Ce n’est pas un cours de droit — je ne suis pas avocat. C’est une checklist opérationnelle pour un dirigeant ou un responsable marketing qui veut un site propre sans se noyer dans le juridique. Pour les litiges ou les traitements sensibles (santé, finance lourde), un professionnel du droit reste indispensable.
Le RGPD, en résumé pour un site vitrine : transparence, finalité, sécurisation, droits des personnes. Le reste est de la mise en forme — mais une mise en forme qui compte si la CNIL ou un client vous pose des questions.
1. Savoir ce que vous « traitez »
Dès qu’un formulaire collecte nom, email, téléphone, vous traitez des données personnelles. Dès que vous avez Google Analytics (ou équivalent) avec cookies non essentiels, idem.
Listez sur une page :
- Quelles données (email, IP, contenu du message…)
- Pourquoi (répondre à une demande, newsletter, stats…)
- Combien de temps (ex. 3 ans pour prospection B2B — à valider selon votre cas)
- Qui a accès (vous, hébergeur, outil d’emailing…)
Ça devient votre registre simplifié + la matière de votre politique de confidentialité.
2. Hébergement et transferts
- Hébergement UE (ou pays reconnus adéquats) : rassurant pour beaucoup de PME.
- Si vous utilisez un outil US (analytics, CRM), vérifiez les mécanismes (DPA, SCC, etc.) — c’est votre responsabilité de choisir des sous-traitants sérieux.
3. HTTPS partout
Aujourd’hui c’est le minimum technique : navigateurs, référencement, et bon sens sécurité. Sans HTTPS, vous envoyez mots de passe et formulaires en clair sur le réseau.
4. Formulaires : minimisation et clarté
- Ne demandez que l’utile : pour un devis, nom + email + message suffisent souvent — pas la date de naissance.
- Finalité visible : « Nous utilisons ces données pour répondre à votre demande. »
- Newsletter : case séparée, non précochée, texte explicite.
- Durée de conservation des messages : à définir (et à tenir — archivage / suppression).
5. Cookies et traceurs
- Strictement nécessaires (session, panier) : souvent pas besoin de consentement au sens bandeau — selon configuration.
- Analytics, pub, heatmaps : en général consentement préalable + possibilité de refuser aussi simplement qu’accepter.
- La CNIL publie des modèles et recommandations — à adapter, pas à copier aveuglément.
Un pavé juridique copié-collé depuis un site américain ou un générateur sans adaptation à votre traitement vous laisse à découvert en cas de contrôle ou de plainte.
6. Pages obligatoires (France)
- Mentions légales : éditeur, hébergeur, contact (et SIREN si pro).
- Politique de confidentialité : dès qu’il y a collecte — donc presque toujours dès qu’il y a un formulaire.
7. Lien avec la sécurité
Un site piraté = fuite possible de données = double problème (image + RGPD). L’article sécurité WordPress complète ce sujet côté technique (mises à jour, plugins, sauvegardes).
Tableau récap « minimum vital »
| Sujet | Action minimum |
|---|---|
| Formulaire | Champs minimes, finalité claire, base légale |
| Cookies non essentiels | Bandeau conforme, choix réel |
| Pages | Mentions + politique à jour |
| Hébergeur / outils | UE ou cadre clair, DPA si besoin |
| Technique | HTTPS, mises à jour, sauvegardes |
Ce qu’un prestataire web peut faire pour vous
- Mettre un bandeau cookies propre (outil type tarteaucitron ou équivalent).
- Structurer les pages légales à partir de vos infos (pas du remplissage automatique bidon).
- Sécuriser le site (mises à jour, sauvegardes) — voir maintenance.
Ce qu’il ne remplace pas : avis juridique sur des cas litigieux ou sectoriels (santé, enfants, etc.).
Contact pour un point technique + pages type.
RGPD CNIL pour la source officielle.