HTTPS (HyperText Transfer Protocol Secure) est la version sécurisée du protocole de communication HTTP. Il chiffre l’ensemble des données échangées entre le navigateur d’un visiteur et le serveur web grâce au protocole SSL/TLS (Secure Sockets Layer / Transport Layer Security). Le cadenas affiché dans la barre d’adresse de votre navigateur indique qu’une connexion HTTPS est active.
HTTPS est devenu une exigence fondamentale du web moderne — non plus une option. Depuis 2014, Google le considère comme un facteur de classement SEO. Depuis 2017, Chrome affiche “Non sécurisé” sur tous les sites HTTP, ce qui détruit la confiance des visiteurs. Et depuis 2018, le RGPD impose le chiffrement des données personnelles — rendant HTTPS obligatoire pour tout site collectant des informations utilisateur.
HTTP vs HTTPS : les différences fondamentales
| HTTP | HTTPS | |
|---|---|---|
| Signification | HyperText Transfer Protocol | HyperText Transfer Protocol Secure |
| Port utilisé | Port 80 | Port 443 |
| Chiffrement | ❌ Aucun — données en clair | ✅ SSL/TLS — données chiffrées |
| Sécurité | Données interceptables (attaques man-in-the-middle) | Données chiffrées de bout en bout |
| Certificat requis | Non | Oui — certificat SSL/TLS (gratuit via Let’s Encrypt) |
| Facteur SEO Google | Signal négatif depuis 2014 | Signal positif — facteur de classement confirmé |
| Affichage Chrome | ⚠️ “Non sécurisé” dans la barre d’adresse | 🔒 Cadenas — connexion sécurisée |
| Confiance utilisateur | Faible — signal de danger visible | Haute — signal de sécurité visible |
Comment fonctionne HTTPS : SSL/TLS et la poignée de main
HTTPS repose sur le protocole SSL/TLS qui établit une connexion chiffrée en plusieurs étapes — appelée handshake (poignée de main) :
1. Le navigateur se connecte au serveur et demande une connexion HTTPS
2. Le serveur envoie son certificat SSL (prouve son identité)
3. Le navigateur vérifie la validité du certificat auprès d'une autorité de certification
4. Les deux parties échangent des clés cryptographiques pour chiffrer la session
5. La connexion chiffrée est établie — toutes les données échangées sont illisibles pour un tiers
Durée : quelques millisecondes — imperceptible pour l'utilisateurHTTPS et SEO : l’impact sur le référencement Google
Google a officiellement annoncé en août 2014 que HTTPS était un signal de classement — léger mais confirmé. En 2026, l’impact SEO de HTTPS est multidimensionnel :
- Signal de classement direct — Google favorise les pages HTTPS sur HTTP à qualité égale. L’avantage est faible en isolation mais réel dans des SERPs serrées
- Données de référent préservées — quand un utilisateur clique sur un lien depuis un site HTTPS vers un site HTTP, le référent (source du trafic) est perdu dans Google Analytics. HTTPS → HTTPS préserve les données de référent — cruciale pour mesurer l’acquisition de trafic
- Signaux E-E-A-T et confiance — le T (Trustworthiness) de l’E-E-A-T est directement impacté par HTTPS. Un site sans HTTPS est considéré comme non fiable par les évaluateurs Google — particulièrement critique pour les pages YMYL (e-commerce, finance, santé)
- Core Web Vitals — certains navigateurs bloquent les ressources HTTP mixtes sur des pages HTTPS, ce qui peut dégrader les Core Web Vitals si les images, scripts ou CSS sont chargés en HTTP
HTTPS et e-commerce : une obligation légale et commerciale
Pour un e-commerce, HTTPS n’est pas optionnel :
- Obligation légale (RGPD) — le Règlement Général sur la Protection des Données impose de protéger les données personnelles des utilisateurs par des mesures techniques appropriées. Le chiffrement HTTPS est la mesure minimale attendue pour tout formulaire collectant des données (email, adresse, paiement)
- Exigence des passerelles de paiement — Stripe, Mollie, PayPal, Bancontact exigent HTTPS pour activer le paiement sur votre site. Sans certificat SSL valide, il est impossible d’activer ces modules
- Confiance et taux de conversion — 85% des internautes abandonnent un achat si le site n’est pas sécurisé (GlobalSign). L’indicateur “Non sécurisé” de Chrome est visible dès la page produit — avant même la page de paiement
- Conformité PCI-DSS — les normes de sécurité des cartes bancaires (PCI-DSS) exigent HTTPS pour tout site qui traite ou affiche des informations de paiement
Certificat SSL : types et coût
| Type de certificat | Validation | Coût | Idéal pour |
|---|---|---|---|
| DV (Domain Validation) | Vérifie que vous contrôlez le domaine | Gratuit (Let’s Encrypt) à ~100€/an | Sites vitrine, blogs, petits e-commerces |
| OV (Organization Validation) | Vérifie l’identité de l’organisation | 100-300€/an | Sites institutionnels, PME |
| EV (Extended Validation) | Validation étendue de l’entreprise — niveau le plus élevé | 200-500€/an | Grandes entreprises, banques, sites très sensibles |
| Wildcard SSL | Couvre le domaine principal ET tous ses sous-domaines | 100-400€/an | Sites avec plusieurs sous-domaines (shop., blog., app.) |
