Un formulaire de contact qui envoie l'adresse email du visiteur a une base de donnees americaine sans consentement, un plugin de statistiques qui trace les visiteurs avant meme qu'ils aient clique sur quoi que ce soit, une case "j'accepte les conditions" precochee par defaut : ce sont les trois erreurs RGPD qu'on retrouve le plus souvent en auditant un site existant. Le Reglement General sur la Protection des Donnees ne concerne pas que les grandes entreprises, il s'applique a tout site qui collecte la moindre donnee personnelle, y compris une simple adresse email dans un formulaire de contact.
Ce que le RGPD change concretement pour un site
Le principe de base est simple : toute donnee qui identifie une personne, directement (nom, email) ou indirectement (adresse IP, identifiant de cookie), doit etre collectee pour une raison precise, avec le consentement ou une base legale valable, et pas gardee indefiniment. Sur un site professionnel classique, cela touche trois zones : les formulaires (contact, devis, newsletter), les outils de mesure d'audience (Google Analytics, Meta Pixel), et les eventuels comptes clients sur un site e-commerce.
La politique de confidentialite : ce qu'elle doit vraiment contenir
Une politique de confidentialite generique copiee sur un autre site ne protege personne, la CNIL exige qu'elle refletee la realite exacte de vos traitements. Elle doit preciser :
- Quelles donnees sont collectees et pour quelle finalite (envoi d'un devis, gestion d'une commande, newsletter)
- La base legale de chaque traitement (consentement, execution d'un contrat, interet legitime)
- La duree de conservation des donnees (3 ans pour un prospect inactif, duree du contrat plus 5 ans pour un client, par exemple)
- Les destinataires eventuels (prestataire d'emailing, transporteur, service de paiement)
- Les droits des personnes (acces, rectification, effacement, portabilite) et comment les exercer
- Le transfert de donnees hors Union europeenne, s'il y en a un (un outil americain sans clauses contractuelles types pose probleme)
Le registre des traitements : la formalite qu'on oublie tous
Meme une TPE de trois salaries doit tenir un registre des traitements, un document interne (pas public) qui liste chaque usage de donnees personnelles : newsletter, facturation, recrutement. Ce n'est pas affiche sur le site, mais c'est le premier document que la CNIL demande en cas de controle ou de plainte. Un tableau simple avec cinq colonnes suffit dans 90% des cas pour une petite structure : ce n'est pas la paperasse qu'on imagine.
Les sanctions : rares mais reelles
La CNIL a prononce en 2025 plusieurs dizaines de sanctions contre des PME, avec des amendes allant de quelques milliers d'euros a plusieurs centaines de milliers pour les cas les plus graves (defaut de securite ayant entraine une fuite de donnees clients). Le declencheur le plus frequent n'est pas un controle aleatoire mais une plainte d'un particulier aupres de la CNIL, souvent apres un email de prospection recu sans avoir jamais donne son accord. Un site propre en amont evite 100% de ce risque.
Ou le RGPD croise la technique du site
Certains choix techniques ont un impact direct sur votre conformite : un hebergement en dehors de l'Union europeenne, un formulaire qui stocke les mots de passe en clair, ou une application sur-mesure qui n'a pas ete pensee avec un chiffrement correct des donnees sensibles. C'est pour cette raison qu'on integre la question RGPD des la phase de conception, et pas comme une case a cocher a la fin d'un projet de refonte.
Par ou commencer si rien n'est fait
Listez d'abord tous les formulaires et outils tiers de votre site (Analytics, emailing, chat, reseaux sociaux), notez pour chacun ce qu'il collecte et pourquoi. Rediger ensuite une politique de confidentialite qui colle a cette liste reelle, sans y ajouter de traitements fictifs "au cas ou". Enfin, verifiez que chaque formulaire de collecte a bien une case de consentement non precochee quand elle est necessaire (newsletter, prospection). C'est un chantier de quelques heures qui evite des mois de complications si une plainte arrive. Si vous voulez qu'on s'en charge en meme temps qu'un chantier de referencement ou de refonte, on peut integrer cet audit dans le meme devis.
