Qu'est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais) est le règlement européen n°2016/679 entré en application le 25 mai 2018. Il constitue le cadre juridique de référence pour la protection des données personnelles au sein de l'Union européenne.
Le RGPD s'applique à tout organisme, européen ou non, qui traite des données personnelles de résidents de l'UE. Concrètement, si votre site web collecte ne serait-ce qu'une adresse email ou utilise des cookies analytiques, vous êtes concerné par le RGPD.
Donnée personnelle - Définition
Toute information se rapportant à une personne physique identifiée ou identifiable, directement
(nom, email) ou indirectement (adresse IP, identifiant cookie, données de localisation).
Article 4(1) du RGPD.
Obligations concrètes pour un site web
Exploiter un site internet implique quasi systématiquement un traitement de données personnelles. Voici les principales obligations qui en découlent :
Information des personnes (Art. 13-14)
Vous devez informer clairement les visiteurs de votre site sur la façon dont vous collectez et utilisez leurs données. Cette information prend généralement la forme d'une politique de confidentialité accessible depuis toutes les pages.
Les informations à communiquer comprennent :
- L'identité et les coordonnées du responsable de traitement
- Les finalités et la base légale de chaque traitement
- Les catégories de données collectées
- Les destinataires ou catégories de destinataires
- La durée de conservation des données
- Les droits dont disposent les personnes concernées
- L'existence de transferts hors UE et les garanties associées
Tenue d'un registre des traitements (Art. 30)
Toute organisation de plus de 250 salariés, ou effectuant des traitements non occasionnels, doit tenir un registre détaillant l'ensemble de ses traitements de données personnelles. En pratique, la CNIL recommande à tous les organismes de tenir ce registre.
Consentement pour les cookies (ePrivacy + RGPD)
Le dépôt de cookies non essentiels (analytics, publicitaires, réseaux sociaux) nécessite le consentement préalable et explicite de l'internaute. Ce consentement doit être libre, spécifique, éclairé et univoque, conformément à la délibération CNIL n°2020-091.
Bon à savoir
Les cookies strictement nécessaires au fonctionnement du site (authentification, panier d'achat,
choix de langue) ne nécessitent pas de consentement préalable.
Les 6 bases légales du traitement (Art. 6)
Tout traitement de données personnelles doit reposer sur l'une des six bases légales prévues par l'article 6 du RGPD. Il est essentiel de déterminer la base légale appropriée avant de commencer le traitement.
- Le consentement - La personne a donné son accord clair et explicite (ex : inscription à une newsletter, acceptation des cookies non essentiels)
- L'exécution d'un contrat - Le traitement est nécessaire pour exécuter un contrat avec la personne (ex : traitement d'une commande e-commerce, gestion d'un abonnement)
- L'obligation légale - Le traitement est imposé par la loi (ex : conservation des factures pendant 10 ans, déclarations fiscales)
- La sauvegarde des intérêts vitaux - Le traitement est nécessaire pour protéger la vie de la personne (rarement applicable pour un site web)
- L'intérêt public - Le traitement est nécessaire à l'exécution d'une mission d'intérêt public (concerne principalement les organismes publics)
- L'intérêt légitime - Le traitement répond à un intérêt légitime du responsable, sous réserve de ne pas porter atteinte aux droits des personnes (ex : sécurité du site, prévention de la fraude)
Erreur fréquente
Le consentement n'est pas toujours la base légale la plus appropriée. Pour l'envoi d'emails
transactionnels liés à une commande, c'est l'exécution du contrat qui s'applique. Réservez le
consentement aux cas où la personne a un véritable choix.
Les droits des personnes concernées (Art. 12-22)
Le RGPD confère aux personnes dont les données sont traitées un ensemble de droits que vous devez respecter et faciliter :
Droit d'acces (Art. 15)
Toute personne peut demander à connaître l'ensemble des données détenues à son sujet, les finalités du traitement, les destinataires, et la durée de conservation prévue. Vous disposez d'un mois pour répondre.
Droit de rectification (Art. 16)
La personne peut exiger la correction de données inexactes ou incomplètes la concernant, dans les meilleurs délais.
Droit a l'effacement - "Droit a l'oubli" (Art. 17)
Dans certaines situations (retrait du consentement, données plus nécessaires, traitement illicite), la personne peut demander la suppression de ses données. Ce droit n'est pas absolu et comporte des exceptions (obligation légale, intérêt public, exercice de droits en justice).
Droit à la portabilité (Art. 20)
La personne peut demander à recevoir ses données dans un format structuré, lisible par machine, et les transmettre à un autre responsable de traitement.