| Let’s Encrypt | DV automatique — renouvelé automatiquement | Gratuit | WordPress, WooCommerce — intégré par la plupart des hébergeurs |
Comment migrer son site de HTTP vers HTTPS
La migration HTTP → HTTPS est une opération SEO sensible — mal exécutée, elle peut provoquer une chute de trafic temporaire. Les étapes dans l’ordre :
- Installer le certificat SSL — via votre hébergeur (cPanel, Plesk) ou Let’s Encrypt. Sur WordPress, Certbot ou le plugin Really Simple SSL automatisent l’installation
- Forcer la redirection HTTP → HTTPS — ajouter dans le
.htaccess(Apache) ou la configuration Nginx une redirection 301 permanente de toutes les pages HTTP vers leur équivalent HTTPS - Corriger le contenu mixte (mixed content) — toutes les ressources chargées en HTTP sur des pages HTTPS (images, scripts, CSS) doivent être mises à jour en HTTPS. Utilisez l’extension Chrome “HTTPS Everywhere” ou Screaming Frog pour les identifier
- Mettre à jour le sitemap XML et robots.txt — toutes les URLs doivent référencer les versions HTTPS
- Mettre à jour Google Search Console — ajouter la propriété HTTPS comme propriété principale dans GSC et soumettre le nouveau sitemap
- Mettre à jour Google Analytics — modifier l’URL canonique dans GA4 et GTM pour pointer vers HTTPS
- Vérifier les backlinks principaux — contacter les domaines référents les plus importants pour mettre à jour leurs liens vers HTTPS (optionnel — les redirections 301 transmettent le PageRank)
Votre site est-il encore en HTTP ? Votre migration HTTPS est-elle correctement exécutée ?
Un audit SEO<SEO technique vérifie votre configuration HTTPS (contenu mixte, redirections, canonical) et identifie tous les problèmes qui peuvent dégrader votre référencement et votre taux de conversion.
FAQ — HTTPS
Qu’est-ce que HTTPS ?
HTTPS (HyperText Transfer Protocol Secure) est la version sécurisée du protocole HTTP. Il chiffre les données échangées entre le navigateur de l’utilisateur et le serveur web grâce au protocole SSL/TLS, rendant les données illisibles pour un éventuel intercepteur. HTTPS est signalé par le cadenas dans la barre d’adresse du navigateur. C’est un facteur de classement Google depuis 2014 et une obligation légale (RGPD) pour tout site collectant des données personnelles.
Quelle est la différence entre HTTP et HTTPS ?
HTTP (port 80) transfère les données en clair — elles sont interceptables par un tiers (attaque man-in-the-middle). HTTPS (port 443) chiffre toutes les données via SSL/TLS — elles sont illisibles même si interceptées. Autres différences : HTTPS affiche un cadenas dans Chrome (HTTP affiche “Non sécurisé” depuis 2017), HTTPS est un signal de classement Google positif (HTTP est négatif), et HTTPS est obligatoire pour les paiements en ligne (Stripe, Mollie, PayPal exigent SSL).
HTTPS est-il un facteur de classement Google ?
Oui — Google a officiellement confirmé HTTPS comme facteur de classement en août 2014. L’impact direct est faible en isolation, mais HTTPS influence le SEO de façon indirecte et cumulative : il renforce les signaux E-E-A-T (Trustworthiness), préserve les données de référent dans Google Analytics (trafic HTTPS → HTTPS non perdu), évite les avertissements Chrome “Non sécurisé” qui augmentent le taux de rebond, et est obligatoire pour activer les passerelles de paiement indispensables aux e-commerces.
Comment obtenir un certificat SSL gratuit ?
Let’s Encrypt est une autorité de certification gratuite et automatique qui délivre des certificats SSL DV (Domain Validation) valables 90 jours et renouvelés automatiquement. La plupart des hébergeurs web modernes (o2switch, Hostinger, OVH, Infomaniak) intègrent Let’s Encrypt dans leur panneau de contrôle (cPanel, Plesk) avec activation en un clic. Sur WordPress, le plugin Really Simple SSL automatise l’installation et la configuration HTTPS en quelques minutes.
Qu’est-ce que le contenu mixte (mixed content) HTTPS ?
Le contenu mixte (mixed content) se produit quand une page HTTPS charge des ressources (images, scripts, CSS) depuis des URLs HTTP non-sécurisées. Chrome bloque certains types de contenu mixte (scripts, iframes) et affiche des avertissements pour d’autres (images). Le contenu mixte dégrade la sécurité perçue, peut casser l’affichage de la page et impacte négativement les Core Web Vitals. Il se détecte avec la console Chrome (F12 → Console → erreurs mixed content) ou avec Screaming Frog SEO Spider.
Pour aller plus loin
- SEO technique — HTTPS comme composante de la fondation technique SEO
- Serveur web — la configuration serveur qui gère les certificats SSL et les redirections HTTPS
- Core Web Vitals — HTTPS et contenu mixte impactent les métriques de performance Google
- E-E-A-T — le T (Trustworthiness) directement lié à HTTPS
- Audit SEO — vérifier la configuration HTTPS dans le cadre d’un audit technique
- Notre expertise SEO — audit technique HTTPS et migration HTTP→HTTPS pour e-commerçants belges
