7 accès à exiger de votre agence web (et quoi faire si on vous les refuse)

Un client appelle : son agence ne répond plus depuis trois semaines, son site est en rade, et il réalise qu’il n’a… aucun accès. Ni à son hébergement, ni à son domaine, ni à son WordPress. Il est propriétaire de son activité, mais pas de son outil principal. Ce scénario est plus courant qu’on ne le croit — et il est entièrement évitable si vous savez exactement ce que vous devez exiger, dès le départ.

Voici les 7 accès non-négociables, pourquoi chacun compte, et comment réagir si on vous les refuse.

1. Le nom de domaine — vous devez être titulaire Whois

C’est l’accès le plus critique. L’AFNIC est sans ambiguïté : le titulaire légal d’un nom de domaine est la personne dont les coordonnées figurent dans le Whois. Si c’est l’agence, elle est propriétaire de votre domaine — pas vous.

Vérifiez dès aujourd’hui sur who.is ou whois.afnic.fr que votre nom ou celui de votre entreprise apparaît dans le champ “Registrant”. Si vous lisez le nom de votre agence, c’est une urgence. En cas de désaccord, elle peut légalement retarder ou bloquer tout transfert en refusant de fournir le code AuthInfo/EPP — la clé sans laquelle aucun transfert n’est possible.

Signal d’alerte : l’agence “gère” votre domaine mais ne peut pas vous montrer le panel de votre registrar ou refuse de vous créer un compte. Exigez le transfert du titulariat par écrit.

2. L’hébergement — votre compte, pas le leur

Le contrat d’hébergement doit être souscrit à votre nom. Comme le précise le Journal du Net, si c’est l’agence qui souscrit, vous n’avez aucun recours direct auprès de l’hébergeur en cas de problème technique — ni pour les sauvegardes, ni pour les accès FTP, ni pour la base de données.

La bonne configuration : vous êtes propriétaire du compte (OVH, Ionos, Infomaniak, etc.), et vous déléguer un accès technique à l’agence. Des plateformes comme OVH permettent exactement ça — contacts techniques distincts du contact propriétaire. L’agence travaille, mais vous gardez les clés.

Signal d’alerte : l’agence vous dit “on gère tout ça pour vous” sans vous donner vos identifiants cPanel, Plesk ou équivalent. Un hébergeur sérieux permet toujours cette délégation propre.

3. L’administration CMS — le rôle Administrator, c’est le vôtre

Sur WordPress, le rôle “Administrator” donne accès à tout : thème, plugins, utilisateurs, contenu, base de données via des outils comme phpMyAdmin. Ce rôle doit vous appartenir. L’agence peut avoir son propre compte Administrator pour ses interventions, mais vous devez avoir le vôtre — indépendant.

Récupérer un accès admin perdu quand l’agence n’est plus joignable nécessite une intervention directe en base de données. C’est faisable, mais c’est du temps et du stress inutiles. Sur les CMS no-code comme Webflow ou Squarespace, le problème est encore plus bloquant : sans accès au compte propriétaire, vous ne pouvez même pas exporter vos données proprement.

Si vous changez de prestataire, consultez ce que couvre la reprise d’un projet web pour anticiper ce moment.

Signal d’alerte : vous avez un compte “Editor” ou “Author” sur votre propre site. Exigez immédiatement la création d’un compte Administrator à votre nom, avec une adresse e-mail que vous contrôlez.

4. Analytics et Search Console — vous êtes responsable de traitement

La CNIL l’a clarifié : le responsable de traitement des données de vos visiteurs, c’est vous — pas votre agence. Ça implique que l’accès propriétaire à votre compte Google Analytics 4 et à votre Google Search Console doit être à votre nom.

