Audit des cookies WordPress : comment les thèmes et plugins remplissent votre site de traceurs

Le problème caché des cookies dans WordPress

La plupart des propriétaires de sites WordPress ne réalisent pas combien de cookies leur site dépose. Une installation WordPress fraîche avec un thème populaire et une poignée de plugins courants peut facilement déposer 15 à 30 cookies sur différents domaines, dont beaucoup avant même que le visiteur ait la moindre possibilité de donner son consentement. Ce n’est pas le résultat d’un pistage volontaire — c’est l’effet cumulatif des thèmes et plugins qui chargent des ressources externes accompagnées de leurs propres cookies.

Comprendre d’où viennent ces cookies, ce qu’ils font et comment les contrôler est essentiel pour tout site WordPress qui doit se conformer au GDPR, à la directive ePrivacy ou à des réglementations similaires. Ce guide détaille le processus d’audit étape par étape.

Pourquoi les sites WordPress accumulent autant de cookies

L’architecture de plugins de WordPress est à la fois sa plus grande force et son principal point faible en matière de confidentialité. Chaque plugin fonctionne de manière semi-indépendante, et la plupart des développeurs de plugins se concentrent sur les fonctionnalités plutôt que sur la conformité des cookies. Voici les principales sources de cookies sur un site WordPress typique :

Thèmes et Google Fonts

De nombreux thèmes WordPress chargent les Google Fonts directement depuis fonts.googleapis.com. Lorsque le navigateur d’un visiteur demande ces polices, Google peut déposer des cookies et collecter l’adresse IP du visiteur, des informations sur le navigateur et la page de provenance. En 2022, un tribunal allemand a jugé que le chargement de Google Fonts depuis les serveurs de Google sans consentement enfreint le GDPR, entraînant une amende de 100 € pour chaque visiteur concerné. La solution consiste à héberger les polices localement, mais la plupart des paramètres par défaut des thèmes pointent encore vers les serveurs de Google.

Constructeurs de pages et analytics

Elementor, le constructeur de pages WordPress le plus populaire, charge des ressources externes, notamment des polices, et peut déposer des cookies de suivi d’utilisation. Certains widgets Elementor intègrent du contenu tiers (vidéos YouTube, Google Maps) qui déposent leurs propres cookies. Même la version gratuite d’Elementor peut envoyer des données d’utilisation anonymisées, sauf si cette option est explicitement désactivée dans les réglages.

Plugins SEO

Yoast SEO et Rank Math déposent eux-mêmes peu de cookies, mais ils s’intègrent souvent à Google Search Console et encouragent l’ajout de codes de suivi Google Analytics. Les scripts d’analytics qu’ils vous aident à mettre en place sont une source majeure de cookies. La version premium de Yoast communique également avec les serveurs de Yoast pour l’analyse SEO, ce qui peut impliquer des cookies.

Jetpack et services WordPress.com

Jetpack est l’un des plus gros émetteurs de cookies dans l’écosystème WordPress. Selon les modules activés, Jetpack peut déposer des cookies pour :

• Les statistiques du site (statistiques WordPress.com)
• Les boutons de partage social (chargement de scripts depuis Facebook, Twitter, LinkedIn)
• Le système de commentaires (cookies Gravatar)
• Les fonctionnalités de sécurité (cookies du module Protect)
• L’utilisation du CDN (cookies du CDN WordPress.com)

Une seule installation de Jetpack avec les paramètres par défaut peut être responsable de 8 à 12 cookies provenant de différents domaines.

WooCommerce et e‑commerce

WooCommerce dépose plusieurs cookies considérés comme strictement nécessaires au fonctionnement e‑commerce :

• woocommerce_cart_hash : Aide WooCommerce à savoir quand le contenu du panier change.
• woocommerce_items_in_cart : Indique s’il y a des articles dans le panier.
• wp_woocommerce_session_* : Contient un code unique pour la session de chaque client.

Bien que ces cookies soient généralement exemptés de l’obligation de consentement en tant que cookies strictement nécessaires, les extensions WooCommerce pour le paiement, la relance de paniers abandonnés et l’automatisation marketing ajoutent de nombreux autres cookies qui, eux, nécessitent un consentement.

Formulaires de contact et reCAPTCHA

Les plugins de formulaire de contact comme Contact Form 7, WPForms et Gravity Forms utilisent souvent Google reCAPTCHA pour la protection contre le spam. reCAPTCHA v2 et v3 déposent plusieurs cookies, dont _GRECAPTCHA, et chargent des scripts depuis google.com qui peuvent déposer des cookies de suivi supplémentaires. Cela signifie que même une simple page de contact peut déclencher des cookies liés à la publicité.

Plugins de cache

Les plugins de cache comme WP Super Cache, W3 Total Cache et WP Rocket déposent leurs propres cookies pour gérer le comportement du cache. Il s’agit généralement de cookies fonctionnels (par exemple, pour contourner le cache pour les utilisateurs connectés), mais ils doivent tout de même être documentés dans votre politique de cookies.

