Introduction
Vous lancez votre site vitrine et votre prestataire vous parle de RGPD, de conformité CNIL, de bandeau cookies. Vous vous demandez si tout ça vous concerne vraiment alors que vous n'avez qu'un simple formulaire de contact et peut-être Google Analytics pour suivre vos statistiques. Vous espérez secrètement que c'est votre prestataire qui s'occupe de tout ça et qui sera responsable si la CNIL vient toquer à votre porte.
La réalité est brutale et mérite d'être clarifiée immédiatement : vous, en tant que propriétaire du site, êtes le responsable légal de sa conformité au RGPD et aux règles de la CNIL sur les cookies. Même si c'est votre prestataire qui a installé tous les outils, tous les trackers, tous les formulaires, c'est vous qui êtes personnellement responsable devant la loi. Et les amendes peuvent aller jusqu'à quatre pour cent de votre chiffre d'affaires annuel, ou vingt millions d'euros, le montant le plus élevé étant retenu. Pour une TPE, on parle plutôt de sanctions entre cinq mille et cinquante mille euros, ce qui reste extrêmement douloureux.
Dans cet article, je vous explique précisément ce qu'est votre responsabilité légale en tant qu'éditeur de site, quels sont les trois documents obligatoires que vous devez absolument avoir, qui doit les fournir et comment, et surtout comment mettre en place un bandeau cookies qui soit vraiment conforme aux exigences strictes de la CNIL. Pas de langue de bois, juste les faits et les obligations concrètes pour que vous sachiez exactement où vous mettez les pieds.
Votre responsabilité légale : le principe d'accountability que personne ne vous explique
Vous êtes le responsable du traitement, même si vous n'y comprenez rien
Le RGPD, le Règlement Général sur la Protection des Données qui s'applique dans toute l'Union Européenne depuis deux mille dix-huit, définit très clairement qui est responsable : c'est vous, l'éditeur du site, que vous soyez une personne physique ou une société. Dans le jargon juridique, on vous appelle le "responsable du traitement". Ça signifie que c'est vous qui décidez pourquoi et comment les données personnelles de vos visiteurs sont collectées et utilisées.
Dès que votre site capte une seule donnée personnelle, vous tombez sous le coup du RGPD. Et une donnée personnelle, c'est n'importe quelle information qui permet d'identifier directement ou indirectement une personne : un nom, un prénom, une adresse email, un numéro de téléphone, une adresse IP, un identifiant de cookie. Même votre simple formulaire de contact qui demande juste un nom et un email fait de vous un responsable de traitement soumis au RGPD.
Ce qui est crucial à comprendre, c'est que cette responsabilité ne peut pas être déléguée. Même si vous confiez à votre agence web la gestion technique de votre site, même si c'est elle qui a installé Google Analytics et Facebook Pixel, même si vous ne savez pas comment tout ça fonctionne techniquement, c'est vous qui restez responsable légalement. Votre prestataire a une responsabilité contractuelle envers vous de faire les choses correctement, mais face à la CNIL, c'est vous qui êtes sur le banc des accusés.
Le principe d'accountability : vous devez pouvoir prouver votre conformité
Le RGPD introduit un concept juridique fondamental appelé "accountability" en anglais, qu'on traduit par "responsabilisation" ou "obligation de rendre des comptes". Concrètement, ça veut dire deux choses. D'abord, vous devez mettre en place toutes les mesures nécessaires pour être conforme au RGPD. Ensuite, et c'est là que ça devient sérieux, vous devez être capable de prouver à tout moment que vous êtes conforme.
Cette obligation de preuve change tout. Il ne suffit pas d'avoir un bandeau cookies qui ressemble vaguement à ce que vous voyez sur d'autres sites. Il ne suffit pas d'avoir copié-collé une politique de confidentialité trouvée sur internet. Vous devez être capable de démontrer à la CNIL, si elle vous contrôle, que votre bandeau cookies enregistre bien le consentement de chaque visiteur, que ce consentement est libre et éclairé, que les visiteurs peuvent facilement retirer leur consentement, et que vous ne déposez aucun cookie non autorisé avant d'avoir obtenu l'accord explicite.
