Souveraineté Numérique

RGPD et site web : la checklist complète pour être en conformité en 2026

Votre site web est-il conforme au RGPD ? Checklist détaillée : cookies, formulaires, mentions légales, hébergement. Évitez les sanctions jusqu'à 4% du CA.

#RGPD site web#conformite RGPD#bandeau cookies CNIL#checklist RGPD 2026#protection donnees personnelles#mise en conformite RGPD

En bref : La CNIL a prononce plus de 500 millions d’euros d’amendes depuis l’entree en vigueur du RGPD, y compris contre des PME. Les points critiques a verifier sur votre site : bandeau cookies avec bouton “Refuser” aussi visible que “Accepter”, politique de confidentialite complete, formulaires avec minimisation des donnees, hebergement en UE et remplacement de Google Analytics par une alternative conforme (Plausible, Matomo).

Le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis 2018, mais en 2026, de nombreux sites web restent non conformes. Les conséquences sont réelles : la CNIL a prononcé plus de 500 millions d’euros d’amendes depuis l’entrée en vigueur du règlement, dont certaines à l’encontre de PME et de TPE. Ce guide vous donne la checklist complète pour mettre votre site en conformité.

Pourquoi la conformité RGPD est essentielle

Au-delà du risque financier (amendes pouvant atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros), la conformité RGPD est un enjeu de :

  • Confiance client : 87 % des consommateurs français se disent préoccupés par l’utilisation de leurs données personnelles
  • Réputation : une sanction CNIL est publique et médiatisée
  • Compétitivité : de plus en plus d’appels d’offres exigent la conformité RGPD comme prérequis
  • Éthique : respecter la vie privée de vos utilisateurs est tout simplement la bonne chose à faire

La checklist complète

1. Bandeau de consentement aux cookies

C’est souvent la première chose que la CNIL vérifie. Votre bandeau de cookies doit respecter ces règles :

Obligatoire :

  • Le bandeau s’affiche avant tout dépôt de cookie non essentiel
  • L’utilisateur peut accepter, refuser ou personnaliser ses choix
  • Le bouton « Refuser » est aussi visible et accessible que le bouton « Accepter » (même taille, même couleur, même niveau d’accès)
  • Aucun cookie non essentiel n’est déposé avant le consentement explicite
  • Le consentement est enregistré et peut être prouvé en cas de contrôle
  • L’utilisateur peut modifier son choix à tout moment (lien accessible dans le footer, par exemple)
  • Le consentement expire et est redemandé après 13 mois maximum

Erreurs fréquentes à corriger :

  • Le bouton « Refuser » caché derrière un lien « Paramétrer » (non conforme depuis les lignes directrices CNIL de 2020)
  • Les cases pré-cochées (interdit)
  • Le « cookie wall » qui bloque l’accès au site sans acceptation (interdit sauf cas très spécifiques)
  • Les cookies Google Analytics déposés avant consentement

2. Politique de confidentialité

Votre site doit comporter une page de politique de confidentialité complète et à jour. Elle doit mentionner :

  • L’identité du responsable du traitement : nom, adresse, contact
  • Les données collectées : liste précise (nom, email, IP, données de navigation, etc.)
  • Les finalités de chaque traitement : pourquoi vous collectez ces données
  • La base légale de chaque traitement : consentement, intérêt légitime, exécution d’un contrat, obligation légale
  • Les destinataires des données : qui y a accès (sous-traitants, partenaires)
  • La durée de conservation de chaque type de donnée
  • Les droits des utilisateurs : accès, rectification, suppression, portabilité, opposition, limitation
  • Les modalités d’exercice des droits : email, formulaire, adresse postale
  • Les transferts hors UE : si des données sont envoyées hors Europe (Google Analytics, Mailchimp, etc.), précisez les garanties (clauses contractuelles types, décision d’adéquation)
  • Les coordonnées du DPO (si applicable) ou de la personne en charge de la protection des données

3. Formulaires de collecte de données

Chaque formulaire de votre site (contact, newsletter, inscription, devis) doit respecter ces principes :

  • Minimisation des données : ne demandez que les données strictement nécessaires. Un formulaire de contact n’a pas besoin de la date de naissance.
  • Information au moment de la collecte : un lien vers la politique de confidentialité doit être visible à proximité du formulaire
  • Consentement distinct pour chaque finalité : si vous inscrivez aussi la personne à votre newsletter, cela nécessite une case à cocher séparée (non pré-cochée)
  • Pas de case pré-cochée : le consentement doit résulter d’un acte positif clair
  • Confirmation de la prise en compte : informez l’utilisateur que sa demande a été reçue et rappelez ses droits

4. Mentions légales

Obligatoires pour tout site web professionnel français, les mentions légales doivent inclure :

  • Raison sociale, forme juridique, capital social
  • Adresse du siège social
  • Numéro de téléphone et email de contact
  • Numéro SIRET/SIREN et numéro de TVA intracommunautaire
  • Nom du directeur de la publication
  • Coordonnées de l’hébergeur (nom, adresse, téléphone)
  • Numéro de déclaration CNIL (si applicable)

5. Hébergement et sous-traitants

Le choix de votre hébergeur et de vos outils a un impact direct sur la conformité :

  • Hébergement en UE : privilégiez un hébergeur européen. Un hébergement aux États-Unis nécessite des garanties supplémentaires (clauses contractuelles types) suite à l’invalidation du Privacy Shield.
  • Contrat de sous-traitance (DPA) avec chaque prestataire qui traite des données personnelles pour votre compte
  • Registre des sous-traitants : listez tous les outils et services qui accèdent aux données de vos utilisateurs

Outils courants et leur conformité :

