Actualités SWIM
Marine Cahn rejoint SWIM en tant que Directrice Générale
RGPD et site internet : toutes les obligations légales pour être conforme
Points clés de l'article
- Le RGPD impose aux sites internet professionnels des obligations précises en matière d'information, de consentement et de sécurité des données personnelles.
- Les mentions légales, la politique de confidentialité et le bandeau cookies constituent le socle documentaire minimal exigé.
- Chaque formulaire collectant des données doit être sécurisé (chiffrement, minimisation, base légale identifiée).
- Les visiteurs disposent de droits d'accès, de rectification, d'opposition et d'effacement que le site doit permettre d'exercer facilement.
- Les sanctions CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, auxquelles s'ajoutent des risques réputationnels.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
RGPD et site internet : ce que dit la réglementation
Mentions légales obligatoires sur un site web professionnel
Politique de confidentialité : contenu et bonnes pratiques
Gestion des cookies et traceurs : consentement et bandeau conforme
Sécurisation des formulaires et des données collectées
Information et droits des visiteurs (accès, rectification, opposition)
Sanctions CNIL en cas de non-conformité d'un site internet
FAQ : questions fréquentes sur le RGPD appliqué au site web
RGPD et site internet : ce que dit la réglementation
Le RGPD (règlement général sur la protection des données), entré en application le 25 mai 2018, s'applique à tout organisme qui collecte ou traite des données personnelles de résidents européens. Un site internet professionnel est, par nature, un point de collecte : adresses e-mail saisies dans un formulaire de contact, adresses IP enregistrées par les serveurs, identifiants déposés via des cookies. Chacune de ces opérations constitue un traitement au sens de l'article 4 du règlement.
En France, la CNIL (Commission nationale de l'informatique et des libertés) veille à l'application du RGPD et de la loi Informatique et Libertés modifiée. Elle a prononcé, entre janvier 2022 et décembre 2024, plus de 100 sanctions publiques, dont une part significative vise des manquements liés aux sites web : défaut de bandeau cookies, absence de politique de confidentialité ou collecte excessive de données via des formulaires.
Pour une direction juridique, la conformité du RGPD sur un site internet ne se limite pas à un exercice documentaire. Elle engage la responsabilité du responsable de traitement — c'est-à-dire l'entreprise elle-même — et suppose une coordination entre les équipes juridiques, IT et marketing.
Mentions légales obligatoires sur un site web professionnel
Les mentions légales sont exigées par l'article 6 de la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004. Elles ne relèvent pas directement du RGPD, mais leur absence constitue une infraction pénale passible de 75 000 € d'amende pour une personne morale.
Le site doit afficher de manière accessible :
- La raison sociale, le siège social, le numéro d'immatriculation (RCS ou RM) et le capital social de l'entreprise.
- Le nom du directeur de la publication.
- Les coordonnées de l'hébergeur (nom, adresse, téléphone).
- Le numéro de TVA intracommunautaire pour les sites marchands.
Ces mentions doivent figurer sur une page dédiée, accessible depuis toutes les pages du site (généralement via le pied de page). Elles servent de socle d'identification et conditionnent la transparence exigée par le RGPD : un visiteur doit pouvoir identifier sans ambiguïté le responsable de traitement avant de communiquer ses données.
| Élément | Base légale | Sanction en cas d'absence |
|---|---|---|
| Raison sociale, siège, RCS | LCEN, art. 6 | Jusqu'à 75 000 € (personne morale) |
| Directeur de la publication | LCEN, art. 6 | Jusqu'à 75 000 € |
| Coordonnées de l'hébergeur | LCEN, art. 6 | Jusqu'à 75 000 € |
| Identité du responsable de traitement | RGPD, art. 13 | Jusqu'à 20 M€ ou 4 % du CA mondial |
Politique de confidentialité : contenu et bonnes pratiques
La politique de confidentialité traduit l'obligation d'information prévue aux articles 13 et 14 du RGPD. Elle doit être rédigée en termes clairs, compréhensibles par un non-juriste, et accessible avant toute collecte de données.