Concrètement : créez vous-même votre propriété GA4 et votre compte Search Console, puis accordez un accès “Éditeur” ou “Analyste” à votre agence. Si c’est l’inverse — l’agence a créé le compte et vous a donné un accès secondaire — vous êtes en situation de dépendance. En cas de rupture, elle peut révoquer votre accès et vous perdez des mois ou des années de données. La Search Console, c’est aussi là que Google vous envoie ses alertes de sécurité et de pénalités : perdre cet accès, c’est voler à l’aveugle en SEO.

Ce point rejoint directement les enjeux de performance et de référencement naturel : sans Search Console, vous ne pilotez rien.

Signal d’alerte : vous ne connaissez pas l’adresse e-mail associée à votre compte Analytics. Votre agence “vous envoie des rapports” mais vous n’avez jamais vu l’interface.

5. Le repository Git — votre code, vos droits

Si votre site a été développé sur mesure (ou même sur un thème fortement modifié), le code source doit vous être remis via un repository Git (GitHub, GitLab, Bitbucket). Les bonnes pratiques d’agence prévoient cette remise à la livraison du projet — avec l’historique des commits, pas juste une archive ZIP.

Pourquoi c’est important : sans repo, une nouvelle agence doit repartir de zéro pour comprendre la structure du site, ce qui multiplie les coûts. Et juridiquement, sans clause explicite dans votre contrat, l’agence peut revendiquer ses droits d’auteur sur le code qu’elle a produit. Faites vérifier cette clause si votre contrat est vague. Cela s’applique aussi aux sites construits avec des outils IA : le code généré par Lovable ou v0 reste à livrer proprement.

Signal d’alerte : l’agence vous dit que “le code est chez eux” et qu’il n’est pas transférable. C’est faux si votre contrat précise la cession de propriété intellectuelle.

6. La gestion DNS — ne touchez à rien, mais sachez où c’est

Les DNS, c’est l’aiguillage d’internet : ils font pointer votre domaine vers votre hébergeur, configurent vos e-mails, valident votre Search Console. Vous n’avez pas besoin de les modifier tous les jours, mais vous devez savoir où ils sont configurés et avoir accès au panel.

Le piège courant : l’agence héberge vos DNS sur son propre compte, parfois sans que vous le sachiez. Si elle ferme ou vous bloque, votre domaine peut pointer vers le vide. La configuration saine : vos DNS sont sur votre compte registrar ou sur un service que vous contrôlez (Cloudflare, par exemple, où vous êtes propriétaire du compte).

7. Les comptes e-mail professionnels

Vos adresses @votredomaine.fr sont souvent configurées via l’hébergement ou un service tiers (Google Workspace, Microsoft 365). Assurez-vous d’en être l’administrateur. Perdre l’accès à votre messagerie professionnelle en cas de litige avec une agence, c’est une catastrophe opérationnelle immédiate.

Que faire si l’agence refuse de vous donner ces accès ?

D’abord, une mise en demeure formelle par écrit (mail avec accusé de lecture, lettre recommandée si nécessaire). Un prestataire qui refuse de remettre les accès engage sa responsabilité contractuelle — et potentiellement pénale pour entrave à l’accès à un système informatique que vous possédez.

Pour le domaine spécifiquement, l’AFNIC dispose d’une procédure de médiation. Pour l’hébergement, contactez directement l’hébergeur en prouvant que vous êtes le client final (factures, SIRET, correspondances). Pour le reste, un avocat spécialisé en droit du numérique peut agir vite sur ce type de litige — les tribunaux reconnaissent de plus en plus le droit du client à récupérer ce qui lui appartient.

Si vous traversez déjà cette situation, l’article sur comment changer d’agence proprement et les coûts réels d’un site web vous aideront à cadrer la suite.

Les 3 choses à retenir :

1. Vérifiez le Whois aujourd’hui — si votre domaine est au nom de l’agence, c’est une urgence légale, pas un détail technique.
2. Créez vous-même vos comptes Analytics et Search Console — vous êtes responsable de traitement RGPD, pas votre prestataire.
3. Tout refus d’accès est un signal d’alarme — un professionnel sérieux n’a aucune raison de retenir des accès qui vous appartiennent.