Comment auditer les cookies sur votre site WordPress

Un audit de cookies approfondi consiste à analyser votre site du point de vue du visiteur. Voici le processus :

Étape 1 : utiliser les outils de développement du navigateur

Ouvrez votre site dans Chrome, allez dans DevTools > Application > Cookies et examinez tous les cookies déposés pour votre domaine et les domaines tiers. Faites-le dans une fenêtre de navigation privée pour simuler un premier visiteur. Notez le nom de chaque cookie, son domaine, sa durée de vie et s’il s’agit d’un cookie propriétaire (first‑party) ou tiers (third‑party).

Étape 2 : utiliser un scanner de cookies dédié

L’inspection manuelle permet de repérer les cookies déposés au chargement de la page, mais elle manque ceux qui sont déposés lors des interactions (clics sur des boutons, envoi de formulaires, défilement). Des scanners dédiés comme le scanner gratuit de Cookiebot, le scanner CookieYes ou des extensions de navigateur comme EditThisCookie fournissent des résultats plus complets. Lancez des analyses sur plusieurs pages, pas seulement sur la page d’accueil.

Étape 3 : catégoriser chaque cookie

• Strictement nécessaires : Cookies de session, d’authentification, de sécurité, de fonctionnement du panier. Ils ne nécessitent pas de consentement.
• Fonctionnels : Préférences de langue, personnalisation de l’interface utilisateur. Un consentement est techniquement requis, mais le risque est faible.
• Analytics : Google Analytics, statistiques WordPress.com, outils de heatmap. Le consentement est requis.
• Marketing/Publicité : Google Ads, Facebook Pixel, cookies de remarketing. Le consentement est requis et ce sont les cookies à bloquer en priorité.

Étape 4 : faire correspondre les cookies à leurs sources

Pour chaque cookie, identifiez quel thème ou plugin en est responsable. C’est là que WordPress se complique : une seule page peut charger des scripts provenant de 5 plugins différents, chacun déposant ses propres cookies. Désactivez temporairement les plugins un par un pour identifier quel plugin dépose quels cookies.

Sources de cookies courantes et solutions

Voici un mémo rapide des sources de cookies WordPress les plus courantes et de la manière de les traiter :

• Google Fonts : Passez à des polices hébergées localement. Des plugins comme OMGF ou les réglages de votre thème peuvent automatiser cela.
• Google Analytics : Doit être bloqué tant que le consentement n’est pas donné. Cela est géré par votre CMP.
• Intégrations YouTube : Utilisez le domaine youtube-nocookie.com au lieu de youtube.com. Cela évite la plupart des cookies de suivi.
• Google Maps : Ne chargez la carte qu’après consentement, ou utilisez une image de carte statique comme espace réservé.
• Facebook Pixel : Doit être bloqué tant que le consentement marketing n’est pas accordé.
• reCAPTCHA : Envisagez des alternatives comme hCaptcha (plus respectueux de la vie privée) ou des techniques de honeypot qui ne nécessitent aucun script externe.

Configurer le plugin WordPress FlexyConsent pour une conformité complète

Une fois que vous avez audité vos cookies et compris ce qui doit être contrôlé, la mise en place de FlexyConsent sur WordPress est simple.

Le plugin WordPress de FlexyConsent s’intègre directement dans votre tableau de bord d’administration WordPress, offrant une expérience de configuration native :

1. Installation depuis le répertoire des plugins : Recherchez « FlexyConsent » dans Plugins > Ajouter, installez et activez. Aucun téléversement manuel de fichiers n’est nécessaire.
2. Connectez votre site : Saisissez l’ID de votre site FlexyConsent dans les réglages du plugin. Le plugin injecte automatiquement le script de consentement au bon endroit — avant tout autre script tiers.
3. Configurez les catégories de cookies : Faites correspondre les cookies identifiés lors de votre audit aux catégories de consentement de FlexyConsent. Le plugin fournit une interface visuelle pour cela directement dans votre administration WordPress.
4. Mettez en place le blocage de scripts : FlexyConsent gère automatiquement les tags Google via le Consent Mode V2. Pour les autres scripts (Facebook Pixel, suivis personnalisés), le plugin propose des règles de blocage qui empêchent leur exécution tant que la catégorie de consentement appropriée n’a pas été accordée.
5. Testez en profondeur : Utilisez une fenêtre de navigation privée pour vérifier que les cookies non essentiels sont bloqués tant que le consentement n’est pas donné, et que toutes les fonctionnalités fonctionnent correctement après consentement.

En tant que CMP certifié par Google avec prise en charge de IAB TCF 2.3, FlexyConsent gère automatiquement les aspects les plus complexes de la conformité des cookies sur WordPress. Les signaux Consent Mode V2 sont envoyés aux services Google sans configuration supplémentaire des tags, et le géociblage garantit que les visiteurs de différentes régions voient l’expérience de consentement appropriée.

À retenir : La flexibilité de WordPress a un coût en matière de confidentialité — chaque thème et chaque plugin peut introduire des cookies nécessitant un consentement. Un audit systématique suivi d’une mise en œuvre correcte d’un CMP est la seule voie fiable vers la conformité. Ne partez pas du principe que votre site ne dépose que les cookies que vous connaissez ; en réalité, la situation est presque toujours plus complexe que prévu.