RGPD Acte II : comment mettre son site en conformité

Si vous avez parcouru notre précédent article, vous avez compris les enjeux et les bases du RGPD. Très bien. Mais qu’est-ce que ça veut dire concrètement pour votre site vitrine ou e-commerce ? Voici le minimum à mettre en place pour être en conformité, rassurer vos visiteurs et éviter les mauvaises surprises.

1. Les pages obligatoires

Votre site va devoir contenir des pages obligatoires qui apparaîtront dans le menu de bas de page (pas la peine de polluer le menu principal avec).

• Mentions légales (LCEN) : c’est votre carte d’identité numérique. Qui édite le site, qui l’héberge, comment vous contacter… bref, la transparence de base. À ne pas confondre avec la politique de confidentialité.
• Politique de confidentialité : ici, vous expliquez noir sur blanc quelles données vous collectez (formulaires, cookies…), pourquoi, combien de temps, qui y a accès, et quels sont les droits de vos utilisateurs. Pas besoin d’un roman juridique : clair, simple, lisible.

2. Les formulaires

Un classique : contact, devis, inscription newsletter. Quelques règles simples :

• ne demandez que l’essentiel (principe de minimisation),
• pour une newsletter, case de consentement non pré-cochée + lien de désinscription dans chaque mail,
• le double opt-in (confirmation par email) est une bonne pratique vivement conseillée.

3. Les cookies et traceurs

Le terrain sensible par excellence. Pourquoi ? Parce que les cookies sont des petits fichiers “mouchards” que les sites déposent dans votre navigateur : certains sont utiles (panier d’achat, login), d’autres servent surtout à analyser vos habitudes et à vous cibler avec de la pub. La règle est claire :

• rien ne doit se déposer avant consentement (sauf cookies strictement nécessaires),
• refuser doit être aussi simple qu’accepter (même visibilité),
• l’utilisateur doit pouvoir revenir sur son choix facilement (lien “paramètres cookies”),
• son choix doit être conservé environ 6 mois (recommandation CNIL).

Exemple : si votre site utilise Google Analytics, configurez-le correctement ou demandez le consentement via une bannière conforme.

4. La sécurité de base

Le RGPD insiste : vous êtes responsable de la sécurité. Le minimum vital :

• HTTPS partout (le petit cadenas dans l’URL),
• mots de passe solides et double authentification sur vos comptes sensibles (hébergeur, CMS, boîte mail),
• mises à jour régulières (WordPress, plugins…),
• sauvegardes automatiques.

La CNIL propose un guide pratique très accessible pour choisir vos mesures selon votre taille et vos risques. A consulter ICI.

5. Le registre des traitements

Derrière ce mot barbare, rien de sorcier : un simple tableau qui liste vos fichiers (« prospects », « clients », « facturation », « newsletter »…). Pour chacun : quelle finalité, quelle base légale, quelle durée, quelles mesures de sécurité, quels sous-traitants. C’est ce qu’on peut vous demander en cas de contrôle.

6. Les sous-traitants

Hébergeur, solution d’emailing, prestataire de paiement, outil d’analytics… ils traitent vos données pour vous. Vous devez donc vérifier leurs conditions et, idéalement, signer un contrat conforme à l’article 28 du RGPD. Évitez d’utiliser un service dont vous ne savez pas où partent les données.

7. Les droits des personnes

Le RGPD donne aux internautes des droits : accès, rectification, effacement, opposition… Vous devez donc prévoir un moyen simple de répondre aux demandes (ex. une adresse mail dédiée type privacy@votredomaine.fr).

8. En cas d’incident

Perte d’un fichier client, piratage de votre boîte mail, intrusion sur votre site… Si l’incident présente un risque pour les personnes, vous devez notifier la CNIL sous 72 h, et parfois informer directement vos clients. Mieux vaut avoir un petit plan d’action prêt.

9. Les transferts hors UE

Beaucoup d’outils sont américains (Google, Mailchimp, etc.). Vérifiez s’ils sont certifiés au Data Privacy Framework (accord adopté en juillet 2023). Sinon, utilisez les Clauses Contractuelles Types et évaluez les risques.

Avec ça, vous avez déjà le socle pour afficher un site conforme et rassurer vos visiteurs. Et si ça paraît beaucoup, bonne nouvelle : la CNIL fournit modèles et guides gratuits pour vous aider à avancer pas à pas. N’hésitez pas !

FAQ express RGPD pour les solopreneurs

👉 Dois-je nommer un DPO (délégué à la protection des données) ?
Non, sauf si vous traitez des données sensibles à grande échelle (santé, suivi massif des utilisateurs…) ou si vous êtes un organisme public. Mais rien ne vous empêche d’en désigner un volontaire, même en interne.

👉 Combien de temps puis-je garder les données ?
Seulement le temps nécessaire à l’objectif initial. Exemple : un devis non signé ne reste pas dix ans dans vos fichiers. La CNIL recommande 3 ans maximum pour les prospects inactifs, 13 mois pour les cookies et 25 mois pour les données d’audience (si exemptées de consentement).

👉 Puis-je envoyer une newsletter à mes clients sans leur demander leur avis ?
En B2C, vous avez besoin d’un opt-in préalable. Seule exception : si vous leur proposez des produits/services strictement similaires à ceux déjà achetés, et uniquement s’ils peuvent se désinscrire facilement. Dans tous les cas : lien de désinscription obligatoire.

👉 La bannière “en continuant vous acceptez” suffit-elle pour les cookies ?
Non. Le consentement doit être un acte clair et positif : cliquer sur “Accepter”. Et le bouton “Refuser” doit être aussi simple et visible que “Accepter”.