Dans la pratique, l'accountability se matérialise par une documentation complète et à jour. Vous devez avoir des mentions légales claires qui identifient qui vous êtes. Vous devez avoir une politique de confidentialité détaillée qui explique exactement quelles données vous collectez, pourquoi, combien de temps vous les gardez, et comment les gens peuvent exercer leurs droits. Vous devez avoir un système de gestion du consentement aux cookies qui garde une trace horodatée de chaque acceptation ou refus. Et vous devez pouvoir produire tous ces éléments immédiatement si la CNIL vous le demande.
Les amendes sont réelles et elles tombent sur des sites comme le vôtre
Beaucoup d'entrepreneurs pensent encore que les sanctions RGPD ne concernent que les GAFA et les grosses entreprises. C'est complètement faux. La CNIL française contrôle régulièrement des TPE et des PME et n'hésite pas à sanctionner financièrement quand elle constate des manquements graves. Pour vous donner des exemples concrets et récents, le journal Le Figaro a été condamné à cinquante mille euros d'amende pour avoir déposé des cookies publicitaires sans recueillir le consentement préalable des utilisateurs. C'est un grand groupe de presse avec des avocats et des experts juridiques, et ils se sont quand même fait sanctionner.
Plus récemment, en deux mille vingt-quatre, la CNIL a infligé des amendes à Google et à SHEIN pour des violations des règles sur les cookies. Google a écopé de quatre-vingt-dix millions d'euros, SHEIN de trois millions. Ces montants peuvent vous sembler astronomiques et loin de votre réalité de TPE, mais ils illustrent que la CNIL ne plaisante pas avec les cookies et le consentement. Pour une petite entreprise, une amende de cinq à dix mille euros représente déjà un coup très dur. Et surtout, au-delà de l'amende, il y a le risque de publicité négative et de perte de confiance de vos clients.
Le risque n'est donc pas théorique. La CNIL mène des campagnes de contrôle thématiques où elle vérifie des dizaines ou des centaines de sites sur un sujet précis, par exemple la conformité des bandeaux cookies. Si votre site tombe dans le radar lors d'une de ces campagnes et qu'elle constate que votre bandeau ne permet pas de refuser aussi facilement qu'accepter, ou que des cookies se déposent avant le consentement, vous recevrez d'abord une mise en demeure de vous mettre en conformité sous un certain délai. Si vous ne corrigez pas dans les temps, l'amende tombe. C'est aussi simple et mécanique que ça.
Le triptyque documentaire obligatoire : ce que vous devez absolument avoir
Les mentions légales : votre carte d'identité juridique publique
Les mentions légales, c'est le premier document obligatoire pour tout site internet professionnel, qu'il soit vitrine, e-commerce ou autre. Elles servent à identifier clairement qui est derrière le site, aussi bien le propriétaire que l'hébergeur technique. Cette obligation vient de la loi pour la confiance dans l'économie numérique de deux mille quatre, donc elle existe depuis bien avant le RGPD et elle s'applique à absolument tous les sites professionnels sans exception.
Pour une entreprise, une société, une association, bref toute personne morale, les mentions légales doivent obligatoirement contenir plusieurs informations précises. D'abord, la dénomination sociale exacte de votre entreprise telle qu'elle apparaît au registre du commerce et des sociétés, ainsi que votre numéro SIRET. Ensuite, votre forme juridique : SARL, SAS, EURL, auto-entrepreneur, association loi mille neuf cent un, etc. Puis le montant de votre capital social si vous en avez un. Et enfin l'adresse complète de votre siège social.
Concernant l'hébergeur, vous devez mentionner son nom ou sa raison sociale, son adresse, son numéro SIRET, et un numéro de téléphone. La plupart des hébergeurs fournissent ces informations sur leur site dans une page dédiée aux mentions légales pour hébergeurs, vous n'avez qu'à les copier. Si vous ne savez pas qui est votre hébergeur, demandez à votre prestataire web, c'est lui qui a souscrit le contrat d'hébergement pour vous normalement.
Il y a aussi une obligation souvent oubliée concernant la propriété intellectuelle. Si vous utilisez des photos, des illustrations, des icônes qui ne sont pas les vôtres, vous devez créditer leurs auteurs dans vos mentions légales, sauf si vous avez acheté une licence qui vous en dispense explicitement. Beaucoup de sites utilisent des photos de banques d'images libres de droits comme Unsplash ou Pexels. Même si ces photos sont gratuites, vous devriez quand même mentionner leur provenance et idéalement créditer les photographes.
