RGPD : guide complet pour un site web français conforme

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) encadre toute collecte de données personnelles dans l'Union européenne. Huit ans plus tard, en 2026, il reste l'une des principales sources de mise en demeure de la CNIL. Et contrairement à une idée reçue, le RGPD ne concerne pas que les grandes entreprises : il s'applique dès qu'un site collecte la moindre donnée identifiante — un simple formulaire de contact suffit.

Ce guide vous explique ce qu'il faut faire, dans le bon ordre, pour qu'un site web français soit en conformité.

Suis-je concerné par le RGPD ?

Le critère est large : vous êtes concerné dès que votre site traite des données personnelles d'une personne située dans l'UE. Sont considérées comme données personnelles :

• Nom, prénom, adresse e-mail, numéro de téléphone.
• Adresse IP (oui, c'est une donnée personnelle).
• Identifiants de connexion, cookies de suivi.
• Données de localisation, photos identifiables.
• Toute information qui, croisée avec d'autres, permet d'identifier une personne.

Concrètement : un simple formulaire de contact, un système de newsletter, un chat en ligne, Google Analytics, ou même un commentaire avec adresse e-mail obligatoire vous placent dans le champ du RGPD.

Étape 1 : identifier vos traitements et leur base légale

Pour chaque traitement de données (chaque "raison" pour laquelle vous collectez), vous devez identifier une base légale parmi les six prévues à l'article 6 du RGPD :

1. Consentement : la personne a explicitement accepté (cas type : newsletter, cookies de marketing).
2. Exécution d'un contrat : nécessaire pour livrer un service vendu (cas type : compte client, livraison).
3. Obligation légale : la loi vous oblige à collecter (cas type : facturation, comptabilité).
4. Intérêt légitime : équilibre entre votre intérêt et celui de la personne (cas type : sécurité du site, prévention de la fraude).
5. Sauvegarde des intérêts vitaux : rare en pratique web.
6. Mission d'intérêt public : réservé aux administrations.

Étape 2 : rédiger une politique de confidentialité conforme

C'est le document central de votre conformité RGPD. Il doit figurer sur votre site (lien en pied de page) et être présenté avant toute collecte (formulaires, inscriptions). Le contenu minimal exigé par les articles 13 et 14 du RGPD :

• Identité du responsable de traitement (vous, ou votre société).
• Coordonnées du DPO si vous en avez un (obligatoire pour certaines structures).
• Finalités de chaque traitement ("pourquoi vous collectez").
• Base légale de chaque traitement.
• Catégories de données collectées.
• Destinataires des données (qui d'autre y a accès : sous-traitants, partenaires).
• Transferts hors UE le cas échéant (Google, Microsoft, Stripe…).
• Durées de conservation.
• Droits des personnes et moyens de les exercer.
• Droit de réclamation auprès de la CNIL.

Une politique de confidentialité générique copiée-collée sera, à coup sûr, incomplète. Notre générateur produit un document adapté à votre activité réelle (e-commerce, SaaS, vitrine, blog…).

Étape 3 : définir les durées de conservation

Le RGPD impose le principe de minimisation : on ne conserve les données que pour la durée strictement nécessaire à la finalité. Quelques repères en vigueur en 2026 :

• Données clients : 3 ans après la fin de la relation commerciale (prospection commerciale).
• Données comptables : 10 ans (Code de commerce).
• Données salariés : 5 ans après le départ.
• Cookies analytics : 13 mois maximum (recommandation CNIL).
• Logs serveur : 6 mois à 1 an selon la finalité.
• Prospects non-clients : 3 ans après dernier contact.

Au-delà, les données doivent être anonymisées ou supprimées.

Étape 4 : permettre l'exercice des droits

Vos utilisateurs disposent de droits puissants que vous devez pouvoir honorer dans un délai d'un mois :

• Droit d'accès : obtenir une copie des données vous concernant.
• Droit de rectification : corriger des données inexactes.
• Droit à l'effacement ("droit à l'oubli") : supprimer ses données.
• Droit d'opposition : refuser un traitement (notamment prospection).
• Droit à la portabilité : récupérer ses données dans un format lisible.
• Droit à la limitation : geler un traitement contesté.