Droit d'opposition (Art. 21)
Toute personne peut s'opposer au traitement de ses données pour des raisons tenant à sa situation particulière. Pour la prospection commerciale, le droit d'opposition est absolu et sans condition.
Droit à la limitation du traitement (Art. 18)
La personne peut demander le gel temporaire de l'utilisation de ses données dans certains cas (contestation de l'exactitude, traitement illicite, opposition en cours d'examen).
Responsable de traitement vs sous-traitant
Le RGPD distingue clairement deux rôles :
Le responsable de traitement (Art. 4(7))
C'est la personne ou l'organisme qui détermine les finalités (pourquoi) et les moyens (comment) du traitement. En tant qu'éditeur de site web, vous êtes généralement le responsable de traitement pour les données collectées sur votre site.
Le sous-traitant (Art. 4(8))
C'est la personne ou l'organisme qui traite les données pour le compte du responsable. Exemples courants : votre hébergeur web, votre prestataire d'emailing, votre outil d'analytics, votre solution de paiement.
Obligation contractuelle - Art. 28
La relation entre responsable et sous-traitant doit être encadrée par un contrat (ou DPA - Data
Processing Agreement) détaillant l'objet du traitement, sa durée, les catégories de données,
les obligations de sécurité, et le sort des données à la fin du contrat.
Le Délégué à la Protection des Données (DPO)
La désignation d'un DPO est obligatoire dans trois cas prévus par l'article 37 du RGPD :
- Autorités ou organismes publics (sauf juridictions dans l'exercice de leur fonction juridictionnelle)
- Suivi régulier et systématique des personnes à grande échelle (profilage, géolocalisation, vidéosurveillance...)
- Traitement à grande échelle de données sensibles (santé, opinions politiques, orientation sexuelle, condamnations pénales)
Même en dehors de ces cas, la CNIL recommande fortement la désignation d'un DPO. Pour un petit site web, un DPO externe mutualisé peut être une solution économique.
Sanctions CNIL et amendes
La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité française chargée de veiller au respect du RGPD. Elle dispose de pouvoirs de contrôle et de sanction considérables.
Amendes administratives - Art. 83
Infractions les plus graves : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires
annuel mondial (le montant le plus élevé étant retenu). Concerne les violations des principes de base,
des droits des personnes, et des règles de transfert hors UE.
Autres infractions : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires.
Concerne les obligations du responsable et du sous-traitant, du DPO, et de l'organisme de certification.
En France, la CNIL a prononcé des amendes significatives ces dernières années :
- 150 millions EUR - amende à Google pour des manquements liés aux cookies (2022)
- 60 millions EUR - amende à Microsoft pour défaut de consentement cookies (2022)
- 32 millions EUR - amende à Amazon pour surveillance des salariés (2024)
- Nombreuses PME sanctionnées pour des montants de 5 000 a 500 000 EUR
À noter
Au-delà des amendes, la CNIL peut ordonner la mise en conformité sous astreinte, limiter ou interdire
un traitement, et rendre ses décisions publiques - ce qui peut causer un préjudice d'image considérable.
Checklist de conformité RGPD pour votre site
Voici les actions essentielles pour mettre votre site en conformité avec le RGPD :
Créez votre politique de confidentialité RGPD
Notre générateur gratuit crée une politique de confidentialité conforme au RGPD, adaptée à votre site web.
Générer ma politique de confidentialitéQuestions fréquentes
Oui, si votre site collecte des données personnelles (formulaires, cookies, analytics, newsletter) de résidents de l'UE, le RGPD s'applique, quel que soit le pays d'établissement de votre entreprise.
Toute information permettant d'identifier directement ou indirectement une personne : nom, email, adresse IP, identifiant de cookie, numéro de téléphone, photo, etc. (Article 4 du RGPD).
Le DPO est obligatoire pour les organismes publics, les entreprises dont l'activité principale implique un suivi régulier et systématique à grande échelle, et celles traitant des données sensibles à grande échelle (Article 37 du RGPD).
La CNIL peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial (le montant le plus élevé). En 2024, la CNIL a prononcé plus de 50 sanctions.
Le RGPD impose une durée de conservation limitée et proportionnée à la finalité du traitement. Par exemple : 3 ans pour les données de prospects, durée du contrat + prescription légale pour les clients.
Oui. Dès qu'un site collecte une donnée personnelle (même un simple email via un formulaire), le RGPD exige une information claire et accessible sur le traitement effectué (Articles 12 à 14).