RGPD et site web : ce que vous devez vraiment faire

Je suis Sébastien Vidotto, développeur web et expert en visibilité en ligne depuis plus de 18 ans. Fondateur d’HETERACTIS, j’accompagne les entrepreneurs, commerçants et indépendants dans la création de sites internet sur mesure, de boutiques en ligne performantes et dans l’optimisation de leur référencement (SEO & Google Ads).Par /
découvrez les principaux risques de sécurité auxquels les sites internet sont confrontés, tels que les attaques par hameçonnage, les logiciels malveillants et les violations de données. protégez votre site et vos utilisateurs en comprenant ces menaces.

Vous avez un site web pour votre entreprise. Est-il conforme au RGPD ? Si vous n’êtes pas sûr, vous n’êtes pas seul — c’est la question qu’on me pose le plus souvent. Voici ce que j’ai appris en mettant en conformité des dizaines de sites WordPress et PrestaShop depuis 2018.

Le RGPD en 30 secondes

Le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis mai 2018. Il encadre la collecte et le traitement des données personnelles dans l’Union européenne. Pour un site web, une donnée personnelle c’est tout ce qui permet d’identifier un visiteur : nom, email, adresse IP, cookies de suivi, données de formulaire de contact.

Le point clé : si votre site collecte des données — et il en collecte, même avec un simple formulaire de contact ou Google Analytics — vous avez des obligations légales. Pas d’exception pour les petites entreprises.

Précision importante : je suis développeur web, pas juriste. Ce qui suit est basé sur mon expérience terrain en mise en conformité de sites. Pour les situations complexes (données sensibles, transferts hors UE), consultez un DPO ou un avocat spécialisé.

Ce que votre site doit obligatoirement afficher

Quatre pages ou mentions sont légalement requises sur tout site professionnel français :

  1. Les mentions légales — Obligatoires depuis la LCEN (2004). Elles doivent identifier le responsable du site : nom ou raison sociale, adresse, SIRET, contact, hébergeur. C’est la carte d’identité de votre site.
  2. La politique de confidentialité — Elle explique quelles données vous collectez, pourquoi, combien de temps vous les conservez, et comment les visiteurs peuvent exercer leurs droits (accès, rectification, suppression). C’est le document le plus important du RGPD pour un site web.
  3. Le bandeau cookies — Si votre site utilise des cookies non essentiels (analytics, publicité, réseaux sociaux), vous devez informer le visiteur AVANT de les déposer et obtenir son consentement explicite. Un simple bandeau « ce site utilise des cookies » sans bouton de refus ne suffit pas — la CNIL le rappelle régulièrement.
  4. Les CGV ou CGU — Les Conditions Générales de Vente sont obligatoires pour tout site e-commerce. Les Conditions Générales d’Utilisation sont recommandées pour les sites avec comptes utilisateurs.

Les erreurs que je vois le plus souvent

En auditant des sites de TPE/PME, certains problèmes reviennent systématiquement :

  • Google Analytics sans consentement — C’est l’erreur numéro un. Google Analytics dépose des cookies de suivi et transmet des données à Google (entreprise américaine). Sans consentement préalable du visiteur, c’est une double infraction : cookies non consentis + transfert de données hors UE. L’alternative : passer à Matomo (hébergé en France) ou configurer GA4 en mode anonymisé sans cookies.
  • Formulaires sans information — Votre formulaire de contact collecte un nom et un email. Mais dites-vous au visiteur ce que vous allez faire de ces données ? Combien de temps vous les conservez ? La plupart des sites ne le font pas. Une simple ligne sous le formulaire (« Vos données sont utilisées uniquement pour répondre à votre demande et conservées 12 mois ») règle le problème.
  • Bandeau cookies décoratif — Un bandeau qui dit « En poursuivant votre navigation, vous acceptez les cookies » n’est pas conforme. La CNIL exige un choix clair : accepter, refuser, ou paramétrer. Et les cookies non essentiels ne doivent pas être déposés avant le choix du visiteur.
  • Mentions légales incomplètes — L’hébergeur est souvent oublié. Le directeur de publication aussi (obligatoire). Certains sites copient-collent des mentions légales trouvées en ligne sans les adapter — mauvaise idée.
  • Aucun registre de traitement — Le RGPD impose de tenir un registre des traitements de données. Pour un site vitrine simple, ce registre peut tenir sur une page : quelles données, pourquoi, combien de temps, qui y accède. Peu d’entreprises le font.

Comment mettre votre site en conformité

Voici la méthode que j’applique sur les sites que j’accompagne. Elle couvre 90% des cas pour un site vitrine ou e-commerce standard :

Étape 1 : Identifier ce que votre site collecte

Faites l’inventaire : formulaire de contact, newsletter, analytics, commentaires, comptes clients, pixels publicitaires. Chaque point de collecte doit être documenté. Utilisez un scanner de cookies (Cookie Scanner de la CNIL, ou Cookiebot en version gratuite) pour identifier les cookies déposés par votre site — vous serez probablement surpris du nombre.

Étape 2 : Rédiger votre politique de confidentialité

Elle doit être rédigée en langage clair (pas du jargon juridique) et couvrir : les données collectées, la finalité de chaque traitement, la base légale (consentement, intérêt légitime, obligation légale), la durée de conservation, les droits des personnes, et vos coordonnées de contact pour les demandes RGPD.

Étape 3 : Installer un bandeau cookies conforme

Sur WordPress, plusieurs plugins font bien le travail : Complianz, CookieYes, ou GDPR Cookie Consent. L’important c’est que le bandeau bloque les cookies non essentiels avant le consentement, pas après. Testez en navigation privée pour vérifier.

Étape 4 : Mettre à jour vos mentions légales

Vérifiez qu’elles contiennent : identité du responsable (nom, adresse, SIRET), directeur de publication, hébergeur (nom, adresse, téléphone), et un lien vers votre politique de confidentialité.

Étape 5 : Ajouter les informations sous vos formulaires

Sous chaque formulaire qui collecte des données personnelles, ajoutez une mention courte : finalité, durée de conservation, lien vers la politique de confidentialité. C’est simple, rapide, et ça couvre une grosse partie des obligations.

Ce que vous risquez concrètement

Soyons honnêtes : la CNIL ne va probablement pas auditer votre site de TPE demain. Ses contrôles ciblent principalement les grandes entreprises et les cas signalés. Mais le risque existe :

  • Les plaintes — N’importe qui peut signaler votre site à la CNIL. Un concurrent, un client mécontent, un visiteur. La CNIL a reçu plus de 16 000 plaintes en 2023.
  • Les sanctions — Les amendes RGPD peuvent atteindre 4% du chiffre d’affaires ou 20 millions d’euros (le montant le plus élevé). En pratique, pour une TPE, la CNIL commence par une mise en demeure avec un délai de mise en conformité. Les amendes arrivent en cas de non-réaction.
  • La crédibilité — Un site sans mentions légales ou avec un bandeau cookies non conforme envoie un signal négatif. Les visiteurs avertis (et ils sont de plus en plus nombreux) le remarquent.

En résumé

La mise en conformité RGPD d’un site web n’est pas si compliquée. Mentions légales complètes, politique de confidentialité claire, bandeau cookies qui fonctionne vraiment, informations sous les formulaires — avec ces quatre éléments, vous couvrez l’essentiel. Le plus dur, c’est souvent de s’y mettre.

Vous n’êtes pas sûr que votre site soit conforme ? Envoyez-moi votre URL, je fais un check rapide et je vous dis où vous en êtes — c’est gratuit et sans engagement.

Publications similaires

Retour en haut