En pratique : prévoir une adresse e-mail dédiée (souvent rgpd@… ou privacy@…) et un processus interne pour répondre. La CNIL accorde rarement plus d'un mois.

Étape 5 : tenir un registre des traitements

Souvent oublié, obligatoire pour la quasi-totalité des entreprises. Le registre liste tous vos traitements avec leurs caractéristiques. Il peut prendre la forme d'un simple tableur. Modèle minimum :

• Nom du traitement (ex : "Gestion des prospects newsletter").
• Finalité.
• Base légale.
• Catégories de personnes concernées.
• Catégories de données.
• Destinataires.
• Durée de conservation.
• Mesures de sécurité.

La CNIL fournit un modèle de registre gratuit. En cas de contrôle, c'est le premier document demandé.

Étape 6 : sécuriser les données

Le RGPD ne donne pas de liste précise mais impose des mesures techniques et organisationnelles adaptées au risque. En 2026, le minimum acceptable inclut :

• HTTPS partout (SSL/TLS).
• Mots de passe hashés (jamais en clair).
• Authentification forte (2FA) pour les comptes administratifs.
• Sauvegardes régulières et testées.
• Mises à jour de sécurité appliquées.
• Contrôle d'accès : chaque salarié n'accède qu'à ce qui lui est utile.
• Chiffrement des données sensibles au repos.

En cas de violation de données (fuite, piratage, perte), vous devez notifier la CNIL dans les 72 heures et, si le risque est élevé pour les personnes, les informer directement.

Étape 7 : gérer les sous-traitants

Vos prestataires qui traitent des données pour votre compte (hébergeur, ESP newsletter, CRM, processeur de paiement…) sont vos sous-traitants au sens du RGPD. Vous devez :

• Conclure avec eux un contrat de sous-traitance (DPA — Data Processing Agreement). La plupart des prestataires sérieux en proposent un standard.
• Tenir la liste de vos sous-traitants à jour.
• Vérifier qu'ils offrent des garanties suffisantes (certifications ISO 27001, hébergement UE…).

Cookies et traceurs : un volet à part

Le RGPD encadre la collecte, la directive ePrivacy encadre spécifiquement les cookies. Règle clé : avant tout dépôt de cookie non essentiel, vous devez recueillir le consentement libre, éclairé et univoque de l'utilisateur. Cela impose une bannière de consentement avec :

• Choix granulaire (mesure d'audience, marketing, publicité…).
• Refus aussi simple que l'acceptation (CNIL, 2021).
• Pas de dépôt avant choix (à l'exception des cookies strictement nécessaires).
• Possibilité de modifier son choix à tout moment.

C'est l'un des points les plus contrôlés par la CNIL. Une bannière "OK / En savoir plus" ne suffit plus depuis 2022.

Sanctions : l'amende peut être colossale

Les amendes administratives prononcées par la CNIL peuvent atteindre :

• 20 millions d'euros, ou
• 4 % du chiffre d'affaires annuel mondial, le plus élevé étant retenu.

En pratique, les TPE/PME risquent davantage des amendes entre 5 000 € et 100 000 €, mais elles tombent régulièrement. En 2024, la CNIL a prononcé plus de 80 sanctions pour un montant cumulé dépassant 89 millions d'euros.

En résumé : la checklist de mise en conformité

1. Lister tous vos traitements de données et leur base légale.
2. Rédiger une politique de confidentialité complète et l'afficher.
3. Mettre en place un registre des traitements.
4. Définir des durées de conservation explicites.
5. Prévoir un canal pour exercer les droits.
6. Signer un DPA avec chaque sous-traitant.
7. Auditer la sécurité technique (HTTPS, 2FA, sauvegardes).
8. Mettre en place une bannière de cookies conforme.
9. Former l'équipe (au minimum la personne qui répond aux demandes).
10. Documenter une procédure de gestion des violations.

Le RGPD n'est pas une contrainte administrative ponctuelle : c'est un mode de fonctionnement permanent. Mais avec les bons documents en place dès le départ, l'essentiel du travail est fait.