RGPD et CNIL : conformité site web

Le Règlement général sur la protection des données (RGPD) est entré en application en mai 2018. Huit ans plus tard, beaucoup de sites français affichent encore un bandeau de consentement cosmétique, un lien vers des mentions légales obsolètes et aucune procédure réelle pour répondre aux demandes des personnes concernées. Le risque n’est pas théorique : la CNIL prononce régulièrement des sanctions, dont plusieurs à l’encontre d’entreprises de taille moyenne. Mettre son site en conformité est aujourd’hui une démarche accessible, structurée et rentable.

Les quatre piliers d’une conformité sérieuse

La conformité RGPD d’un site web s’articule autour de quatre piliers opérationnels.

1. Le registre des traitements. Toute entreprise qui collecte des données — formulaire de contact, paiement en ligne, analytics, recrutement — tient à jour un registre décrivant chaque traitement : finalité, base légale, catégories de données, durée de conservation, sous-traitants.

2. La politique de confidentialité. Une page accessible depuis toutes les pages du site explique en langage clair quelles données sont collectées, pourquoi, combien de temps, avec qui elles sont partagées, et comment exercer ses droits.

3. Le bandeau de consentement aux cookies. Pour tous les cookies non strictement nécessaires au fonctionnement du service, le consentement explicite et éclairé est obligatoire. C’est la partie la plus visible — et souvent la plus mal faite.

4. La procédure d’exercice des droits. Toute personne peut demander l’accès, la rectification, l’effacement, la portabilité ou l’opposition. Le site doit indiquer comment formuler ces demandes et s’engage à y répondre dans un délai d’un mois.

Cookies et consentement : les recommandations CNIL

La CNIL a publié en 2020 puis actualisé en 2025 des recommandations précises sur le consentement aux cookies. Les principes, stables depuis, sont clairs.

Aucun cookie non essentiel ne peut être déposé avant un consentement explicite. Cela signifie concrètement : pas de cookies analytiques ou marketing au chargement initial de la page, pas de script publicitaire amorcé en tâche de fond avant acceptation, pas de cookies de mesure d’audience actifs par défaut.

Le bandeau de consentement doit présenter un choix équivalent entre « Accepter » et « Refuser », avec un niveau de granularité au moins équivalent. Un bouton « Tout accepter » mis en évidence avec un bouton « Refuser » en texte gris ne répond pas aux exigences. La CNIL a sanctionné à plusieurs reprises cette pratique.

Le choix de l’utilisateur doit être conservé pendant une durée maximale de treize mois, après quoi le consentement est redemandé. Et l’absence de choix (fermeture du bandeau sans interaction) doit valoir refus, pas acceptation implicite.

Cookies strictement nécessaires : la seule exception

La CNIL reconnaît comme strictement nécessaires les cookies indispensables au fonctionnement du service demandé par l’utilisateur : cookie de session de panier, préférence de langue, authentification. Les outils d’analyse d’audience ne sont pas dans cette catégorie, même si certains services (MatomoCloud configuré en mode exempté) peuvent en être dispensés sous réserve.

Pour les sites à audience majoritairement française, plusieurs solutions matures existent : un serveur d’analytics hébergé en Europe et configuré en mode « exempté de consentement » selon les recommandations CNIL, ou bien un analytics payant hébergé hors UE avec consentement préalable du visiteur. La première option supprime une friction utilisateur non négligeable.

Le sous-traitant, maillon souvent négligé

Un site moderne s’appuie sur de nombreux sous-traitants : hébergeur, prestataire de paiement, outil d’emailing, solution de visioconférence, plateforme de support. Chacun doit faire l’objet d’un contrat encadrant le traitement des données, conformément à l’article 28 du RGPD.

Concrètement, cela signifie : vérifier que chaque prestataire propose un accord de traitement des données (DPA) conforme, l’avoir signé, l’avoir archivé, et l’avoir inscrit dans le registre des traitements. Pour un site e-commerce qui s’appuie sur une dizaine de services, ce travail de fond représente souvent plusieurs jours — mais c’est ce qui distingue une conformité réelle d’une conformité d’affichage.

Droits des personnes : la procédure à mettre en place

Le site doit permettre à toute personne d’exercer ses droits par un canal simple : email dédié, formulaire, courrier postal. Le délai légal de réponse est d’un mois, prolongeable de deux mois pour les demandes complexes. La procédure doit être documentée et connue de toute l’équipe susceptible de la traiter.

En cas de violation de données personnelles (fuite, perte, accès non autorisé), la CNIL doit être notifiée dans les 72 heures, et les personnes concernées si la violation présente un risque élevé pour leurs droits. Préparer en amont un modèle de notification et une liste de contacts internes fait gagner un temps précieux le jour où l’incident survient.

Sanctions : des cas concrets qui parlent

La CNIL a prononcé plusieurs sanctions marquantes. La plus emblématique est l’amende de 150 millions d’euros prononcée en 2021 contre un acteur majeur pour défaut de transparence et de consentement, suivie de nombreuses autres à l’encontre d’entreprises plus modestes. Plus fréquentes : les sanctions de mise en demeure avec astreinte financière journalière, qui peuvent rapidement représenter des montants significatifs.

Le coût d’une mise en conformité sérieuse est presque toujours inférieur au coût d’une sanction, sans parler de l’impact sur l’image de marque. Pour une PME française, adopter une approche rigoureuse et transparente du RGPD est aujourd’hui moins un risque juridique à conjurer qu’un signal de sérieux à envoyer à ses clients et partenaires.