Tout savoir sur le RGPD pour votre site web : obligations légales, cookies, formulaires, hébergement des données et mise en conformité. Évitez les sanctions de la CNIL.
Depuis 2018, le RGPD (Règlement Général sur la Protection des Données) s'impose à tous les sites web collectant des données personnelles. Non-conformité = risque de sanctions jusqu'à 20 millions d'euros ou 4% du CA. Voici comment mettre votre site en conformité.
Les principes fondamentaux du RGPD
- Licéité : le traitement doit avoir une base légale (consentement, intérêt légitime...)
- Finalité : les données sont collectées pour un objectif précis
- Minimisation : ne collectez que les données strictement nécessaires
- Exactitude : les données doivent être à jour
- Limitation de conservation : durée de stockage définie
- Intégrité et confidentialité : sécurité des données
Les sanctions CNIL en 2024
En 2023, la CNIL a prononcé 42 sanctions pour un montant total de 89 millions d'euros. Les manquements les plus sanctionnés : gestion des cookies (38%), sécurité des données (28%) et absence de base légale (22%).
1. Gestion des cookies : Le point critique
Qu'est-ce qui nécessite un consentement ?
- Cookies publicitaires (Google Ads, Facebook Pixel)
- Cookies de réseaux sociaux (widgets, boutons de partage)
- Cookies analytiques détaillés (Google Analytics en mode standard)
- Tout tracker tiers non essentiel au fonctionnement
Ce qui est autorisé sans consentement
- Cookies strictement nécessaires (panier, session, sécurité)
- Analytics anonymisé (ex: Matomo sans tracking)
- Cookies de préférence utilisateur (langue, thème)
- Cookies de lecture de vidéo (si lecture lancée par l'utilisateur)
Les règles de la bannière cookies
- Pas de cookies non essentiels avant le consentement (mur de cookies interdit)
- Bouton "Tout refuser" aussi visible que "Tout accepter"
- Possibilité de personnaliser les cookies
- Conservation du choix pendant 6 mois maximum
- Informations claires sur les finalités
Solution recommandée
Utilisez une solution CMP (Consent Management Platform) comme Axeptio, Tarteaucitron ou Cookiebot. Elles gèrent automatiquement le blocage des scripts avant consentement.
2. Formulaires de contact et newsletter
Chaque formulaire collectant des données personnelles doit respecter des règles strictes :
- Indiquer clairement la finalité de la collecte
- Ne demander que les informations nécessaires
- Case à cocher pour le consentement (non pré-cochée)
- Lien vers la politique de confidentialité accessible
- Informer sur les droits (accès, rectification, suppression)
- Sécuriser la transmission (HTTPS obligatoire)
- Limiter la durée de conservation des données
3. Politique de confidentialité obligatoire
Votre politique de confidentialité doit être complète, claire et accessible depuis chaque page. Elle doit contenir :
- Identité du responsable de traitement
- Finalités de chaque traitement
- Base légale de chaque traitement
- Destinataires des données (sous-traitants, partenaires)
- Durées de conservation
- Droits des personnes et modalités d'exercice
- Existence de transferts hors UE
- Contact du DPO si applicable
4. Hébergement et sécurité des données
- Hébergeur dans l'UE recommandé (ou garanties appropriées)
- Certificat SSL (HTTPS) obligatoire partout
- Sauvegardes régulières et chiffrées
- Mots de passe robustes et authentification 2FA
- Mises à jour de sécurité régulières
- Limitation des accès (principe du moindre privilège)
- Monitoring et logs d'accès
Attention aux outils US
Google Analytics 4, Mailchimp, HubSpot : ces outils transfèrent des données aux USA. Suite à l'arrêt Schrems II, leur utilisation est discutée. Privilégiez des alternatives européennes (Matomo, Sendinblue) ou obtenez un consentement explicite.
5. Droits des utilisateurs
Vous devez permettre à vos utilisateurs d'exercer facilement leurs droits RGPD :
- Droit d'accès : fournir une copie des données sous 1 mois
- Droit de rectification : corriger les données inexactes
- Droit à l'effacement : supprimer les données sur demande
- Droit d'opposition : s'opposer au traitement
- Droit à la portabilité : transférer les données
- Droit de retirer son consentement à tout moment
Checklist de conformité RGPD
- ✅ Bannière cookies conforme avec refus facile
- ✅ Politique de confidentialité complète et accessible
- ✅ Mentions légales à jour
- ✅ Formulaires avec consentement explicite
- ✅ HTTPS sur tout le site
- ✅ Hébergement sécurisé (UE si possible)
- ✅ Procédure pour exercer les droits
- ✅ Registre des traitements (si > 250 salariés)
- ✅ Contrats avec les sous-traitants (DPA)
- ✅ Analyse d'impact si traitement à risque
La mise en conformité RGPD n'est pas un frein, c'est une opportunité de renforcer la confiance avec vos utilisateurs. Chez Seapalm, nous intégrons la conformité RGPD dès la conception de vos projets, pour une tranquillité d'esprit totale.
