RGPD et site web : obligations, cookies, politique de confidentialité
RGPD et site web : les obligations des éditeurs
Le RGPD (Règlement Général sur la Protection des Données), entré en application le 25 mai 2018, impose des obligations précises à tout site web collectant des données personnelles de résidents européens. Ces obligations s’appliquent quelle que soit la taille de l’entreprise : une boutique en ligne, un blog avec formulaire de contact ou un SaaS sont tous concernés. En 2023, la CNIL a prononcé plus de 89 millions d’euros d’amendes en France.
La bannière cookies : une obligation mal comprise
La bannière cookies est souvent la première chose à laquelle on pense en matière de conformité RGPD, mais elle est fréquemment mal implémentée. Les exigences sont strictes :
- Le consentement doit être positif : pas de cases pré-cochées, pas de défilement de page valant accord
- L’utilisateur doit pouvoir refuser aussi facilement qu’accepter (bouton « Refuser » aussi visible que « Accepter »)
- La bannière doit apparaître avant tout dépôt de cookies non essentiels (analytics, publicité, réseaux sociaux)
- Le retrait du consentement doit être possible à tout moment, aussi facilement qu’il a été donné
Depuis janvier 2022, la CNIL a infligé des amendes à Google (150 M€), Facebook (60 M€) et de nombreuses PME pour non-conformité de leurs bannières cookies. La sanction maximale prévue est de 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
La politique de confidentialité
Tout site collectant des données personnelles doit publier une politique de confidentialité (ou politique de protection des données) accessible depuis toutes les pages, généralement dans le pied de page. Ce document doit mentionner :
- L’identité et les coordonnées du responsable de traitement
- Les données collectées et leur base légale (consentement, contrat, intérêt légitime, obligation légale)
- La durée de conservation des données
- Les destinataires des données (sous-traitants, tiers)
- Les droits des utilisateurs (accès, rectification, effacement, portabilité, opposition)
- Le droit de saisir la CNIL en cas de litige
Le DPO : obligatoire ou optionnel ?
La nomination d’un DPO (Data Protection Officer), ou Délégué à la Protection des Données, est obligatoire pour trois catégories d’organisations : les autorités publiques, les organismes dont l’activité principale implique un suivi régulier et systématique de personnes à grande échelle, et ceux qui traitent des données sensibles à grande échelle. Pour les PME, le DPO est fortement recommandé mais non obligatoire. Un DPO externe peut être mandaté pour 2 000 € à 5 000 €/an.
Les autres obligations à ne pas négliger
- Registre des traitements : document interne listant tous les traitements de données (obligatoire pour les entreprises de 250+ salariés, recommandé pour toutes)
- Contrats avec les sous-traitants : tout prestataire traitant des données pour votre compte (hébergeur, outil marketing) doit signer un DPA (Data Processing Agreement)
- Notification des violations : toute violation de données doit être signalée à la CNIL dans les 72 heures si elle présente un risque pour les individus
- Minimisation des données : ne collecter que les données strictement nécessaires à chaque usage
Outils pour se mettre en conformité
- Axeptio : CMP française, design soigné, à partir de 14 €/mois. Conforme CNIL, intégration WordPress native.
- Cookiebot : leader européen, scan automatique des cookies, à partir de 14 €/mois
- Didomi : solution enterprise, gestion multi-règlements (RGPD, CCPA, LGPD)
- Tarteaucitron.js : solution open source gratuite, gérée par une association française
- CNIL Cookie Consent : script open source officiel de la CNIL pour les sites simples
La mise en conformité RGPD n’est pas un coût mais un investissement : elle renforce la confiance des utilisateurs (74 % des internautes accordent plus d’importance à la confidentialité qu’à la personnalisation, selon Cisco 2023) et protège l’entreprise des risques financiers et réputationnels liés aux amendes et aux incidents de sécurité.