Le Règlement général sur la protection des données s’applique à tout site web qui collecte des données personnelles de résidents européens, depuis un simple formulaire de contact jusqu’à une boutique e-commerce avec création de compte. Sept ans après son entrée en vigueur, le RGPD reste pourtant flou pour beaucoup de propriétaires de sites WordPress ou Shopify, qui hésitent entre une conformité approximative et l’embauche coûteuse d’un DPO externe. La CNIL a prononcé en 2024 plus de 270 sanctions financières liées à des sites web non conformes, avec une amende moyenne autour de 6 800 € pour les PME et un pic à 32 millions d’euros pour les manquements lourds. Le coût de la conformité est en réalité bien inférieur au coût de la non-conformité, à condition de connaître précisément les obligations qui s’appliquent à son cas. Chez Propuls’Lead, nous accompagnons les éditeurs de sites WordPress et Shopify dans la mise en conformité RGPD, et nous intégrons un agent de vérification qui ausculte en continu les points sensibles d’un site pour signaler les dérives avant qu’elles ne deviennent des sanctions.
Comprendre les six obligations RGPD qui s’appliquent à tout site web
Le RGPD impose six obligations principales qui s’appliquent à tout site collectant des données personnelles. Obligation 1 : information transparente des visiteurs sur les traitements effectués, leur finalité, leur base légale et leur durée de conservation. Cette information se matérialise par une politique de confidentialité accessible depuis chaque page. Obligation 2 : recueil du consentement explicite avant tout dépôt de cookies non essentiels (analytics, publicité, réseaux sociaux). Le consentement doit être libre, spécifique, éclairé et univoque.
Obligation 3 : respect des droits des personnes (accès, rectification, effacement, portabilité, opposition). Le site doit indiquer comment exercer ces droits et y répondre dans un délai d’un mois. Obligation 4 : tenue d’un registre des activités de traitement, obligatoire dès qu’on traite des données personnelles à titre professionnel. Obligation 5 : sécurisation des données collectées par des mesures techniques et organisationnelles appropriées (HTTPS, mots de passe robustes, accès limités). Obligation 6 : notification à la CNIL et aux personnes concernées en cas de violation de données dans les 72 heures suivant la découverte. Ces six obligations s’appliquent identiquement à WordPress et à Shopify, mais leur mise en œuvre technique diffère selon la plateforme. Notre article sur headers de sécurité HTTP WordPress et Content Security Policy revient sur le volet sécurisation technique qui forme un pilier de la conformité.
Mettre en œuvre la conformité étape par étape sur WordPress et Shopify
La mise en conformité d’un site WordPress passe par quatre actions concrètes. Action 1 : installer un module de gestion du consentement (Complianz, CookieYes, Axeptio) configuré pour bloquer tous les scripts non essentiels avant consentement. Action 2 : créer ou réviser la politique de confidentialité et les mentions légales depuis Outils, Confidentialité, en adaptant le modèle fourni par WordPress aux traitements réels du site. Action 3 : auditer les plugins installés pour identifier ceux qui collectent ou transmettent des données personnelles, et ajouter chacun dans le registre. Action 4 : configurer un formulaire de demande d’exercice des droits, soit via un module dédié, soit par une simple page contact dédiée.
Sur Shopify, la mise en conformité passe par cinq actions adaptées à la structure de la plateforme. Action 1 : activer la bannière de consentement cookies native depuis Paramètres, Confidentialité du client, ou installer Pandectes ou iubenda pour un contrôle plus fin. Action 2 : configurer la page Politique de confidentialité depuis Paramètres, Politiques, en partant du modèle Shopify et en l’adaptant. Action 3 : activer la gestion automatique des demandes RGPD depuis Paramètres, Clients, Demandes de données, qui permet à un client de demander l’export ou l’effacement de ses données. Action 4 : vérifier la conformité de chaque application installée via leur fiche RGPD. Action 5 : documenter dans le registre les transferts de données vers Shopify (siège au Canada, serveurs partiellement aux États-Unis) et les sous-traitants utilisés. Notre article sur WordPress, comment scanner un site WordPress pour détecter les malwares avant qu’il ne soit trop tard revient sur les contrôles techniques complémentaires.