Les mentions légales doivent être facilement accessibles depuis n'importe quelle page de votre site. En pratique, ça signifie un lien bien visible dans le pied de page, généralement appelé "Mentions légales" tout simplement. Ne cachez pas ce lien en minuscule en gris clair sur fond gris foncé, la loi impose que l'information soit "facile à consulter". Si un inspecteur de la DGCCRF ou un visiteur ne trouve pas vos mentions légales en quelques secondes, vous êtes en infraction.
La politique de confidentialité : l'engagement RGPD complet
La politique de confidentialité, qu'on appelle aussi parfois "politique de protection des données personnelles" ou "notice d'information RGPD", c'est le document central de votre conformité au règlement européen. Elle doit exister sur tous les sites qui collectent des données personnelles, donc sur absolument tous les sites professionnels puisque vous avez au minimum un formulaire de contact ou un outil de statistiques.
Ce document répond à une obligation très précise définie par l'article treize du RGPD : vous devez informer les personnes concernées, c'est-à-dire vos visiteurs, de la manière dont vous traitez leurs données personnelles. Cette information doit être donnée au moment de la collecte des données, de manière concise, transparente, compréhensible et facilement accessible, dans des termes clairs et simples. En français, ça veut dire que votre politique de confidentialité ne doit pas être un pavé de jargon juridique incompréhensible de vingt pages.
La politique de confidentialité doit obligatoirement contenir plusieurs éléments. D'abord, l'identité et les coordonnées du responsable du traitement, c'est-à-dire vous, votre entreprise. Mettez votre raison sociale, votre adresse, et surtout une adresse email de contact spécifique pour les demandes liées aux données personnelles. Certaines entreprises créent une adresse dédiée comme "donnees@monentreprise.fr" ou "rgpd@monentreprise.fr", mais votre adresse de contact générale peut suffire si vous êtes une TPE.
Ensuite, vous devez lister précisément quelles données vous collectez et pourquoi. Si vous avez un formulaire de contact qui demande nom, prénom, email, téléphone et message, dites-le clairement : "Nous collectons votre nom, prénom, adresse email, numéro de téléphone et le contenu de votre message via notre formulaire de contact dans le seul but de répondre à votre demande." Si vous utilisez Google Analytics, précisez : "Nous utilisons Google Analytics pour mesurer l'audience de notre site et améliorer son contenu. Cet outil collecte des données de navigation anonymisées."
Vous devez aussi indiquer la base légale de chaque traitement. La base légale, c'est ce qui vous autorise juridiquement à traiter ces données. Pour un formulaire de contact, c'est généralement le consentement de la personne qui remplit le formulaire volontairement. Pour Google Analytics, c'est votre intérêt légitime à mesurer l'audience de votre site, à condition d'anonymiser les données et de demander le consentement via le bandeau cookies. Pour une newsletter, c'est le consentement explicite que la personne donne en cochant une case.
La durée de conservation est un point crucial souvent négligé. Vous ne pouvez pas garder les données personnelles indéfiniment "au cas où". Vous devez définir une durée raisonnable et proportionnée à la finalité. Pour les messages du formulaire de contact, une durée de conservation d'un an est généralement raisonnable. Pour les données d'analytics, Google Analytics conserve les données pendant quatorze mois par défaut, vous devez le mentionner. Pour une base de contacts newsletter, vous pouvez garder les données tant que la personne reste abonnée, mais vous devez les supprimer après un certain délai d'inactivité, par exemple trois ans sans ouverture d'email.
Vous devez expliquer les droits des personnes et comment ils peuvent les exercer. Le RGPD accorde six droits fondamentaux : le droit d'accès à leurs données, le droit de rectification si les données sont inexactes, le droit d'effacement dans certaines conditions, le droit d'opposition au traitement, le droit à la limitation du traitement, et le droit à la portabilité des données. Pour chaque droit, expliquez concrètement comment faire : "Pour exercer vos droits, vous pouvez nous contacter par email à contact@monentreprise.fr ou par courrier à l'adresse de notre siège social mentionnée ci-dessus. Nous nous engageons à vous répondre dans un délai d'un mois."
