Cookies et traceurs
Consentement préalable, exemptions réelles, mesure d’audience, preuve du choix, chargement effectif des scripts et cohérence entre le bandeau et le comportement technique.
Ouvrir la page
Règlement (UE) 2016/679 · application depuis le 25 mai 2018
Cadre RGPD des sites
Le RGPD d’un site se lit dans la collecte, l’information, les droits, la sécurité visible, la documentation utile et la capacité à répondre en cas de contrôle.
Les six sujets à maîtriser
La rubrique Réglementation doit conduire vers des pages précises, utiles et directement convertibles en audit, en reprise documentaire ou en remédiation.
Sécurité des données
Mesures adaptées au risque, sécurité visible du site, gestion des accès, violation de données, documentation des choix techniques et capacité à démontrer une vraie maîtrise.
Ouvrir la pageDroits des personnes
Information, accès, rectification, effacement, opposition, limitation, portabilité, délais de réponse et organisation concrète lorsqu’une demande arrive réellement.
Ouvrir la pageFormulaires et prospection
Premier contact, champs demandés, base légale, preuve du consentement facultatif, logique B2B ou B2C et équilibre entre conversion et minimisation.
Ouvrir la pageSous-traitants, hébergement et flux
Hébergement, stockage privé, messagerie, sauvegardes, prestataires et circulation réelle des données qui soutiennent le site et ses traitements.
Ouvrir la pageTransferts hors UE et outils tiers
Outils SaaS, embeds, analytics, vidéos, cartes, chat et autres briques externes qui peuvent faire basculer l’analyse vers les transferts, le consentement ou la preuve.
Ouvrir la pageLe socle juridique à connaître
Une page réglementation utile ne doit pas noyer le lecteur. Elle doit montrer les textes et les articles qui structurent vraiment l’analyse d’un site.
Articles 5 et 6
Principes du traitement, finalité, minimisation, exactitude, conservation, sécurité et base légale. C’est le noyau dur de toute lecture RGPD sérieuse.
Articles 12 et 13
Information claire, accessible et compréhensible au moment de la collecte. Un site échoue souvent ici avant même d’entrer dans la technique.
Articles 15 à 22
Droits d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité et cadre de la décision automatisée.
Articles 24, 25, 30, 32 à 35
Responsabilité du responsable de traitement, protection dès la conception, registre, sécurité, violations de données et analyse d’impact.
Repère complémentaire
Les articles 37 à 39 concernent le délégué à la protection des données, l’article 58 les pouvoirs de la CNIL et l’article 83 les amendes administratives.
Ce qu’un site doit déjà rendre crédible
Un site public révèle immédiatement le niveau de maturité d’une structure. Il ne montre pas tout, mais il montre déjà beaucoup.
Sur le fond
- des finalités compréhensibles et non artificiellement floues ;
- des formulaires cohérents avec les données réellement demandées ;
- une information lisible sur les destinataires, les droits et les contacts utiles ;
- des textes publiés qui collent au fonctionnement réel du site.
Sur la méthode
- une logique propre sur les cookies et traceurs ;
- des premiers indices de sécurité et de gouvernance technique ;
- un canal identifiable pour les demandes liées aux droits ;
- une capacité apparente à documenter ce qui est fait et à le démontrer.
Ce que la CNIL peut regarder
Un contrôle n’est pas une abstraction. Il peut partir d’une réclamation, d’un thème prioritaire, d’un incident, d’une vérification en ligne ou d’un contrôle plus large.
Le visible
Pages juridiques, formulaires, cookies, coordonnées de contact, clarté de l’information, promesses affichées et cohérence générale.
La preuve
Registre des traitements, logique des bases légales, contrats de sous-traitance, politiques internes, preuves du consentement et éléments de gouvernance.
La technique
Sécurité, accès, scripts, chargements tiers, gestion des incidents, conservation, sauvegardes, documentation et cohérence entre le site et l’exploitation réelle.
Les suites
En vertu de l’article 58 du RGPD, la CNIL peut demander des informations, ordonner une mise en conformité, limiter un traitement et prononcer des mesures correctrices.
Les sanctions
L’article 83 du RGPD prévoit des amendes administratives effectives, proportionnées et dissuasives, auxquelles s’ajoutent l’impact réputationnel et le coût réel des corrections tardives.
Ce qu’un audit réglementaire doit remettre en ordre
Le bon audit ne se contente pas de relever des écarts. Il hiérarchise, explique, et relie les textes à des actions concrètes.
Identifier
Ce qui est visible, ce qui est incohérent, ce qui manque et ce qui crée déjà une fragilité sur le site ou dans la documentation publiée.
Qualifier
Le niveau de gravité, le texte concerné, la logique de contrôle possible et l’ordre réaliste de correction pour éviter une conformité seulement cosmétique.
Corriger
Le site, les textes, les traceurs, les formulaires, la logique de contact, la preuve documentaire et, si nécessaire, l’organisation interne qui soutient le tout.
La réglementation n’a de valeur que si elle devient exploitable
Un bon site RGPD ne récite pas le règlement. Il montre qu’une structure a compris les obligations, sait les traduire dans son site et peut défendre ses choix en cas de question, de réclamation ou de contrôle.