Son contenu minimal comprend :
- L'identité et les coordonnées du responsable de traitement et, le cas échéant, du délégué à la protection des données (DPO).
- Les finalités de chaque traitement (prospection commerciale, gestion de commandes, statistiques de fréquentation) et la base légale correspondante (consentement, intérêt légitime, exécution contractuelle).
- Les catégories de données collectées et les destinataires (sous-traitants, partenaires, hébergeurs).
- La durée de conservation de chaque catégorie de données.
- Les droits des personnes concernées et les modalités pour les exercer.
- L'existence éventuelle de transferts hors UE et les garanties associées (clauses contractuelles types, décision d'adéquation).
Une erreur fréquente consiste à utiliser un modèle générique sans l'adapter aux traitements réels du site. La CNIL a sanctionné en 2023 plusieurs entreprises dont la politique de confidentialité mentionnait des finalités inexistantes ou omettait des transferts vers des prestataires américains. La direction juridique doit donc auditer chaque flux de données avant de rédiger ou valider ce document.
Structurer une politique de confidentialité conforme suppose une cartographie précise des traitements de données du site.
Consultez un avocat spécialisé en protection des données
Gestion des cookies et traceurs : consentement et bandeau conforme
Depuis les lignes directrices de la CNIL du 1er octobre 2020 et la recommandation du 17 septembre 2020, le dépôt de cookies et traceurs sur le terminal d'un visiteur requiert un consentement préalable, libre, spécifique, éclairé et univoque. Seuls les cookies strictement nécessaires au fonctionnement du site (authentification, panier d'achat) en sont exemptés.
Le bandeau cookies conforme doit respecter plusieurs exigences :
- Présenter les finalités de chaque catégorie de cookies de manière distincte (analytique, publicitaire, réseaux sociaux).
- Offrir un bouton « Tout refuser » aussi visible et accessible que le bouton « Tout accepter ».
- Permettre un paramétrage finalité par finalité avant toute validation.
- Ne déposer aucun traceur tant que le visiteur n'a pas exprimé son choix.
- Conserver la preuve du consentement et permettre son retrait à tout moment.
La CNIL a infligé en décembre 2022 une amende de 60 millions d'euros à Microsoft Ireland pour des cookies publicitaires déposés sans consentement valide sur le moteur de recherche Bing. En janvier 2022, elle avait sanctionné Google (150 millions d'euros) et Facebook (60 millions d'euros) pour des mécanismes de refus trop complexes. Ces décisions illustrent le niveau d'exigence appliqué à la gestion des cookies.
| Catégorie de cookie | Consentement requis ? | Exemple |
|---|---|---|
| Strictement nécessaire | Non | Cookie de session, panier |
| Analytique / mesure d'audience | Oui (sauf exemption CNIL pour certains outils) | Google Analytics, Matomo exempté sous conditions |
| Publicitaire / ciblage | Oui | Google Ads, Meta Pixel |
| Réseaux sociaux | Oui | Boutons de partage Facebook, LinkedIn |
Sécurisation des formulaires et des données collectées
Chaque formulaire présent sur un site internet (contact, inscription, téléchargement, commande) constitue un point de collecte de données personnelles. L'article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque.
Les mesures attendues incluent :
- Le chiffrement HTTPS (certificat SSL/TLS) sur l'ensemble du site, et en particulier sur les pages contenant des formulaires.
- La minimisation des champs : ne collecter que les données strictement nécessaires à la finalité déclarée.
- L'affichage d'une mention d'information courte sous chaque formulaire, renvoyant vers la politique de confidentialité.
- La case de consentement non pré-cochée lorsque la base légale est le consentement (par exemple pour l'inscription à une newsletter).
- La mise en place de captchas ou de mécanismes anti-spam pour protéger les données contre les accès non autorisés.
La direction juridique doit vérifier que les données collectées via les formulaires sont stockées dans des bases sécurisées, avec des accès restreints et des durées de conservation définies. Un audit technique annuel est recommandé pour identifier les vulnérabilités.
La sécurisation des formulaires engage à la fois la conformité RGPD et la responsabilité civile de l'entreprise en cas de fuite de données.