Enfin, vous devez mentionner si vous partagez les données avec des tiers. Si vous utilisez un hébergeur, c'est un tiers. Si vous utilisez Google Analytics, Google est un tiers. Si vous avez intégré un chat en ligne comme Intercom ou Crisp, c'est un tiers. Listez-les tous et expliquez dans quel but vous leur transmettez les données. Précisez aussi si des données sont transférées hors de l'Union Européenne, ce qui est le cas avec la plupart des outils américains, et expliquez les garanties que vous avez mises en place pour protéger ces données.
| Section obligatoire | Ce qu'elle doit contenir | Exemple concret pour un site vitrine | Piège courant à éviter | |-------------------|-------------------------|-------------------------------------|----------------------| | Identité du responsable | Nom entreprise, adresse, email contact RGPD | "Entreprise ABC, SARL au capital de 10 000 €, 123 rue du Commerce 75001 Paris, contact@entrepriseabc.fr" | Oublier l'adresse email de contact spécifique | | Données collectées et finalités | Liste exhaustive des données et leur usage | "Nom, prénom, email via formulaire de contact pour répondre à vos demandes" | Être trop vague : "données nécessaires au fonctionnement du site" | | Base légale | Justification juridique du traitement | "Consentement pour la newsletter, intérêt légitime pour les statistiques" | Ne pas distinguer les bases légales selon les traitements | | Durée de conservation | Combien de temps les données sont gardées | "12 mois pour les messages de contact, 14 mois pour les statistiques Analytics" | Dire "aussi longtemps que nécessaire" sans précision | | Droits des personnes | Comment exercer les 6 droits RGPD | "Email à rgpd@monentreprise.fr, réponse sous 1 mois" | Ne pas expliquer concrètement la procédure | | Partage avec des tiers | Qui reçoit les données et pourquoi | "OVH (hébergeur), Google (analytics), Crisp (chat support client)" | Oublier de mentionner tous les outils tiers utilisés |
Le bandeau cookies : l'interface du consentement qui doit être irréprochable
Le bandeau cookies, qu'on appelle techniquement une Consent Management Platform ou CMP, c'est l'outil qui gère le consentement de vos visiteurs pour les traceurs que vous utilisez sur votre site. Attention, on parle ici de "cookies" par habitude, mais la réglementation couvre tous les traceurs : cookies, local storage, fingerprinting, pixels de tracking, etc. Dès que vous déposez quelque chose sur le terminal de l'utilisateur pour le suivre ou le reconnaître, vous devez demander son consentement.
La règle de base, établie par la directive ePrivacy européenne et transposée en France dans l'article quatre-vingt-deux de la loi Informatique et Libertés, est simple : vous devez informer l'utilisateur et obtenir son consentement préalable et univoque avant de déposer ou de lire tout traceur, sauf pour ceux qui sont strictement nécessaires au service demandé. Les traceurs strictement nécessaires, ce sont uniquement ceux sans lesquels le site ne peut pas fonctionner : un cookie de panier d'achat sur un site e-commerce, un cookie de session pour rester connecté, un cookie de choix de langue. Tout le reste nécessite un consentement.
La CNIL a défini très précisément ce qu'est un consentement valide. Il doit respecter quatre critères cumulatifs définis par l'article quatre alinéa onze du RGPD. Le consentement doit être libre, c'est-à-dire que l'utilisateur doit avoir une vraie possibilité de refuser sans subir de préjudice. Ça signifie que vous ne pouvez pas bloquer l'accès à votre site si quelqu'un refuse les cookies, ce qu'on appelle un "cookie wall". Certains sites le font encore, mais c'est illégal en France selon la CNIL, sauf cas très particuliers pour les sites payants.
Le consentement doit être spécifique, c'est-à-dire donné séparément pour chaque finalité distincte. Vous ne pouvez pas avoir une seule case à cocher pour tout. Vous devez permettre à l'utilisateur de choisir séparément d'accepter les cookies de mesure d'audience, de refuser les cookies publicitaires, et d'accepter les cookies de réseaux sociaux par exemple. Les bonnes CMP proposent plusieurs catégories de cookies que l'utilisateur peut activer ou désactiver indépendamment.
Le consentement doit être éclairé, ce qui signifie que l'utilisateur doit comprendre clairement à quoi il consent. Votre bandeau doit expliquer en termes simples quels types de cookies vous utilisez et à quoi ils servent. Pas besoin d'une explication technique de vingt pages, mais au minimum quelque chose comme : "Nous utilisons des cookies pour mesurer l'audience de notre site et pour vous proposer des publicités personnalisées sur d'autres sites." Un simple bouton "Accepter tout" sans aucune explication n'est pas conforme.
