RGPD site web : ce que les agences ne te disent pas sur la vraie conformité
La plupart des guides RGPD te noient sous la théorie juridique ou te vendent des solutions SaaS à 30€/mois. Pourtant, après avoir migré des dizaines de sites en conformité, on a compris une chose : ce qui compte vraiment tient en 3 piliers techniques concrets.
Le reste ? Du théâtre de conformité qui enrichit surtout les éditeurs de plugins. Décryptage sans bullshit de ce qui protège réellement ton business d’une sanction CNIL.
En bref
La conformité RGPD d’un site web repose sur 3 piliers concrets : obtenir le consentement explicite AVANT tout tracking (Google Analytics, cookies), permettre l’accès et la suppression des données utilisateurs sur demande, et sécuriser la collecte via formulaires (SSL, durée de conservation limitée). Le reste relève souvent du théâtre de conformité vendu par des solutions SaaS coûteuses.
Pourquoi 80% des sites « conformes » ne le sont pas vraiment
Le RGPD est entré en vigueur en mai 2018. Six ans plus tard, la majorité des sites affichent fièrement leur bannière cookies et leur politique de confidentialité. Problème : ces éléments visibles ne garantissent rien.
Selon les analyses de contrôles CNIL, les infractions les plus sanctionnées concernent des problèmes techniques invisibles pour l’utilisateur. Un site peut avoir la plus belle bannière du monde tout en chargeant Google Analytics avant même que tu aies cliqué sur « Accepter ».
Le marché du RGPD s’est transformé en machine à vendre du vent. Des solutions à abonnement mensuel te promettent la conformité en un clic. Des agences facturent des audits à 5000€ pour te sortir un PDF de 40 pages que personne ne lira.
La réalité est plus simple et plus brutale. La CNIL sanctionne trois types de manquements : le tracking sans consentement, l’impossibilité pour les utilisateurs d’exercer leurs droits, et les failles de sécurité sur les données collectées. Tout le reste est négociable.
Les 3 seules obligations RGPD qui peuvent te coûter cher
Concentrons-nous sur ce qui compte vraiment. Pas sur la théorie du règlement européen, mais sur ce que la CNIL contrôle et sanctionne concrètement.
Obligation 1 : Consentement explicite avant tracking
C’est le point le plus contrôlé et le plus sanctionné. L’article 6 et 7 du RGPD sont clairs : aucun cookie non essentiel ne peut être déposé avant que l’utilisateur ait explicitement accepté.
Traduction technique : Google Analytics, Meta Pixel, LinkedIn Insight Tag, hotjar, tous ces outils doivent rester désactivés tant que l’utilisateur n’a pas cliqué sur « Accepter » dans ta bannière.
La plupart des implémentations échouent ici. Le script Google Analytics est chargé directement dans le code source, avant même que la bannière ne s’affiche. Résultat : tu collectes des données sans consentement dès la première seconde de visite.
Comment vérifier ? Ouvre les outils développeur de ton navigateur, onglet Network, et recharge ta page d’accueil. Si tu vois des requêtes vers google-analytics.com ou facebook.com avant d’avoir cliqué sur « Accepter », tu n’es pas conforme.
Obligation 2 : Droit d’accès et suppression des données utilisateurs
L’article 15 et 17 du RGPD accordent aux utilisateurs le droit d’accéder à leurs données et de les faire supprimer. Concrètement, si quelqu’un te contacte via formulaire et te demande ensuite de supprimer toutes ses informations, tu dois pouvoir le faire.
Cela implique plusieurs choses techniques. Tu dois savoir où sont stockées les données : base de données WordPress, CRM, outil d’emailing, backup. Tu dois pouvoir les identifier rapidement et les supprimer de manière irréversible.
La plupart des TPE échouent ici non pas par mauvaise volonté, mais par absence de processus. Les demandes arrivent par email, sont traitées manuellement, et personne ne vérifie que la suppression a bien été effectuée partout.
La CNIL ne vérifie pas la sophistication de ton processus. Elle vérifie que tu réponds dans les délais légaux (un mois maximum) et que la suppression est effective.
Obligation 3 : Sécurisation des formulaires et données personnelles
Tu collectes des données via formulaires de contact, devis, newsletter ? Tu as l’obligation de les sécuriser. Cela signifie plusieurs choses concrètes.
D’abord, le certificat SSL. Ton site doit être en HTTPS, pas en option mais par défaut. Les données doivent être chiffrées pendant le transfert entre le navigateur et ton serveur.
Ensuite, la durée de conservation. Tu ne peux pas garder indéfiniment tous les emails reçus depuis 2015. Le RGPD impose de définir une durée de conservation justifiée par ton activité, puis de supprimer les données expirées.
