RGPD : pages légales, trackers tiers et bandeau cookie sous la loupe

Une politique de confidentialité absente est un angle mort juridique. Un bandeau cookie sans bouton « Refuser » est une amende en puissance. Les tests #34 et #57 détectent les deux avant qu'un régulateur ne le fasse.

La conformité RGPD n'est pas optionnelle. Depuis 2018, tout site web ciblant des utilisateurs européens doit afficher des pages légales claires, obtenir le consentement avant de déposer des cookies et proposer un véritable mécanisme de refus. Pourtant en 2026, un nombre impressionnant de sites WordPress chargent encore Google Analytics avant tout consentement — ou n'ont tout simplement aucun bandeau cookie.

Les conséquences ne sont pas théoriques. En 2024, les autorités européennes de protection des données ont infligé plus de 2 milliards d'euros d'amendes. Les petites entreprises ne sont pas exemptées : la CNIL sanctionne régulièrement des PME pour des politiques de confidentialité manquantes et des bandeaux cookies non conformes. Pour les agences et freelances, c'est à la fois un risque et une opportunité.

Orilyt exécute deux tests complémentaires. Le test #34 vérifie si le site affiche les pages légales obligatoires — mentions légales, politique de confidentialité, conditions générales. Le test #57 détecte si un mécanisme de consentement cookie existe et est correctement implémenté. Ensemble, ils couvrent les deux piliers de la conformité RGPD d'un site web.

Test #34 : Vos pages légales sont-elles présentes ?

Le test #34 scanne le code HTML complet de la page auditée à la recherche de signaux par mots-clés dans quatre catégories :

1. Mentions légales (legal notice / Impressum) — obligatoires en France, en Allemagne et dans la plupart des pays de l'UE. Le test cherche « mentions légales », « legal notice », « imprint » dans les liens, titres et texte
2. Politique de confidentialité — la pierre angulaire de la conformité RGPD. Le test recherche « politique de confidentialité », « privacy policy », « données personnelles » et les équivalents en FR, EN, ES, DE
3. Conditions générales de vente / CGV — essentielles pour les sites e-commerce et SaaS. Mots-clés : « conditions générales de vente », « terms and conditions », « conditions d'utilisation »
4. Politique de cookies — une page dédiée expliquant quels cookies le site utilise. Le test détecte « politique de cookies », « cookie policy » et les expressions associées

Le scoring est simple : 2 catégories ou plus détectées = score 100. Une seule catégorie trouvée = score 70 (quelque chose manque). Aucun signal de page légale = score 20. Le test utilise une correspondance multilingue en français, anglais, espagnol et allemand.

Test #57 : Y a-t-il un bandeau de consentement cookie ?

Le test #57 adopte une approche différente. Au lieu de chercher du texte, il scanne le HTML à la recherche de signatures techniques de plateformes de gestion du consentement (CMP) :

1. Plateformes CMP connues — le test reconnaît plus de 20 plateformes : Cookiebot, OneTrust, Axeptio, Tarteaucitron, Complianz, Didomi, Iubenda, Borlabs Cookie, et d'autres. Si un script ou identifiant de plateforme est trouvé, score = 100
2. API IAB TCF v2 — le standard industriel du consentement. Le test vérifie la présence de la fonction __tcfapi et des signaux Google Consent Mode
3. Patterns de bannières génériques — classes CSS comme « cookie-consent », « cookie-banner », « gdpr-banner », attributs data comme data-consent-type, et texte de boutons comme « Accepter les cookies » en quatre langues

Si une plateforme CMP connue est détectée, le score est 100. Si seuls des signaux génériques sont trouvés (mais pas de CMP reconnu), le score est 80 — un mécanisme de consentement existe mais peut ne pas être robuste. Si rien n'est trouvé, le score chute à 20.

L'absence totale de mécanisme de consentement est le constat le plus risqué. Cela signifie que les cookies et trackers se déclenchent librement — une violation directe de la directive ePrivacy et du RGPD.