Et avec un agent IA ?
La vérification continue de la conformité RGPD d’un site est un travail répétitif qui se prête bien à l’agentification. Trois activités peuvent être confiées à un agent dédié. Activité 1 : audit hebdomadaire automatisé du site qui vérifie la présence et l’accessibilité de la politique de confidentialité, le bon fonctionnement de la bannière cookies, l’absence de scripts tiers chargés avant consentement, la présence des mentions légales obligatoires. Activité 2 : suivi des évolutions réglementaires CNIL et signalement des nouveautés qui impactent le site. Activité 3 : préparation des réponses aux demandes d’exercice des droits avec génération de la trame de réponse, vérification de l’identité du demandeur, extraction des données concernées.
L’agent en pratique se construit autour d’un modèle Claude Sonnet branché sur trois outils : un crawler headless (Puppeteer ou Playwright) qui simule un visiteur du site, l’API de la CNIL pour récupérer les dernières décisions, et un connecteur email pour traiter les demandes entrantes. Le tout orchestré dans n8n ou via Claude Agent SDK selon la complexité. Le prompt système cadre l’agent : « Tu es un auditeur RGPD. Tu inspectes le site donné, tu vérifies la liste des 12 points de conformité fournie en référence, tu signales les écarts avec leur niveau de gravité et tu proposes une action corrective. » Chez Propuls’Lead, nous concevons et déployons les agents qui auditent la conformité RGPD à la place de nos clients, dans le cadre de la méthodologie PROPULSE. Le gain mesurable observé sur les sites accompagnés se situe entre 3 et 5 heures par mois économisées, avec un délai de détection d’un écart de conformité passé de plusieurs mois à moins de 7 jours. Notre article sur WordPress REST API, sécuriser les endpoints qui exposent vos données revient sur l’audit automatisé des API qui complète cette logique.
Quand l’humain reprend la main
L’agent de vérification RGPD ne se substitue jamais à la responsabilité juridique du propriétaire du site, qui reste le responsable de traitement au sens du règlement. Trois situations exigent une décision humaine. Situation 1 : qualification juridique d’un nouveau traitement de données, par exemple le lancement d’un programme de fidélité ou d’une newsletter segmentée. Cette qualification engage la responsabilité du propriétaire et doit s’appuyer sur une analyse juridique humaine, éventuellement assistée par l’agent pour la documentation mais pas pour la décision finale.
Situation 2 : gestion d’une violation de données avérée. L’agent peut détecter l’anomalie technique et préparer le dossier factuel, mais la décision de notifier la CNIL dans les 72 heures, le contenu exact de la notification et la communication vers les personnes concernées relèvent d’un arbitrage humain qui pèse les risques juridiques, réputationnels et opérationnels. Situation 3 : réponse à un contrôle CNIL ou à une réclamation officielle. L’échange avec l’autorité de contrôle est par nature humain et juridique, l’agent se limite à fournir la documentation et les éléments factuels demandés. Notre article sur WordPress et authentification à deux facteurs pour protéger l’accès admin revient sur la même articulation entre détection automatisée et décision humaine.
Stack recommandée par Propuls’Lead
Pour agentifier la vérification RGPD d’un site WordPress ou Shopify, nous recommandons une stack éprouvée et raisonnable en coût. Côté plateforme d’orchestration : n8n self-hosted pour les marchands sensibles à la souveraineté des données, ou Make pour les déploiements rapides. Côté modèle : Claude Sonnet pour l’analyse juridique nuancée, GPT-4 pour les volumes importants. Côté audit technique : Puppeteer pour le crawl, le module Lighthouse pour les contrôles complémentaires, l’API publique de la CNIL pour la veille réglementaire. Côté stockage : Airtable pour le registre des traitements et la liste des points de contrôle, Notion pour la documentation interne. Cette stack se déploie en 3 à 5 jours pour un site standard et fournit un tableau de bord hebdomadaire qui agrège les écarts détectés. Sur les sites accompagnés, ce dispositif a permis de passer 9 sites sur 10 en conformité totale dans le mois suivant le déploiement.