Check-list RGPD pour ton site web — les points qui concernent vraiment ton site | Scanthra

Scanthra · 7 min de lecture · Mis à jour Mai 2026

À qui s'applique le RGPD ?

Le Règlement général sur la protection des données (Règlement (UE) 2016/679) s'applique dès lors que tu traites des données personnelles de personnes physiquement dans l'UE/EEE, même si ton entreprise est enregistrée ailleurs. Une boutique américaine qui vend à des Allemands, un freelance polonais avec des clients français, une société de conseil suisse qui collecte des prospects dans l'UE — tous sont dans le périmètre.

« Données personnelles » est plus large que la plupart des gens ne le pensent : nom, e-mail, adresse IP, identifiants de cookies, empreintes numériques des appareils. Donc presque tous les sites web en traitent.

1. Politique de confidentialité (Art. 13)

Tu dois indiquer aux personnes quelles données tu collectes, pourquoi, sur quelle base juridique, pendant combien de temps, et quels sont leurs droits. En langage clair, sur une page accessible depuis toutes les autres pages (le pied de page est l'endroit standard).

Sections minimales à inclure :

• Identité du responsable de traitement + coordonnées.
• Finalités du traitement et base juridique (consentement / contrat / intérêt légitime / obligation légale).
• Catégories de données et destinataires (fournisseurs d'analytics, messagerie, hébergement).
• Durées de conservation.
• Droits des personnes concernées (accès, rectification, effacement, portabilité, opposition) et comment les exercer.
• Si des données quittent l'UE/EEE et quelles garanties s'appliquent (CCT, décision d'adéquation).
• Le droit d'introduire une réclamation auprès d'une autorité de contrôle.

2. Bandeau cookies (ePrivacy + RGPD)

Les cookies non essentiels (analytics, publicité, pixels marketing) nécessitent un consentement préalable, éclairé et librement donné. La vague de mise en application 2024–2025 dans l'UE a clarifié ce que ça signifie en pratique :

• « Tout refuser » doit être aussi facile que « Tout accepter » — même écran, même mise en avant. Pas de dark patterns.
• Pas de suivi avant que l'utilisateur ait choisi. Ne déclenche pas Google Analytics au chargement de la page.
• Les cookies essentiels (session, CSRF, préférence de langue) sont autorisés sans consentement — mais sois honnête sur ce qui est vraiment essentiel.
• Re-demande après 6 à 12 mois ; le consentement n'est pas permanent.

La plupart des plateformes de gestion du consentement (Cookiebot, Iubenda, alternatives libres comme Klaro) font ça correctement par défaut. Le problème d'audit le plus courant : des gens qui déclenchent GTM avant que le bandeau renvoie « accepter ».

3. Canal de demande des droits des personnes concernées

Un utilisateur doit pouvoir demander l'accès à ses données, leur correction ou leur suppression. Tu as 30 jours pour répondre (Art. 12(3)). Pour la plupart des petits sites, un simple formulaire ou une adresse e-mail suffit — ce qui compte, c'est que le canal existe, soit facile à trouver et soit surveillé.

Scanthra a son propre formulaire de demande de suppression de données à titre d'exemple public.

4. HTTPS partout (Art. 32)

L'article 32 exige des « mesures techniques appropriées » pour protéger les données personnelles. Un formulaire de connexion, un formulaire de contact ou un paiement transmis en HTTP est la manière la plus simple de démontrer un manquement à cette exigence. Le TLS/SSL (chiffrement) moderne est gratuit (Let's Encrypt) et en une commande dans la plupart des configurations. Consulte notre guide TLS pour les détails.

5. Plan de notification de violation (Art. 33–34)

Si une violation est susceptible de présenter un risque pour les droits et libertés des personnes, tu dois notifier ton autorité de contrôle dans les 72 heures suivant la prise de connaissance. Si le risque est élevé, tu dois aussi notifier les personnes concernées « dans les meilleurs délais ».

Prérequis au niveau du site :

• Une page ou un lien en pied de page expliquant comment les utilisateurs peuvent signaler un problème de sécurité (voir notre guide security.txt).
• Un guide interne qui définit « quel type d'incident déclenche une notification dans les 72 heures » — pour ne pas perdre les premières 24 heures à en débattre.
• Un accès au portail de ton autorité de contrôle (ex. CNIL, BfDI, UODO, Garante, AEPD) — enregistré avant que tu en aies besoin.

6. Registre des activités de traitement (Art. 30)

Pas visible sur le site, mais généré par le site. Tu dois tenir un registre écrit de chaque manière dont tu traites des données personnelles : le formulaire de contact, la newsletter, le système de réservation, les analytics, le pixel de remarketing, le chat de support. Chaque entrée liste la finalité, les catégories, les destinataires, la conservation et les mesures de sécurité.

Un simple tableur fonctionne. L'essentiel est d'en avoir un — les amendes de 100 000 € publiées par diverses autorités de protection ces deux dernières années citent souvent « aucun registre de l'article 30 fourni » comme circonstance aggravante.

7. Transferts internationaux (Chap. V)

Si ton outil d'analytics, ta messagerie ou ton CRM est aux États-Unis (Google Analytics, HubSpot, Mailchimp, Klaviyo), tu transfères des données personnelles hors de l'UE. Depuis le 10 juillet 2023, le Cadre de protection des données UE–États-Unis fournit une décision d'adéquation pour les entreprises américaines participantes. Sinon, tu as besoin de Clauses contractuelles types signées avec le fournisseur et idéalement d'une analyse d'impact du transfert.

La plupart des grands fournisseurs SaaS ont un « Avenant de traitement des données RGPD » téléchargeable en un clic. Signe-le et conserves-en une copie.

L'audit au niveau du site, en 30 minutes

1. Ouvre ta politique de confidentialité depuis le pied de page. Couvre-t-elle les sept points de l'Art. 13 ?
2. Visite ton site en navigation privée. Le bandeau affiche-t-il « Tout refuser » avec la même visibilité ?
3. Ouvre l'onglet réseau avant de cliquer sur le bandeau. Des requêtes analytics/marketing se déclenchent-elles déjà ? Elles ne devraient pas.
4. Trouve le canal de demande de suppression. Est-il accessible en deux clics depuis la page d'accueil ?
5. Visite ton site en HTTP (ex. http://tonsite.com) — redirige-t-il vers HTTPS ?
6. Ouvre /.well-known/security.txt. Existe-t-il ?

Comment Scanthra aide

La carte de conformité de Scanthra dans le rapport PDF associe chaque problème détecté à l'article du RGPD correspondant (le plus souvent l'Art. 32). Les points qui touchent directement au RGPD — HTTPS manquant, en-têtes de sécurité manquants, identifiants exposés, security.txt manquant — sont signalés avec leur impact technique et leur angle de conformité.

Cet article est fourni à titre d'information générale et ne constitue pas un conseil juridique. Pour une interprétation contraignante du RGPD, consulte un avocat qualifié ou ton autorité nationale de protection des données.