Enfin, les accès à la base de données. Qui peut consulter les données collectées ? Ton développeur freelance ? Ton stagiaire marketing ? Chaque accès doit être justifié et tracé.
Les sanctions sur ce point sont rares mais violentes. La CNIL ne plaisante pas avec les fuites de données personnelles.
Bannière cookies : arrête de payer 30€/mois pour un outil que WordPress fait gratuitement
Le marché des bannières cookies est un cas d’école de bullshit marketing. Des solutions SaaS facturent 30 à 50€ par mois pour un service que tu peux obtenir gratuitement avec la même qualité technique.
Axeptio, Cookiebot, OneTrust : ces outils sont excellents pour les grands comptes qui ont des dizaines de domaines et des équipes juridiques. Pour une TPE avec un site WordPress, c’est du gaspillage pur.
Les alternatives gratuites font exactement le même travail. Tarteaucitron.js est une bibliothèque JavaScript open source, gratuite, qui gère le consentement et bloque les trackers tant que l’utilisateur n’a pas accepté. Complianz est un plugin WordPress freemium dont la version gratuite couvre 90% des besoins.
Ce qui compte dans une bannière cookies, ce n’est pas le design ou la personnalisation de la couleur du bouton. C’est la capacité technique à bloquer les scripts tant que le consentement n’est pas donné.
Tarteaucitron.js fait ça parfaitement. Tu l’installes, tu listes les services que tu utilises (Google Analytics, YouTube, etc.), et la bibliothèque se charge de bloquer leurs scripts jusqu’au consentement. Le tout sans abonnement mensuel.
La seule situation où un outil payant se justifie : si tu as besoin d’un support juridique pour rédiger tes mentions ou si tu opères dans plusieurs pays avec des réglementations différentes. Pour un site français standard, économise tes 360€ annuels.
Politique de confidentialité : le template que tu peux copier
La politique de confidentialité est obligatoire dès que tu collectes des données personnelles. Pas besoin d’un avocat à 2000€ pour la rédiger. Tu as besoin de clarté et d’exhaustivité sur quelques sections précises.
Section 1 : Qui collecte les données. Ton identité complète, ton statut juridique, ton adresse. Si tu es une entreprise individuelle, c’est toi. Si tu es une société, c’est la personne morale.
Section 2 : Quelles données sont collectées. Liste exhaustive : nom, prénom, email, téléphone, adresse IP, cookies de navigation, etc. Sois précis. La CNIL sanctionne les politiques vagues qui parlent de « données nécessaires au service ».
Section 3 : Pourquoi tu collectes ces données. La base légale au sens du RGPD. Pour un formulaire de contact, c’est « l’intérêt légitime » (article 6.1.f). Pour une newsletter, c’est « le consentement » (article 6.1.a).
Section 4 : Combien de temps tu gardes les données. Un prospect qui ne répond pas à ton devis : 3 ans maximum. Un client actif : durée de la relation commerciale plus les obligations légales de conservation comptable.
Section 5 : Qui a accès aux données. Ton équipe interne, ton hébergeur, ton outil de CRM. Nomme-les explicitement. C’est là que les DPA (Data Processing Agreement) entrent en jeu, on y revient plus bas.
Section 6 : Les droits des utilisateurs. Accès, rectification, suppression, opposition, portabilité. Et surtout, comment exercer ces droits concrètement. Un email dédié type rgpd@tonentreprise.fr est la solution la plus simple.
Des générateurs gratuits existent. Celui de la CNIL est basique mais exhaustif. Celui de WP Rocket est orienté WordPress et plus pratique. Ne paie pas pour ça.
Google Analytics et RGPD : la solution en 2025
Google Analytics 4 et RGPD, c’est compliqué. La CNIL a sanctionné plusieurs sites français en 2022 pour utilisation de Google Analytics (Universal Analytics à l’époque) car les données transitaient vers les États-Unis sans garanties suffisantes.
Google Analytics 4 a introduit le mode consentement v2. C’est un progrès technique : GA4 peut fonctionner sans cookies si l’utilisateur refuse, en utilisant uniquement des signaux agrégés. Mais cela ne résout pas tout.
Le problème de fond reste le transfert de données vers les serveurs américains de Google. Même avec le Data Privacy Framework adopté en 2023, certaines autorités européennes restent sceptiques.
Que faire concrètement ? Trois options selon ton niveau de risque.
Option 1 : Tu continues GA4 avec le mode consentement v2 activé, tu documentes ta démarche de conformité, et tu assumes un risque résiduel faible. C’est ce que font la majorité des sites français aujourd’hui.
Option 2 : Tu passes à Matomo en version auto-hébergée. Les données restent sur ton serveur européen, aucun transfert vers des tiers. C’est la solution la plus sûre juridiquement. Contrepartie : tu perds l’écosystème Google (intégration Ads, Search Console, etc.).
