce second clic de confirmation. Ce processus prouve indiscutablement le consentement et évite les inscriptions frauduleuses par des tiers. Mailchimp, Sendinblue et ConvertKit proposent le double opt-in en standard.

Conservez la preuve du consentement : date/heure d'inscription, IP d'origine, texte exact de la checkbox acceptée, email de confirmation envoyé et lien cliqué. Ces métadonnées constituent votre preuve en cas de plainte CNIL d'un abonné affirmant ne jamais avoir consenti. Supprimez automatiquement les abonnés inactifs depuis 3 ans (aucun email ouvert) en leur envoyant préalablement un email de ré-engagement "Souhaitez-vous rester abonné ?". L'absence de réponse = désabonnement automatique = conformité principe de limitation de conservation.

Mettez votre site WordPress en conformité RGPD

L'équipe Pro-Dig-It réalise votre audit RGPD complet et met en place toutes les mesures de conformité : bannière cookies, politique de confidentialité, sécurisation HTTPS, gestion des droits. Disponibles du lundi au samedi de 8h à 19h pour protéger votre activité des amendes CNIL.

Audit RGPD gratuit Mise en conformité complète
↑ Retour en haut

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *