Le Règlement Général sur la Protection des Données (RGPD) s'applique à tout site web collectant des données personnelles d'utilisateurs européens, quelle que soit la taille de l'entreprise. La non-conformité expose à des amendes pouvant atteindre 4% du chiffre d'affaires mondial.
Ce que couvre le RGPD
Le rgpd encadre toute collecte de données personnelles : noms, emails, adresses IP, cookies de tracking, données de navigation. Tout site avec un formulaire de contact, une newsletter ou Google Analytics collecte des données personnelles et doit être conforme.
Les principes fondamentaux : licéité du traitement, finalité déterminée, minimisation des données, durée de conservation limitée, et droits des personnes garantis.
Documents obligatoires
Politique de confidentialité : document expliquant quelles données vous collectez, pourquoi, combien de temps et qui y accède. Elle doit être accessible depuis toutes les pages (généralement dans le footer).
Mentions légales : obligatoires en France, elles identifient l'éditeur du site (nom, adresse, SIRET, hébergeur).
Politique de cookies : liste tous les cookies utilisés avec leur durée de vie et leur finalité.
Consentement aux cookies
Depuis les nouvelles lignes directrices CNIL 2021, le consentement doit être libre, éclairé, spécifique et univoque. Les pratiques non conformes : pré-cocher les cases de consentement, continuer à tracker en cas de refus, rendre le refus plus difficile que l'acceptation.
Une bannière rgpd conforme propose Accept/Refuse avec la même facilité, explique clairement les finalités et mémorise le choix.
Google Analytics et RGPD
GA4 sans consentement explicite est illégal dans l'UE selon la CNIL. Options conformes : utiliser GA4 avec Consent Mode v2 (anonymisation partielle), ou opter pour une alternative européenne comme Matomo (self-hosted ou cloud en France).
Matomo auto-hébergé ne transfert aucune donnée hors de l'UE et ne nécessite pas de bannière cookies pour les statistiques anonymisées.
Droits des utilisateurs
Le rgpd garantit aux utilisateurs : droit d'accès (obtenir leurs données), droit de rectification, droit à l'effacement (droit à l'oubli), droit à la portabilité, droit d'opposition au traitement. Vous devez traiter ces demandes dans les 30 jours.
Prévoyez un email de contact dédié (ex: donnees@monsite.fr) et un processus interne pour honorer ces demandes.
Registre des traitements
Obligatoire pour les entreprises, le registre liste tous les traitements de données : formulaire contact (base légale : intérêt légitime), commandes (exécution du contrat), newsletter (consentement), analytics (consentement).
Le site officiel de la CNIL fournit des modèles gratuits de politique de confidentialité et de registre des traitements.
Conclusion
La conformité rgpd n'est pas une option. Commencez par auditer vos collectes de données, mettez en place une bannière cookies conforme, rédigez vos mentions légales et politique de confidentialité, et documentez vos traitements. Un site conforme inspire confiance et vous protège légalement.
La conformité RGPD n'est pas un projet ponctuel mais une pratique continue. Implémentez un registre des traitements documentant chaque traitement avec sa base légale et sa durée de conservation. La Privacy by Design intègre la protection des données dès la conception : minimisation, pseudonymisation, et droits utilisateurs implémentés techniquement. En cas de violation, vous avez 72h pour notifier la CNIL si le risque est élevé pour les personnes concernées. Désignez un DPO si votre activité l'exige selon les critères RGPD. La CNIL propose des guides pratiques gratuits pour chaque secteur d'activité et des modèles de documents conformes à télécharger.
Sanctions et contrôles CNIL
La CNIL contrôle régulièrement la conformité RGPD des sites web, en priorité ceux collectant des données à grande échelle. Les sanctions peuvent atteindre 4% du chiffre d'affaires mondial annuel ou 20 millions d'euros. En pratique, pour les petits sites, l'enjeu principal est la confiance des utilisateurs : une politique de confidentialité transparente et des cookies bien gérés améliorent concrètement le taux de conversion et la crédibilité de votre activité.