Enfin, le consentement doit être univoque, ce qui veut dire qu'il doit se manifester par une action positive claire, comme cliquer sur un bouton "J'accepte". Le simple fait de continuer à naviguer sur le site, de scroller la page ou de fermer le bandeau ne constitue pas un consentement valide. Vous devez avoir un vrai clic sur un bouton explicite.
La règle d'or de la CNIL : refuser doit être aussi simple qu'accepter
C'est le point sur lequel la majorité des sites sont encore non conformes aujourd'hui, et c'est aussi celui qui génère le plus de contrôles et de sanctions. La CNIL exige que le processus de refus soit aussi simple et accessible que le processus d'acceptation. Concrètement, ça veut dire que si vous avez un gros bouton vert "Tout accepter" bien visible sur votre bandeau, vous devez avoir un bouton "Tout refuser" de la même taille, de la même couleur (ou du moins tout aussi visible), et placé exactement au même niveau.
Vous ne pouvez pas avoir "Tout accepter" en gros bouton coloré sur la première page du bandeau, et cacher "Tout refuser" dans un sous-menu "Paramètres avancés" accessible après avoir cliqué sur "Personnaliser mes choix" puis descendu dans une liste de vingt catégories de cookies. C'est la technique la plus courante pour manipuler le taux d'acceptation, et c'est exactement ce que la CNIL sanctionne systématiquement.
En plus de l'équivalence des boutons accepter et refuser sur le bandeau initial, vous devez aussi permettre à l'utilisateur de retirer facilement son consentement à tout moment. Ça signifie qu'après avoir accepté les cookies, il doit pouvoir revenir sur son choix facilement. La plupart des bonnes CMP ajoutent une petite icône fixe dans un coin de l'écran, souvent en bas à gauche, avec un texte comme "Gérer mes cookies" ou "Mes préférences cookies". En cliquant dessus, l'utilisateur retrouve le bandeau et peut modifier ou retirer son consentement d'un seul clic.
Cette obligation crée une tension réelle entre la conformité légale et la performance marketing. Quand le refus est aussi simple que l'acceptation, mécaniquement, votre taux de consentement baisse. Les études montrent que les sites qui respectent vraiment la règle de la CNIL ont des taux d'acceptation entre quarante et soixante pour cent, alors que les sites qui trichent avec des boutons de refus cachés atteignent quatre-vingts à quatre-vingt-dix pour cent d'acceptation. Vous perdez donc potentiellement la moitié de vos données analytics et publicitaires.
Mais voici pourquoi vous devez quand même respecter la règle. D'abord, parce que c'est la loi et que le risque de sanction financière est réel et peut dépasser largement les gains financiers que vous tirez de quelques mois de collecte de données non consenties. Ensuite, parce que les données collectées sans consentement valide sont juridiquement inutilisables. Si vous prenez des décisions business basées sur des statistiques faussées par des visiteurs qui n'ont jamais vraiment accepté d'être trackés, vos décisions sont basées sur du sable. Et enfin, parce que respecter le choix de vos utilisateurs construit une relation de confiance à long terme qui vaut plus que quelques points de taux de conversion à court terme.
Qui fournit quoi : répartition des responsabilités avec votre prestataire
C'est la question que tout le monde se pose : concrètement, qui doit rédiger et fournir les mentions légales, la politique de confidentialité et installer le bandeau cookies ? La réponse est plus nuancée qu'un simple "c'est le prestataire" ou "c'est vous".
Pour les mentions légales, les informations viennent de vous puisque ce sont les données légales de votre entreprise. Votre prestataire peut vous fournir un modèle, une structure type, mais c'est à vous de remplir les informations exactes : votre raison sociale, votre SIRET, votre adresse, etc. Votre prestataire doit par contre vous fournir les informations concernant l'hébergeur puisque c'est lui qui a choisi et contractualisé avec l'hébergeur. Ensuite, votre prestataire doit intégrer ces mentions légales dans une page dédiée sur votre site avec un lien bien visible dans le pied de page. C'est une prestation technique basique qui devrait être incluse dans tout développement de site.
