Mettre un site en ligne sans penser au RGPD, c'est comme ouvrir un commerce sans afficher ses horaires ni respecter les normes de sécurité. Voici une liste pratique et non exhaustive des points à vérifier pour les TPE et PME, sans jargon juridique inutile.

Point 1 — Politique de confidentialité visible et accessible

Votre site doit comporter une page "Politique de confidentialité" (ou "Mentions légales + Confidentialité") accessible depuis toutes les pages — généralement dans le pied de page. Elle doit indiquer : qui collecte les données, pourquoi, combien de temps, et comment exercer ses droits.

Point 2 — Bandeau de consentement aux cookies (si applicable)

Si votre site utilise des cookies non essentiels (Google Analytics, Facebook Pixel, publicités), vous devez obtenir le consentement explicite du visiteur avant de les déposer. Un bandeau "Tout accepter / Tout refuser / Personnaliser" est obligatoire. La CNIL contrôle activement ce point.

Si votre site n'utilise que des cookies techniques (session, préférences d'interface), aucun bandeau n'est requis.

Point 3 — Mention d'information sur chaque formulaire

Sous chaque formulaire qui collecte des données personnelles (contact, devis, newsletter, inscription), vous devez informer l'utilisateur : qui traite ses données, pourquoi, combien de temps, et comment exercer ses droits. Une courte mention avec un lien vers votre politique suffit.

Point 4 — Consentement explicite pour la newsletter

Une case à cocher pré-cochée "J'accepte de recevoir vos communications" n'est pas valide sous le RGPD. Le consentement doit être actif (l'utilisateur coche lui-même), libre (non couplé à une autre condition) et documenté.

Point 5 — Hébergeur RGPD-compatible

Si votre hébergeur est américain (AWS US, GoDaddy…), les données de vos visiteurs sont potentiellement transférées vers des États-Unis — ce qui peut poser des problèmes de conformité depuis l'invalidation de Privacy Shield en 2020. Privilégiez un hébergeur européen ou assurez-vous que des garanties contractuelles adéquates sont en place (clauses contractuelles types).

Point 6 — Contrats avec les sous-traitants

Chaque outil tiers que vous utilisez sur votre site (outil d'emailing, CRM, outil de prise de rendez-vous…) traite des données pour votre compte. Vous devez avoir signé un DPA (Data Processing Agreement) avec chacun d'eux — la plupart le proposent en ligne automatiquement lors de la création de compte.

Point 7 — Durées de conservation définies

Vous devez définir combien de temps vous conservez chaque type de données. Exemples : contacts formulaire → 3 ans après le dernier contact, données clients → durée légale comptable (10 ans), candidats non retenus → 2 ans maximum. Ces durées doivent être indiquées dans votre politique de confidentialité.

Point 8 — Procédure pour les droits des personnes

Toute personne peut demander à accéder à ses données, les corriger, les supprimer ou s'opposer à leur traitement. Vous devez être en mesure de répondre à ces demandes dans un délai d'un mois. Prévoyez une adresse email dédiée (ex : rgpd@votre-domaine.fr) et une procédure interne.

Point 9 — Sécurité du site web

Le RGPD impose de mettre en place des mesures de sécurité "appropriées". Pour un site web : HTTPS obligatoire, mises à jour régulières (WordPress et ses plugins !), mots de passe forts pour l'administration, limitation des tentatives de connexion.

Point 10 — Registre des traitements

Vous devez tenir un registre documentant tous vos traitements de données. Ce registre n'est pas à publier, mais doit être disponible en cas de contrôle CNIL. Pour un site vitrine simple, il peut tenir sur une page A4. Pour une boutique e-commerce, il sera plus détaillé.

En cas de doute

Ce tour d'horizon couvre les points les plus fréquemment manquants. Pour une analyse complète de votre conformité, consultez le site de la CNIL (cnil.fr) ou rapprochez-vous d'un DPO ou d'un juriste spécialisé.

AT HOM S SOFTWARE intègre les bonnes pratiques RGPD dès la conception des sites et applications qu'il développe. Parlons de votre projet.

Tags :
RGPD site web cookies conformité politique de confidentialité
Partager : LinkedIn Twitter / X Facebook WhatsApp

📬 Cet article vous a plu ?

Recevez nos prochains articles directement par email. Pas de spam, désabonnement en un clic.