OutilHébergementConformité RGPD
Google Analytics (GA4)États-UnisProblématique (transferts US)
Plausible AnalyticsUEConforme (pas de cookies)
Matomo (auto-hébergé)Votre serveurConforme
MailchimpÉtats-UnisDPA disponible, transferts US
Brevo (ex-Sendinblue)FranceConforme
Google Fonts (CDN)États-UnisProblématique (fuite d’IP)
Google Fonts (local)Votre serveurConforme

6. Sécurité des données

Le RGPD impose de mettre en place des mesures de sécurité appropriées :

  • HTTPS obligatoire : certificat SSL/TLS sur l’ensemble du site
  • Mots de passe hashés : jamais stockés en clair dans la base de données
  • Mises à jour régulières : CMS, plugins, dépendances
  • Sauvegardes chiffrées : régulières et testées
  • Accès limités : seules les personnes habilitées accèdent aux données personnelles
  • Journalisation des accès : traçabilité de qui accède à quoi

7. Droits des utilisateurs

Vous devez être en mesure de répondre aux demandes d’exercice de droits dans un délai de un mois :

  • Droit d’accès : fournir une copie de toutes les données détenues sur une personne
  • Droit de rectification : corriger des données inexactes
  • Droit à l’effacement (droit à l’oubli) : supprimer les données sur demande (sauf obligations légales de conservation)
  • Droit à la portabilité : fournir les données dans un format structuré et lisible par machine
  • Droit d’opposition : permettre de s’opposer à un traitement basé sur l’intérêt légitime
  • Droit à la limitation : geler le traitement dans certaines circonstances

Conseil pratique : créez une adresse email dédiée (ex. : rgpd@votreentreprise.fr) et documentez votre procédure de traitement des demandes.

Le registre des traitements

Si votre entreprise compte plus de 250 salariés, ou si vous traitez régulièrement des données sensibles, vous devez tenir un registre des activités de traitement. En pratique, la CNIL recommande à toute entreprise de le maintenir. Il doit contenir :

  • Le nom et les coordonnées du responsable du traitement
  • Les finalités de chaque traitement
  • Les catégories de données et de personnes concernées
  • Les destinataires des données
  • Les durées de conservation
  • Les mesures de sécurité

La CNIL propose un modèle gratuit sur son site.

Le DPO : est-il obligatoire ?

La désignation d’un Délégué à la Protection des Données (DPO) est obligatoire si :

  • Vous êtes un organisme public
  • Votre activité principale implique un suivi régulier et systématique des personnes à grande échelle
  • Vous traitez des données sensibles à grande échelle

Pour les PME, le DPO n’est généralement pas obligatoire, mais il est fortement recommandé de désigner un référent interne chargé de la conformité RGPD.

Exemples de sanctions CNIL récentes

La CNIL ne sanctionne pas que les géants du web. Voici quelques exemples parlants :

  • Doctissimo : 380 000 € pour des durées de conservation excessives et des transferts non conformes
  • Un médecin libéral : 10 000 € pour avoir transmis des données de patients à un prestataire sans garanties suffisantes
  • Une PME e-commerce : 15 000 € pour absence de bandeau cookies conforme et conservation excessive de données clients
  • CRITEO : 40 millions d’euros pour défaut de consentement dans le ciblage publicitaire

Le montant de l’amende est proportionnel au chiffre d’affaires et à la gravité du manquement. Même une petite sanction s’accompagne d’une mise en demeure publique qui nuit à la réputation.

Plan d’action en 5 étapes

  1. Auditez votre site : utilisez l’outil Cookiebot Scanner ou le rapport CNIL pour identifier les cookies et traceurs actifs.
  2. Mettez en place un bandeau cookies conforme : Tarteaucitron.js (open source, français) ou Axeptio sont de bonnes options.
  3. Rédigez/mettez à jour vos mentions légales et politique de confidentialité.
  4. Auditez vos formulaires : vérifiez la minimisation des données et les mentions d’information.
  5. Documentez : créez votre registre des traitements et votre procédure de gestion des droits.

L’approche Amana : conformité native

Chez Amana Web Agency, la conformité RGPD est intégrée dès la conception de chaque projet :

  • Hébergement souverain en France : vos données et celles de vos utilisateurs restent sur le territoire français
  • Aucun outil américain par défaut : pas de Google Fonts en CDN, pas de Google Analytics, pas de traceurs tiers non maîtrisés
  • Bandeau cookies conforme intégré et configuré selon les dernières exigences CNIL
  • Politique de confidentialité et mentions légales rédigées et adaptées à votre activité
  • Analytics respectueux : nous utilisons des solutions conformes qui ne nécessitent pas de consentement (pas de cookies, pas de données personnelles)

La souveraineté numérique et le respect de la vie privée ne sont pas des options chez Amana, c’est notre ADN.

Conclusion

La conformité RGPD n’est pas un projet ponctuel, c’est une démarche continue. Mais les bases peuvent être mises en place rapidement avec cette checklist. Ne laissez pas la complexité apparente du règlement vous paralyser : commencez par les points les plus critiques (cookies, politique de confidentialité, formulaires) et avancez progressivement.

Votre site n’est pas conforme et vous ne savez pas par où commencer ? Contactez-nous pour un audit RGPD gratuit de votre site. Nous identifierons les non-conformités et vous proposerons un plan d’action clair et priorisé.

Discutez de votre projet avec nous

Besoin d'aide pour votre projet digital ? Notre équipe pluridisciplinaire est prête à vous accompagner.

Nous contacter

Articles similaires

Souveraineté Numérique

Hébergement souverain en France : les meilleures alternatives aux GAFAM

Hebergement souverain en France : comparatif OVHcloud, Scaleway, Infomaniak et alternatives aux GAFAM. Guide de migration et conformite RGPD pour les entreprises.