Les 4 violations les plus courantes

Après l'analyse de milliers de sites WordPress, les mêmes violations reviennent systématiquement :

1. Pas de page de politique de confidentialité — le site n'a aucune page expliquant quelles données personnelles sont collectées, pourquoi et par qui. C'est l'exigence RGPD la plus basique et la plus fréquemment absente
2. Scripts de tracking qui se lancent avant le consentement — Google Analytics, Facebook Pixel ou HotJar se déclenchent immédiatement au chargement de la page, avant que le visiteur n'ait interagi avec un quelconque bandeau cookie. C'est une violation directe du principe de « consentement préalable »
3. Bandeau cookie sans option de refus — le bandeau a un bouton « Tout accepter » mais pas d'équivalent « Tout refuser ». La CNIL et les autres régulateurs sont clairs : refuser doit être aussi simple qu'accepter
4. Aucun bandeau cookie — le site dépose des cookies sans aucun avis ni mécanisme de consentement. Étonnamment courant sur les sites qui « pensent ne pas utiliser de cookies » mais chargent des scripts tiers qui en déposent

Ce ne sont pas des cas marginaux. Ils concernent la majorité des sites WordPress. Et chacun d'entre eux est détectable par les tests #34 et #57 d'Orilyt.

Comment corriger les violations RGPD

La bonne nouvelle : la plupart des problèmes de conformité RGPD se corrigent en moins d'une heure. Voici le workflow recommandé :

1. Ajouter les pages légales manquantes — créer une politique de confidentialité, des mentions légales et une politique de cookies. Pour WordPress, des plugins comme Complianz ou Iubenda génèrent des modèles juridiquement solides. Pour les sites sur mesure, adapter un modèle de votre autorité de protection des données
2. Installer une plateforme de gestion du consentement — Tarteaucitron (gratuit, français), Cookiebot ou Complianz (plugin WordPress) sont des choix populaires. Configurer pour bloquer tous les scripts de tracking jusqu'au consentement
3. Vérifier le consentement préalable — après l'installation, tester le site avec les outils de développement du navigateur. Ouvrir l'onglet Réseau, supprimer les cookies et recharger. Aucune requête de tracking ne doit partir avant le clic sur « Accepter ». C'est le test critique
4. Ajouter un bouton de refus visible — s'assurer que le bandeau cookie propose « Tout accepter » et « Tout refuser » avec la même visibilité. Pas de dark patterns (lien de refus minuscule, cases pré-cochées, formulations confuses)

Après ces corrections, relancez un audit Orilyt. Le test #34 devrait scorer 100 (pages légales détectées) et le test #57 devrait scorer 100 (plateforme CMP détectée). Sinon, le rapport indique exactement ce qui manque encore.

La conformité RGPD comme argument commercial

Pour les freelances et agences, les constats de conformité RGPD sont parmi les plus convaincants de tout audit. Ils combinent urgence juridique et impact émotionnel :

Dans le rapport Orilyt, les tests #34 et #57 génèrent des recommandations FIA claires :

1. Fait : « Aucune politique de confidentialité détectée » ou « Aucun mécanisme de consentement cookie trouvé »
2. Impact : « Le site enfreint l'article 13 du RGPD — les amendes peuvent atteindre 4 % du CA annuel ou 20 millions d'euros » ou « Des trackers tiers se déclenchent sans consentement — chaque visite est une plainte potentielle à la CNIL »
3. Action : « Créer une page de politique de confidentialité et la lier dans le footer » ou « Installer une plateforme de gestion du consentement et configurer le blocage préalable de tous les scripts de tracking »

Rien ne motive un client plus vite que le mot « amende ». Quand un prospect voit que son site n'a ni politique de confidentialité ni bandeau cookie, la conversation passe de « est-ce qu'on devrait faire ça ? » à « à quelle vitesse pouvez-vous corriger ça ? ». Les audits de conformité RGPD se vendent tout seuls.

La conformité n'est pas une fonctionnalité — c'est une obligation légale

La conformité RGPD n'est pas un « nice-to-have ». C'est la loi. Une politique de confidentialité manquante, un bandeau cookie non conforme ou des scripts de tracking qui se lancent avant le consentement — chacun de ces éléments peut déclencher une enquête réglementaire. Les tests #34 et #57 détectent ces problèmes en quelques secondes.

Pour les agences, la conformité RGPD est le service complémentaire le plus facile à vendre. L'audit trouve le problème, le rapport explique le risque en langage clair, et la correction prend moins d'une heure. Le client comprend l'urgence sans avoir besoin d'une explication technique.

Lancez un audit. Vérifiez les tests #34 et #57. Si les deux scorent 100, le site couvre les bases. Si l'un des deux est en dessous de 70, il y a du travail — et un service à vendre.