Pour la politique de confidentialité, c'est plus complexe. Le contenu dépend des traitements de données que vous effectuez réellement sur le site. Votre prestataire peut et devrait vous fournir un modèle de politique de confidentialité adapté aux outils qu'il a installés sur votre site. S'il a installé Google Analytics, il doit inclure les mentions sur Google Analytics. S'il a installé un formulaire de contact, il doit inclure les mentions sur la collecte des données via ce formulaire. Par contre, il ne peut pas deviner vos pratiques internes : combien de temps vous conservez les messages reçus, ce que vous en faites exactement, si vous les transmettez à d'autres personnes de votre entreprise, etc. Ces informations, vous devez les lui fournir pour qu'il complète la politique de confidentialité en conséquence.
Dans l'idéal, votre prestataire devrait vous proposer une politique de confidentialité pré-remplie à quatre-vingts pour cent avec tous les éléments techniques, et vous laisser compléter les vingt pour cent liés à vos pratiques métier. Si votre prestataire vous dit "débrouillez-vous pour la politique de confidentialité", ce n'est pas normal. Il doit au minimum vous donner un modèle adapté aux outils qu'il installe. À l'inverse, si votre prestataire vous remet une politique de confidentialité entièrement rédigée sans vous poser aucune question sur vos pratiques de conservation et d'utilisation des données, méfiez-vous, elle est probablement générique et pas vraiment adaptée à votre situation.
Pour le bandeau cookies, la CMP, c'est clairement une prestation technique qui incombe à votre prestataire. Il doit choisir une solution conforme, l'installer sur votre site, la configurer correctement pour bloquer les cookies non autorisés, et s'assurer que les boutons accepter et refuser sont bien équivalents. La configuration de la CMP dépend directement des outils de tracking qu'il a installés. Si votre site utilise Google Analytics, Facebook Pixel, et Google Ads, la CMP doit être configurée pour bloquer ces trois outils jusqu'à ce que l'utilisateur accepte, et les débloquer automatiquement après acceptation.
Le coût de ces prestations varie. Les mentions légales et la politique de confidentialité sont généralement incluses dans le forfait de création du site si vous travaillez avec une agence sérieuse, car ce sont des obligations légales de base. Si votre prestataire essaie de vous facturer mille euros supplémentaires juste pour rédiger des mentions légales et une politique de confidentialité à partir de modèles existants, il vous arnaque. Par contre, l'installation et la configuration d'une CMP peut justifier un surcoût de deux cents à cinq cents euros selon la complexité et le nombre d'outils de tracking à gérer. L'abonnement à une CMP professionnelle comme Axeptio, Didomi ou Cookiebot coûte généralement entre cinquante et deux cents euros par an selon les fonctionnalités.
Verdict : votre checklist de conformité immédiate
Un site vitrine professionnel en deux mille vingt-cinq doit impérativement respecter trois piliers de conformité RGPD qui ne sont pas négociables. D'abord, vous devez avoir des mentions légales complètes et accessibles qui identifient clairement votre entreprise et votre hébergeur. Ensuite, vous devez avoir une politique de confidentialité détaillée et à jour qui explique tous vos traitements de données et les droits des utilisateurs. Enfin, vous devez avoir un bandeau cookies strictement conforme aux exigences CNIL avec des boutons accepter et refuser équivalents.
Ces trois éléments ne sont pas des options ni des recommandations. Ce sont des obligations légales qui engagent votre responsabilité personnelle en tant qu'éditeur du site. Même si votre prestataire gère les aspects techniques, c'est vous qui serez sanctionné en cas de manquement. La bonne nouvelle, c'est que la mise en conformité n'est pas si complexe ni si coûteuse si elle est faite correctement dès le départ.
Pour les mentions légales et la politique de confidentialité, exigez de votre prestataire qu'il vous fournisse des modèles pré-remplis adaptés aux outils qu'il installe sur votre site. Vérifiez que les informations sont exactes et complètes. Mettez ces documents à jour chaque fois que vous ajoutez un nouvel outil de tracking ou que vous modifiez vos pratiques de traitement des données. Une revue annuelle est un minimum.
Pour le bandeau cookies, choisissez une CMP professionnelle reconnue et conforme. Axeptio, Didomi, Cookiebot, Orejime sont toutes de bonnes options avec des tarifs entre cinquante et deux cents euros par an. Vérifiez impérativement que votre bandeau affiche bien deux boutons de même importance pour accepter et refuser dès la première interface. Testez vous-même le parcours de refus pour vous assurer qu'il ne nécessite pas plus de clics que l'acceptation.
