Article MAJ le 1003/2026 – Votre site est en ligne. Il a une page d’accueil, une page de services, un formulaire de contact. Il ressemble à quelque chose.
Mais est-ce qu’il est vraiment complet ?
La plupart des avocat·es, architectes et consultant·es qui me contactent ont déjà un site. Parfois récent. Parfois refait 2 fois. Et quand on regarde ensemble ce qu’il contient vraiment, on trouve presque toujours les mêmes lacunes : un RGPD incomplet, une sécurité approximative, des statistiques non conformes, une maintenance qui n’a jamais eu lieu.
Ces points n’ont rien de spectaculaire. Ils ne se voient pas au premier coup d’œil. Mais ils coûtent : en référencement, en crédibilité, en risques légaux. Et dans la grande majorité des cas, le prestataire qui a livré le site ne les a pas vérifiés. Attention : ce n’est pas de l’incompétence mais personne ne lui a fixé ces exigences.
Cet article les pose clairement. Pour que vous sachiez exactement ce que « créer un site internet professionnel » devrait vraiment signifier.
RGPD : l’oubli le plus fréquent et le plus risqué
Un site professionnel collecte des données personnelles dès qu’il a un formulaire de contact. C’est suffisant pour déclencher les obligations du RGPD et la plupart des sites ne les respectent pas complètement.
Ce que votre site doit comporter sans exception : des mentions légales avec l’identité complète de l’éditeur et de l’hébergeur, une politique de confidentialité qui indique quelles données sont collectées, pourquoi, combien de temps elles sont conservées et comment les supprimer, une bannière de cookies avec un bouton « Refuser » aussi visible que le bouton « Accepter » (exigence CNIL depuis 2022), et des conditions générales de vente si vous vendez en ligne.
Un point que beaucoup ignorent : la rédaction de ces documents ne devrait pas être confiée à votre webdesigner. Ce sont des documents juridiques. Un juriste ou un avocat spécialisé doit les valider, surtout pour les professions réglementées comme les avocats ou les professionnels de santé, qui ont des obligations spécifiques en matière de confidentialité.
Pour aller plus loin sur ce sujet, j’ai détaillé les obligations exactes dans cet article sur le RGPD et votre site internet.
Sécurité : ce que WordPress exige réellement
WordPress représente plus de 40 % des sites web dans le monde. C’est précisément pour ça qu’il est la cible la plus courante des attaques automatisées. Un site non maintenu est une cible facile, quelle que soit sa taille.
Les 4 points non négociables :
- le certificat SSL actif (votre URL doit commencer par
https://sans ça, les navigateurs affichent un avertissement à vos visiteurs avant même qu’ils voient votre page), - des mots de passe robustes et une authentification à 2 facteurs sur le compte administrateur,
- des mises à jour régulières du cœur WordPress, du thème et de chaque extension installée,
- et des sauvegardes automatiques testées : une sauvegarde qui n’a jamais été restaurée est une sauvegarde dont vous ne savez pas si elle fonctionne.
Le piratage de sites de petits professionnels indépendants est beaucoup plus fréquent qu’on ne le pense. Non pas pour accéder à des données sensibles, mais pour utiliser le serveur comme relais de spam ou d’attaques. Votre hébergeur peut résilier votre contrat si ça arrive. Et reconstruire un site piraté coûte bien plus cher que de l’avoir maintenu.
Statistiques : Matomo plutôt que Google Analytics — et voici pourquoi
Mesurer le trafic de votre site est indispensable pour comprendre ce qui fonctionne et ce qui ne fonctionne pas. Le plus connu est Google Analytics. Attention à la RGPD avec Google : Google Analytics 4 reste utilisable avec un paramétrage spécifique (anonymisation des IP, désactivation du partage de données avec Google). Mais ce paramétrage doit être réalisé explicitement, il n’est pas actif par défaut.
Si votre prestataire a simplement installé Google Analytics sans autre précision, vérifiez la configuration. Sinon, vous collectez des données en violation du droit européen.