Option 3 : Tu utilises les deux. GA4 uniquement pour les utilisateurs qui acceptent les cookies, Matomo en mode sans consentement (configuration exemptée de bannière selon les recommandations CNIL) pour mesurer le trafic global. C’est notre approche chez GT Marketing : on garde la puissance de GA4 pour les conversions tout en mesurant l’audience complète avec Matomo.
La CNIL n’a pas prononcé de sanction GA4 en 2024. Le risque reste théorique pour les TPE. Mais si tu opères dans un secteur sensible (santé, finance), privilégie Matomo.
Formulaires de contact : les 4 erreurs qui exposent tes données clients
Les formulaires sont la première source de collecte de données personnelles. C’est aussi là que les erreurs techniques sont les plus fréquentes.
Erreur 1 : Pas de certificat SSL ou SSL mal configuré
Ton site doit être en HTTPS. Pas seulement la page d’accueil, mais toutes les pages, y compris celles avec formulaires. Si ton certificat SSL est expiré ou mal configuré, les données transitent en clair sur Internet.
Vérifie dans la barre d’adresse de ton navigateur : le cadenas doit être affiché. Clique dessus, regarde les détails du certificat. S’il est émis par Let’s Encrypt ou un autre organisme reconnu, et qu’il est valide, tu es bon.
Erreur 2 : Pas de double opt-in sur les newsletters
Si tu collectes des emails pour une newsletter, tu dois mettre en place un double opt-in. L’utilisateur remplit le formulaire, reçoit un email de confirmation, et doit cliquer sur un lien pour valider son inscription.
Sans ça, tu ne peux pas prouver que l’email collecté appartient réellement à la personne qui l’a saisi. N’importe qui peut inscrire n’importe quelle adresse. Le double opt-in protège à la fois l’utilisateur et toi.
Erreur 3 : Conservation illimitée des données formulaires
WordPress stocke par défaut toutes les soumissions de formulaires indéfiniment. Contact Form 7, Gravity Forms, WPForms : tous créent des entrées dans la base de données qui ne sont jamais supprimées automatiquement.
Tu dois mettre en place une purge automatique. Un prospect qui ne donne pas suite après 3 ans n’a plus de raison d’être conservé. Configure ton plugin de formulaire pour supprimer les entrées expirées, ou fais-le manuellement chaque trimestre.
Erreur 4 : Accès non sécurisé à la base de données
Qui peut accéder aux données collectées via formulaires ? Sur WordPress, tout utilisateur avec le rôle Administrateur peut consulter la base de données. Si ton développeur freelance, ton ancien stagiaire, ou ton prestataire marketing ont encore un compte admin, ils ont accès à tout.
Fais un audit des comptes WordPress tous les 6 mois. Supprime les comptes inactifs. Utilise des rôles limités (Éditeur, Auteur) pour les personnes qui n’ont pas besoin d’accès technique.
RGPD et sous-traitants : qui est responsable de quoi
Le RGPD distingue le responsable de traitement (toi) et les sous-traitants (ton hébergeur, ton agence web, tes plugins). Chaque sous-traitant qui accède à des données personnelles doit signer un DPA (Data Processing Agreement).
Le DPA est un contrat qui précise les responsabilités de chacun. Il doit contenir plusieurs clauses obligatoires : la nature des données traitées, la durée du traitement, les obligations de sécurité, les conditions de sous-traitance ultérieure.
Ton hébergeur doit te fournir un DPA. OVH, Kinsta, O2Switch : tous proposent des DPA standards conformes au RGPD. Si ton hébergeur ne propose pas de DPA, change d’hébergeur.
Ton agence web doit également signer un DPA si elle accède à ta base de données ou à tes outils marketing. C’est une pratique standard, mais beaucoup de petites agences l’oublient encore.
Les plugins WordPress : c’est plus complexe. Un plugin installé sur ton serveur et qui ne communique avec aucun service externe (ex: Contact Form 7 basique) ne nécessite pas de DPA. Un plugin qui envoie des données vers un serveur tiers (ex: Mailchimp for WordPress) nécessite un DPA avec l’éditeur du service externe.
En pratique, vérifie les CGU des services que tu utilises. Mailchimp, HubSpot, Sendinblue : tous intègrent des clauses DPA dans leurs conditions d’utilisation. Tu n’as pas besoin de signer un contrat séparé, mais tu dois t’assurer que ces clauses existent.
La responsabilité finale reste la tienne. Si ton sous-traitant provoque une fuite de données, la CNIL peut te sanctionner toi en tant que responsable de traitement. Choisis des prestataires sérieux qui documentent leur conformité RGPD.
Le registre des traitements : faut-il vraiment le faire quand on est une TPE ?