Le budget total pour être en conformité RGPD et cookies sur un site vitrine se situe généralement entre trois cents et mille euros en coûts ponctuels lors de la création du site, puis entre cinquante et deux cents euros par an pour l'abonnement à la CMP et les mises à jour de la documentation. C'est dérisoire comparé au risque d'une amende de plusieurs milliers d'euros et de la perte de crédibilité associée.
Prochaines étapes : audit et mise en conformité
La première action à entreprendre maintenant, c'est de vérifier l'état de conformité actuel de votre site. Allez sur votre site et regardez si vous avez bien une page "Mentions légales" accessible depuis le pied de page. Vérifiez que toutes les informations légales obligatoires sont présentes. Regardez si vous avez une page "Politique de confidentialité" ou "Protection des données". Lisez-la pour voir si elle correspond réellement à ce que fait votre site.
Ensuite, testez votre bandeau cookies. Regardez s'il apparaît lors de la première visite. Vérifiez qu'il y a bien un bouton "Tout refuser" au même niveau que "Tout accepter" sur la première interface, sans avoir à cliquer sur "Personnaliser" ou "Options avancées". Cliquez sur refuser et vérifiez que le site reste accessible et que Google Analytics ou d'autres outils de tracking ne se chargent pas quand même. Vous pouvez vérifier ça en ouvrant les outils de développeur de votre navigateur et en regardant l'onglet "Réseau" ou "Network".
Si vous constatez des manquements, contactez immédiatement votre prestataire web et demandez-lui un devis pour la mise en conformité. Si votre prestataire actuel n'est pas capable de vous mettre en conformité ou minimise l'importance de ces obligations, c'est peut-être le moment de changer de prestataire. La conformité RGPD n'est pas une compétence optionnelle pour une agence web en deux mille vingt-cinq, c'est un basique absolu.
Pour aller plus loin sur les aspects de sécurité liés à la protection des données, consultez notre article sur la sécurité de votre site vitrine. La sécurité et la conformité RGPD sont intrinsèquement liées puisque l'article trente-deux du RGPD vous oblige à prendre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données que vous traitez.
Si vous voulez comprendre le coût total de possession d'un site conforme et sécurisé, nous détaillons les frais de maintenance récurrents qui incluent les mises à jour de sécurité et de conformité. Et pour voir comment tout cela s'inscrit dans une stratégie globale, notre guide sur l'infrastructure technique recommandée vous explique comment hébergement, CDN et conformité légale fonctionnent ensemble.
FAQ : vos questions sur la conformité RGPD et cookies
Est-ce que je peux copier-coller la politique de confidentialité d'un concurrent ?
Non, absolument pas. Chaque politique de confidentialité doit être adaptée aux traitements de données spécifiques que vous effectuez sur votre site. Si vous copiez celle d'un concurrent, elle mentionnera probablement des outils ou des pratiques que vous n'avez pas, et inversement elle oubliera des choses que vous faites. En cas de contrôle CNIL, si votre politique de confidentialité ne correspond pas à la réalité de votre site, vous êtes doublement en tort : pour avoir une politique non conforme, et pour avoir induit vos visiteurs en erreur. Utilisez plutôt des générateurs en ligne de politique de confidentialité comme ceux proposés par la CNIL ou des plateformes juridiques, et personnalisez le résultat pour votre situation exacte. Ou mieux, faites rédiger votre politique par un avocat spécialisé en droit numérique si vous avez des traitements complexes.
Mon prestataire me dit que Google Analytics ne nécessite pas de consentement, est-ce vrai ?
C'est faux dans la configuration standard de Google Analytics. La CNIL a clairement indiqué que Google Analytics dans sa version classique nécessite un consentement préalable parce qu'il dépose des cookies, qu'il permet un suivi inter-sites, et qu'il transfère des données aux États-Unis. Il existe une exception très limitée pour les outils de mesure d'audience qui respectent des conditions extrêmement strictes : anonymisation totale des IP dès la collecte, pas de recoupement avec d'autres données, pas de suivi inter-sites, durée de conservation limitée à treize mois maximum, et hébergement des données en Europe. Google Analytics dans sa configuration standard ne respecte pas ces conditions. Il faut utiliser des alternatives comme Matomo configuré en mode exempté, ou demander le consentement pour Google Analytics. Votre prestataire qui vous dit le contraire est soit mal informé, soit essaie de vous vendre une solution plus simple mais non conforme.
