Retour au blogActualites

RGPD et sites web : le guide de conformite sans jargon juridique

5 février 202612 min de lecture

Les Sables Web

Fondateur, Les Sables Web

RGPDSecuriteAnalytics

Introduction

Le Reglement general sur la protection des donnees (RGPD) est entre en application le 25 mai 2018 dans toute l'Union europeenne. En France, il est complete par la loi Informatique et Libertes modifiee et controle par la CNIL (Commission nationale de l'informatique et des libertes).

Si votre site web collecte des donnees personnelles — et pratiquement tous le font, ne serait-ce que via les cookies analytics — vous etes concerne. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus eleve etant retenu.

En janvier 2024, la CNIL a inflige une amende de 32 millions d'euros a Amazon France pour des cookies deposes sans consentement. En avril 2023, c'est Criteo qui a ete sanctionne a hauteur de 40 millions d'euros.

Ce que le RGPD impose concretement

1. Le consentement pour les cookies

Depuis les lignes directrices de la CNIL de 2020, les regles sont claires :

  • Seuls les cookies strictement necessaires (authentification, panier d'achat, preferences de consentement) peuvent etre deposes sans consentement
  • Tous les autres cookies (analytics, publicite, reseaux sociaux) necessitent un consentement prealable, libre, eclaire et univoque
  • Le refus doit etre aussi simple que l'acceptation : un simple bouton « Tout refuser » au meme niveau que « Tout accepter »
  • Les cookie walls (bloquer l'acces au site sans consentement) sont interdits, sauf cas tres specifiques

La banniere de cookies conforme

Une banniere conforme doit :

  • Informer sur les finalites de chaque categorie de cookies
  • Offrir la possibilite d'accepter ou de refuser chaque finalite
  • Ne deposer aucun cookie non essentiel avant le choix de l'utilisateur
  • Permettre de modifier son choix a tout moment
  • Ne pas utiliser de « dark patterns » (bouton de refus cache, couleur trompeuse)

2. Les formulaires de contact

Chaque formulaire collectant des donnees personnelles doit :

  • Mentionner la finalite du traitement (« Ces donnees seront utilisees pour repondre a votre demande »)
  • Indiquer la duree de conservation des donnees
  • Mentionner les droits de l'utilisateur (acces, rectification, suppression)
  • Contenir un lien vers la politique de confidentialite
  • Ne collecter que les donnees strictement necessaires (principe de minimisation)

3. La politique de confidentialite

Votre site doit afficher une politique de confidentialite detaillant :

  • L'identite du responsable du traitement (vous ou votre entreprise)
  • Les categories de donnees collectees
  • Les finalites de chaque traitement
  • La base legale (consentement, interet legitime, execution d'un contrat)
  • Les destinataires des donnees (hebergeur, prestataire analytics, etc.)
  • Les transferts hors UE (si vous utilisez Google Analytics, les donnees transitent par les Etats-Unis)
  • La duree de conservation
  • Les droits des personnes et comment les exercer
  • Les coordonnees du DPO si vous en avez un, ou du point de contact

4. Le registre des traitements

Si votre entreprise emploie plus de 250 salaries, ou si vous traitez des donnees sensibles, vous devez tenir un registre des traitements. En pratique, meme les petites structures ont interet a en maintenir un.

Google Analytics et le RGPD

Le probleme des transferts de donnees

En fevrier 2022, la CNIL a juge que l'utilisation de Google Analytics (Universal Analytics) etait contraire au RGPD, car les donnees personnelles etaient transferees aux Etats-Unis sans garanties suffisantes.

Les solutions

Depuis juillet 2023, le Data Privacy Framework (DPF) UE-Etats-Unis fournit un cadre pour ces transferts. Google Analytics 4 (GA4) est theoriquement conforme si :

  • Vous anonymisez les adresses IP
  • Vous desactivez les signaux Google (partage de donnees avec Google Ads)
  • Vous obtenez le consentement avant le depot des cookies

Les alternatives

Pour eviter toute ambiguite, des alternatives europeennes existent :

  • Matomo (France) : open source, hebergement en France possible
  • Plausible (Estonie) : leger, sans cookies, conforme par design
  • Pirsch (Allemagne) : analytics minimaliste, serveurs en Allemagne

Les droits des utilisateurs

Le RGPD confere huit droits aux personnes :

  1. Droit d'acces : obtenir une copie de ses donnees
  2. Droit de rectification : corriger des donnees inexactes
  3. Droit a l'effacement (« droit a l'oubli ») : demander la suppression
  4. Droit a la limitation : restreindre le traitement
  5. Droit a la portabilite : recevoir ses donnees dans un format lisible
  6. Droit d'opposition : s'opposer a certains traitements
  7. Droit de ne pas faire l'objet d'une decision automatisee
  8. Droit de retirer son consentement a tout moment

Vous devez repondre a toute demande dans un delai d'un mois.

Conclusion

La conformite RGPD n'est pas un projet ponctuel mais une demarche continue. Commencez par les bases : une banniere de cookies conforme, une politique de confidentialite a jour et des formulaires qui respectent le principe de minimisation. En cas de doute, la CNIL publie de nombreux guides pratiques sur son site cnil.fr.

Partager :
Contact

Parlons de votre projet

Decrivez votre besoin en quelques lignes. Je vous reponds sous 24h avec une premiere analyse et un devis gratuit, sans engagement.

Appelez-moi directement

07 72 20 10 42

En soumettant ce formulaire, vous acceptez que vos donnees soient utilisees pour repondre a votre demande. Aucune donnee n'est partagee avec des tiers. Politique de confidentialite. Ce site est protege par reCAPTCHA et les Regles de confidentialite et Conditions d'utilisation de Google s'appliquent.