Le registre des traitements est un document interne qui liste tous les traitements de données personnelles que tu effectues. Nom du traitement, finalité, catégories de données, durée de conservation, mesures de sécurité.
L’article 30 du RGPD impose ce registre à toutes les entreprises… sauf celles de moins de 250 salariés, sauf si le traitement présente un risque pour les droits des personnes, sauf si le traitement porte sur des données sensibles.
Traduction : une TPE classique avec un site vitrine, un formulaire de contact et une newsletter n’est pas strictement obligée de tenir un registre. Mais la CNIL le recommande fortement.
Pourquoi ? Parce que le registre te force à cartographier tes traitements. C’est l’exercice qui te permet de répondre rapidement à une demande d’accès ou de suppression. Sans registre, tu cherches pendant des heures où sont stockées les données.
Un registre light pour TPE peut tenir sur une page. Un tableau avec quelques colonnes : nom du traitement, données collectées, finalité, durée de conservation, outil utilisé. Ça te prend 30 minutes à remplir, et ça te fait gagner des heures en cas de contrôle CNIL.
La CNIL propose un modèle de registre simplifié sur son site. Il est parfaitement adapté aux petites structures. Ne le vois pas comme une contrainte administrative, mais comme une cartographie de ton système d’information.
Checklist de mise en conformité RGPD : les 12 actions concrètes
Voici les actions à mener dans l’ordre de priorité. Certaines tu peux les faire toi-même, d’autres nécessitent un développeur.
1. Installe un certificat SSL et force le HTTPS sur tout le site. Gratuit via Let’s Encrypt, configuration en 10 minutes chez la plupart des hébergeurs. Priorité maximale.
2. Installe une solution de gestion du consentement. Tarteaucitron.js ou Complianz (version gratuite). Bloque Google Analytics et autres trackers tant que l’utilisateur n’a pas accepté. Nécessite un développeur si tu n’es pas à l’aise avec le code.
3. Vérifie que tes scripts de tracking ne se chargent pas avant consentement. Teste avec les outils développeur du navigateur. Si tu vois des requêtes vers des trackers avant d’avoir cliqué sur Accepter, corrige l’implémentation.
4. Rédige ta politique de confidentialité. Utilise le générateur de la CNIL ou celui de WP Rocket. Personnalise avec tes informations réelles. Ajoute un lien visible dans le footer de ton site.
5. Ajoute les mentions RGPD sous tous tes formulaires. « En soumettant ce formulaire, vous acceptez que vos données soient utilisées pour [finalité]. Consultez notre politique de confidentialité. » Une phrase suffit, avec un lien vers la politique complète.
6. Configure la durée de conservation des données formulaires. Sur Contact Form 7 : utilise le plugin Flamingo et programme une purge annuelle. Sur Gravity Forms : active la suppression automatique après 3 ans. Sur WPForms : configure la rétention dans les paramètres.
7. Mets en place un process de réponse aux demandes d’accès/suppression. Crée une adresse email dédiée (rgpd@tonentreprise.fr). Documente la procédure : qui reçoit la demande, qui vérifie l’identité du demandeur, qui effectue la suppression, dans quel délai.
8. Signe des DPA avec tes principaux sous-traitants. Ton hébergeur en premier. Ensuite ton agence web si elle a accès à ta base de données. Vérifie que tes outils SaaS (CRM, emailing) ont des clauses DPA dans leurs CGU.
9. Configure Google Analytics 4 en mode consentement v2. Dans les paramètres GA4, active le mode consentement. Vérifie que GA4 ne collecte rien tant que l’utilisateur n’a pas accepté les cookies. Alternative : installe Matomo auto-hébergé.
10. Active le double opt-in sur ta newsletter. Si tu utilises Mailchimp, Sendinblue ou Brevo, l’option existe dans les paramètres de formulaire. Si tu utilises un plugin WordPress, active la confirmation par email.
11. Fais un audit des comptes utilisateurs WordPress. Supprime les comptes inactifs. Change les mots de passe des comptes admin. Limite les rôles aux permissions strictement nécessaires.
12. Rédige un registre des traitements light. Un tableau Excel avec 5 colonnes : traitement, données, finalité, durée, outil. Cinq lignes pour commencer : site web, formulaire contact, newsletter, CRM, analytics. Mets-le à jour tous les 6 mois.
Coût total pour une TPE qui part de zéro : entre 0€ (si tu fais tout toi-même avec des outils gratuits) et 1500€ (si tu fais appel à un développeur pour implémenter la bannière cookies et configurer GA4). Évite les audits RGPD à 5000€ qui ne t’apportent qu’un PDF.
Tu veux discuter de ton projet ?
On peut auditer la conformité RGPD de ton site et te proposer une mise en conformité technique sans bullshit juridique.
