Certificat SSL en 2026 : sécurité, SEO et conformité pour votre site WordPress
En 2017, avoir un certificat SSL était un avantage concurrentiel. En 2026, c’est une obligation — technique, légale et commerciale. Un site sans SSL est marqué « Non sécurisé » dans tous les navigateurs modernes, pénalisé par Google dans ses résultats de recherche, et potentiellement en infraction avec la Loi 25 du Québec.
Si votre site affiche encore « http:// » au lieu de « https:// », ce guide vous explique ce qu’il faut faire — et pourquoi agir maintenant.
Cet article a été rédigé par l’équipe d’Agence Chocolat, agence web à Montréal depuis 2001. Le SSL est inclus dans tous nos forfaits d’hébergement WordPress.
Qu’est-ce qu’un certificat SSL et comment fonctionne le HTTPS ?
SSL signifie Secure Sockets Layer — le protocole qui chiffre les données échangées entre le navigateur de votre visiteur et votre serveur. HTTPS (le « S » pour Secure) indique que cette connexion est chiffrée.
Concrètement : quand un visiteur remplit un formulaire de contact, entre ses informations de paiement ou se connecte à son compte, ces données circulent sur internet. Sans SSL, elles transitent en clair — lisibles par quiconque intercepte la connexion. Avec SSL, elles sont chiffrées et inutilisables sans la clé privée de votre serveur.
Le cadenas visible dans la barre d’adresse de votre navigateur confirme que la connexion est sécurisée. Son absence — ou pire, le message « Non sécurisé » — envoie un signal de méfiance immédiat à vos visiteurs.
Pourquoi Google pénalise les sites sans SSL en 2026
Google a annoncé dès 2014 que le HTTPS serait un facteur de classement. Depuis 2018, Chrome marque explicitement tous les sites HTTP comme « Non sécurisé » dans la barre d’adresse. En 2026, cette réalité est encore plus marquée :
– Les sites sans SSL perdent des positions dans les résultats de recherche
– Le taux de rebond augmente significativement sur les sites HTTP — les visiteurs partent dès qu’ils voient l’alerte de sécurité
– Google Chrome, Safari et Firefox bloquent ou déconseillent activement les sites sans certificat
– Les formulaires de contact et pages de paiement sans SSL déclenchent des avertissements explicites
Pour un site e-commerce ou tout site qui collecte des données, l’absence de SSL n’est plus acceptable. C’est aussi une question de réputation : vos concurrents sont sécurisés, vous devriez l’être aussi.
Let’s Encrypt : le certificat SSL gratuit recommandé pour WordPress
Let’s Encrypt est une autorité de certification gratuite, automatisée et ouverte, lancée en 2016 et soutenue par des organisations comme Mozilla, Google et Cisco. Elle émet des certificats SSL reconnus par tous les navigateurs modernes — sans frais.
La différence entre un certificat Let’s Encrypt gratuit et un certificat payant ? Pour la grande majorité des sites WordPress d’entreprise, aucune différence fonctionnelle. Les certificats payants apportent une assurance financière supplémentaire et des validations d’identité avancées (EV) pour les grandes institutions financières — des cas rares pour une PME québécoise.
Let’s Encrypt est le standard recommandé pour WordPress. Notre hébergement WordPress infogéré l’intègre et le renouvelle automatiquement.
Renouvellement automatique et maintenance SSL sous WordPress
Un certificat Let’s Encrypt a une durée de validité de 90 jours. Ce délai court est intentionnel — il encourage l’automatisation du renouvellement et réduit les risques liés à un certificat compromis.
Sur un hébergement bien configuré, le renouvellement se fait automatiquement, sans intervention manuelle. Sur un hébergement mal configuré ou laissé sans maintenance, le certificat expire. Conséquence immédiate : votre site affiche une erreur de sécurité critique à tous vos visiteurs, et Google peut le déréférencer.
C’est l’un des points couverts par notre service de maintenance WordPress : surveillance de l’expiration du certificat, renouvellement automatique, et alerte si quelque chose ne fonctionne pas.
SSL et WordPress : les points de vérification essentiels
Avoir un certificat installé n’est pas suffisant. Vérifiez ces points :
- Toutes les URLs du site redirigent de http:// vers https:// (redirection 301)
- Les ressources mixtes sont éliminées (images, scripts chargés en HTTP sur une page HTTPS)
- Le sitemap XML utilise les URLs en https://
- Google Search Console est configurée sur la version https://
SSL, Loi 25 et protection des données au Québec
La Loi 25 du Québec exige que les entreprises protègent les renseignements personnels collectés via leur site web. Le chiffrement SSL est l’une des mesures techniques fondamentales pour se conformer à cette obligation.
Sans SSL, tout formulaire de contact, inscription à une infolettre ou données de paiement transmises par vos visiteurs circulent en clair. En cas d’incident de confidentialité, l’absence de chiffrement peut être retenue contre vous par la Commission d’accès à l’information.
L’hébergement sur serveurs canadiens, combiné à un certificat SSL actif, constitue la base technique minimale pour être conforme. Pour aller plus loin, consultez notre guide sur la Loi 25 et votre site WordPress.
Hébergement WordPress — SSL inclus
SSL, renouvellement automatique et serveurs canadiens.
Notre hébergement WordPress infogéré inclut le certificat SSL Let’s Encrypt, son renouvellement automatique et une surveillance 24/7. Conforme à la Loi 25 par défaut.
Questions fréquentes sur le certificat SSL
Mon site WordPress a-t-il besoin d’un certificat SSL même s’il ne vend rien ?
Oui. Google pénalise tous les sites HTTP dans ses résultats, pas seulement les boutiques en ligne. De plus, tout formulaire de contact ou d’inscription collecte des données personnelles — sans SSL, ces données transitent en clair. C’est à la fois un enjeu de sécurité et une obligation au sens de la Loi 25 du Québec.
Let’s Encrypt est-il aussi fiable qu’un certificat SSL payant ?
Pour la très grande majorité des sites WordPress, oui. Let’s Encrypt est reconnu par tous les navigateurs modernes et chiffre les données de la même façon qu’un certificat payant. Les certificats payants apportent une assurance financière supplémentaire et des validations d’identité avancées (EV) — utiles pour les grandes institutions financières, pas pour une PME typique.
Comment savoir si mon certificat SSL est sur le point d’expirer ?
Cliquez sur le cadenas dans votre navigateur et consultez les détails du certificat — la date d’expiration y est affichée. Sur un hébergement bien configuré, le renouvellement est automatique. Si votre site affiche soudainement une erreur de sécurité, il est probable que le certificat ait expiré ou que le renouvellement automatique ait échoué.
Qu’est-ce que le contenu mixte (mixed content) et comment le corriger ?
Le contenu mixte se produit quand une page HTTPS charge des ressources (images, scripts, polices) depuis des URLs en HTTP. Le navigateur bloque ces ressources ou affiche un avertissement. Pour corriger : dans WordPress, utilisez le plugin Better Search Replace pour remplacer toutes les URLs http:// par https:// dans la base de données, puis vérifiez avec l’outil SSL Checker.
Le SSL est-il inclus dans votre hébergement WordPress ?
Oui. Tous nos forfaits d’hébergement WordPress incluent le certificat SSL Let’s Encrypt, installé et renouvelé automatiquement. Aucune action requise de votre part. La migration gratuite inclut également la vérification et la correction du contenu mixte.