L’alternative que j’installe sur tous les projets : Matomo. Agréé par la CNIL, hébergeable sur vos propres serveurs, Matomo permet de mesurer votre audience sans transférer de données personnelles hors de l’UE, et surtout, dans sa configuration recommandée, il dispense du consentement des visiteurs pour la France. Aucune bannière de cookies supplémentaire, aucune perte de données due aux refus de consentement.
Outils de collaboration : la question RGPD que personne ne pose
Pendant la création de votre site, vous allez échanger des fichiers, partager des accès, transmettre des contenus. Les outils que vous utilisez pour ça ont aussi des implications RGPD et c’est une dimension que la quasi-totalité des prestataires ignore.
Gmail stocke vos données sur des serveurs américains. Dropbox aussi. Ce n’est pas illégal si des clauses contractuelles spécifiques encadrent ces transferts, mais dans la pratique, peu de prestataires ont vérifié ce point.
Les alternatives à privilégier pour une conformité sans ambiguïté : ProtonMail ou Tutanota pour les emails, Nextcloud ou des alternatives françaises certifiées pour le stockage et le partage de fichiers. Pour les professions qui traitent des données sensibles (santé, juridique, RH), ce point mérite une attention particulière. Vos clients vous font confiance avec leurs informations, et votre chaîne d’outils doit être à la hauteur de cette confiance.
Maintenance : votre site n’est pas un objet fini
Un site livré n’est pas un site terminé. C’est le début d’une infrastructure qui va évoluer, vieillir, et se dégrader si on n’en prend pas soin.
Ce que « maintenir un site WordPress » signifie concrètement ?
mettre à jour WordPress, le thème actif et chaque extension à chaque nouvelle version disponible, tester les formulaires et fonctionnalités critiques après chaque mise à jour majeure, vérifier régulièrement le responsive design (les mises à jour peuvent casser l’affichage mobile), et planifier des sauvegardes régulières avec des tests de restauration effectifs.
Ce que j’observe sur les sites que j’audite : les extensions sont souvent non mises à jour depuis 6 à 18 mois. Le thème aussi. Dans certains cas, WordPress lui-même date de deux ou trois versions en retard. C’est une faille de sécurité ouverte et non un détail technique.
Pour comprendre ce que ce type de négligence coûte réellement à votre activité, l’article sur la rentabilité de votre site pose le calcul clairement.
Ce que votre site dit de vous avant que vous ayez dit quoi que ce soit
Au-delà de la technique, votre site est votre premier commercial. Il parle de vous à chaque visiteur qui arrive, avant que vous ayez eu le temps d’expliquer quoi que ce soit.
Un site conforme, sécurisé et maintenu est la fondation. Mais si le message qu’il porte ne reflète pas ce que vous valez vraiment, si la page d’accueil ne dit pas immédiatement ce que vous faites et pour qui, si les textes pourraient avoir été écrits par n’importe quel autre professionnel de votre secteur, alors la technique ne règle rien.
C’est la différence entre un site qui existe et un site qui travaille pour vous. J’ai détaillé exactement ce point dans l’article sur les sites qui ne convertissent pas malgré un design correct, et dans celui sur les 7 bonnes pratiques qui font vraiment la différence.
Par où commencer si vous n’êtes pas sûr·e de l’état de votre site
Si cet article vous a révélé des points que vous n’aviez pas vérifiés, vous avez 2 façons de procéder.
La première : auditer vous-même les points les plus critiques : SSL, RGPD, mises à jour WordPress en commençant par ceux qui ont des implications légales immédiates.
La seconde : demander un audit de votre site. En 30 minutes, j’évalue l’état réel de votre site sur l’ensemble de ces dimensions (technique, sécurité, conformité, message) avec un retour concret sur ce qui fonctionne, ce qui cloche, et ce qui mérite une intervention prioritaire.
C’est gratuit, ça n’engage à rien et ça vous donne enfin une réponse honnête sur ce que votre site vaut vraiment.