Faites auditer votre conformité par un avocat en protection des données
Information et droits des visiteurs (accès, rectification, opposition)
Le RGPD confère aux personnes concernées un ensemble de droits que le site internet doit permettre d'exercer de manière effective. Ces droits sont énumérés aux articles 15 à 22 du règlement :
- Droit d'accès (art. 15) : obtenir la confirmation que des données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression des données lorsque le traitement n'est plus justifié.
- Droit d'opposition (art. 21) : s'opposer à un traitement fondé sur l'intérêt légitime ou à la prospection commerciale.
- Droit à la portabilité (art. 20) : récupérer ses données dans un format structuré et lisible par machine.
- Droit à la limitation (art. 18) : geler temporairement un traitement en cas de contestation.
Le site doit indiquer clairement les modalités d'exercice de ces droits : adresse e-mail dédiée, formulaire en ligne, coordonnées du DPO. Le responsable de traitement dispose d'un délai d'1 mois pour répondre, prolongeable de 2 mois en cas de complexité. L'absence de réponse ou un refus non motivé expose l'entreprise à une plainte auprès de la CNIL.
Sanctions CNIL en cas de non-conformité d'un site internet
Le RGPD prévoit deux niveaux de sanctions administratives. Les manquements aux obligations de transparence, d'information et de consentement relèvent du plafond le plus élevé : 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu.
En pratique, la CNIL procède par étapes :
- Contrôle (en ligne, sur place ou sur pièces) déclenché par une plainte, un signalement ou une initiative propre.
- Mise en demeure avec un délai de mise en conformité (généralement 1 à 6 mois).
- Sanction en cas de manquement persistant, pouvant inclure une amende, une injonction de mise en conformité et une publicité de la décision.
La publicité de la sanction constitue un risque réputationnel souvent sous-estimé. En 2023, la CNIL a rendu publiques 42 décisions de sanction. Pour une direction juridique, anticiper un contrôle suppose de documenter la conformité du site : registre des traitements, preuves de consentement cookies, procédures de réponse aux demandes d'exercice de droits.
La conformité RGPD d'un site internet se prépare en amont, pas au moment du contrôle.
Anticipez avec un avocat spécialisé en protection des données
FAQ : questions fréquentes sur le RGPD appliqué au site web
Un site vitrine sans formulaire est-il soumis au RGPD ?
Oui. Dès lors qu'un site dépose des cookies non essentiels ou enregistre des adresses IP via ses serveurs, il traite des données personnelles. Les obligations d'information et de consentement s'appliquent, même en l'absence de formulaire.
Quelle différence entre mentions légales et politique de confidentialité ?
Les mentions légales identifient l'éditeur du site et son hébergeur (obligation LCEN). La politique de confidentialité détaille les traitements de données personnelles, leurs finalités et les droits des visiteurs (obligation RGPD). Les deux documents sont obligatoires et complémentaires.
Google Analytics est-il conforme au RGPD ?
Google Analytics 4 nécessite le consentement préalable du visiteur, sauf configuration spécifique validée par la CNIL. L'outil Matomo, en revanche, bénéficie d'une exemption de consentement sous certaines conditions (données anonymisées, hébergement en Europe). Le choix de l'outil analytique doit être validé par la direction juridique.
Combien de temps conserver les preuves de consentement cookies ?
La CNIL recommande de conserver les preuves de consentement pendant toute la durée de validité du cookie, soit 25 mois maximum. Au-delà, le consentement doit être recueilli à nouveau. Les preuves doivent être horodatées et associées à un identifiant unique.
Que risque une entreprise en cas de plainte d'un visiteur auprès de la CNIL ?
La CNIL instruit la plainte et peut déclencher un contrôle. Si un manquement est constaté, l'entreprise reçoit une mise en demeure assortie d'un délai de correction. En cas de non-conformité persistante, une sanction financière et la publicité de la décision peuvent être prononcées.
Pour aller plus loin
RGPD en pratique : communiquer en ligne - CNIL
Cookies et traceurs : que dit la loi - CNIL
Cookies et traceurs : comment mettre mon site web en conformité - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