Combien de temps dois-je conserver la preuve du consentement aux cookies ?
Le RGPD impose que vous puissiez démontrer que vous avez obtenu un consentement valide. Ça signifie que vous devez conserver une trace horodatée de chaque consentement donné par chaque utilisateur. La plupart des CMP professionnelles font ça automatiquement : elles enregistrent la date et l'heure du consentement, les choix exacts faits par l'utilisateur, l'identifiant unique de cet utilisateur, et la version du bandeau qui était affichée à ce moment. En termes de durée de conservation, il n'y a pas de règle absolue, mais une bonne pratique est de conserver ces preuves de consentement pendant toute la durée de validité du consentement plus une période de sécurité supplémentaire. Le consentement aux cookies expire généralement après treize mois selon les recommandations CNIL, donc vous devriez garder les preuves pendant au moins deux ans. Ça vous permet de prouver votre conformité en cas de contrôle ou de plainte survenant quelques mois après les faits.
Que faire si je découvre que mon bandeau cookies n'est pas conforme ?
Corrigez-le immédiatement. Chaque jour où votre site reste non conforme, vous êtes en infraction et vous vous exposez à une sanction potentielle. Contactez votre prestataire dès aujourd'hui et demandez-lui de modifier le bandeau pour que le bouton "Tout refuser" soit au même niveau que "Tout accepter". Si votre prestataire vous dit que ce n'est pas possible avec votre CMP actuelle, changez de CMP. Toutes les CMP modernes et sérieuses permettent cette configuration conforme. Pendant la période de correction, vous prenez un risque, mais au moins vous êtes en train de corriger activement. Si la CNIL vous contrôle pendant cette période, le fait que vous ayez identifié le problème et que vous soyez en train de le corriger jouera en votre faveur. À l'inverse, si vous êtes conscient du problème et que vous ne faites rien pendant des mois parce que "ce n'est pas prioritaire", l'amende sera d'autant plus sévère.
Les petits sites vitrines sont-ils vraiment contrôlés par la CNIL ?
Oui, même si la probabilité d'un contrôle individuel ciblé reste faible pour une toute petite TPE. La CNIL fonctionne de deux manières. D'abord, elle mène des contrôles ciblés sur des entreprises spécifiques suite à des plaintes d'utilisateurs ou suite à des signalements. Si un de vos visiteurs ou un concurrent malveillant vous dénonce à la CNIL pour non-conformité de votre bandeau cookies, vous pouvez faire l'objet d'un contrôle même si vous êtes une micro-entreprise. Ensuite, et c'est plus probable, la CNIL mène régulièrement des campagnes de contrôle thématiques où elle vérifie automatiquement des centaines ou des milliers de sites sur un sujet précis, par exemple la conformité des bandeaux cookies. Elle utilise des outils automatisés qui scannent les sites et détectent les non-conformités évidentes. Si votre site tombe dans le filet lors d'une de ces campagnes, peu importe votre taille, vous recevrez une mise en demeure. Le risque existe donc bel et bien, même s'il est statistiquement faible pour un site individuel donné.
Mon agence web me propose un forfait RGPD à 2000 euros, est-ce justifié ?
Ça dépend de ce qu'inclut ce forfait. Si c'est uniquement pour rédiger des mentions légales, une politique de confidentialité et installer un bandeau cookies sur un site vitrine basique, deux mille euros est clairement excessif. Ces prestations devraient coûter entre trois cents et huit cents euros maximum pour un site standard. Par contre, si le forfait RGPD inclut un audit complet de conformité de toute votre entreprise, la rédaction d'un registre des activités de traitement, la mise en place de procédures internes pour gérer les droits des personnes, la formation de votre équipe, et un accompagnement juridique personnalisé par un avocat spécialisé, alors deux mille euros peut être justifié. Demandez un devis détaillé qui liste précisément chaque prestation incluse et le temps estimé pour chacune. Si l'agence ne peut pas vous fournir ce détail, ou si elle justifie les deux mille euros juste par "c'est complexe et ça prend du temps", méfiez-vous. Demandez des devis à d'autres prestataires pour comparer.