Checklist RGPD pour votre site web (2026) : les 5 points que la CNIL vérifie

Vous avez un site web pour votre PME en France, vous collectez des emails, des formulaires de contact, ou vous vendez en ligne—et vous vous demandez si vous respectez vraiment le RGPD. La réponse : probablement pas complètement. La CNIL (Commission Nationale de l'Informatique et des Libertés) applique les règles, et les amendes le prouvent.

En 2023-2024, la CNIL a infligé des amendes massives : Google 150 millions d'euros pour les cookies, Amazon 35 millions d'euros pour les mêmes raisons. Ces amendes ne sont pas des accidents—elles montrent que la CNIL contrôle vraiment.

Cette checklist couvre exactement ce que vous devez faire pour vous conformer au RGPD en France. Pas de jargon juridique, juste les cinq éléments que la CNIL regarde.

Les cinq piliers du RGPD en France

Le RGPD français se divise en cinq domaines : cookies et consentement, politique de confidentialité, mentions légales (obligatoires en France), formulaires de contact, et contrats de traitement des données. Voici comment vérifier chacun.

Pilier 1 : Cookies et Consentement

Quels cookies ont besoin du consentement ?

En France, le consentement préalable et explicite est obligatoire avant toute trace ou stockage de données sur l'appareil de l'utilisateur (article 82 de la Loi Informatique et Libertés et RGPD). Cela inclut :

• Google Analytics
• Facebook Pixel, Google Ads Pixel, TikTok Pixel
• Hotjar ou outils d'enregistrement de session
• Cookies de retargeting ou publicité
• N'importe quel script de tiers qui suit le comportement

Les cookies fonctionnels (panier d'achat, session utilisateur, sécurité basique) ne nécessitent pas de bannière—mentionnez-les juste dans votre politique de confidentialité.

Ce que votre bannière doit faire

La CNIL a été claire sur l'apparence d'une bannière conforme :

• Information claire d'abord : L'utilisateur doit comprendre ce que chaque cookie fait avant de choisir
• Pas de cases pré-cochées : Les boutons accepter/refuser doivent commencer décochés
• Refuser aussi facile qu'accepter : Le bouton « refuser tous » doit être aussi visible et facile que « accepter tous »
• Consentement granulaire : Permettez aux utilisateurs de choisir quels types de cookies accepter, pas seulement « tout ou rien »
• Respecter le choix : N'interrogez pas à nouveau immédiatement s'ils ont refusé

La CNIL a infligé des amendes aux sites qui cachent le bouton de refus ou rendent le refus beaucoup plus difficile que l'acceptation (ce qu'on appelle les « dark patterns »).

Vérifiez votre bannière maintenant

• La bannière apparaît-elle avant que Google Analytics ou tout autre script de tracking ne se charge ?
• Les visiteurs peuvent-ils refuser sans accepter ?
• Le bouton « refuser » est-il aussi facile à trouver que le bouton « accepter » ?
• Listez-vous chaque type de cookie séparément (analytics, publicité, marketing) ?
• Permettez-vous aux visiteurs de changer leur choix plus tard ?
• Avez-vous testé que Google Analytics, Facebook Pixel, etc. ne se chargent PAS au chargement de la page—seulement après consentement ?

Recommandation : Utilisez Cookiebot, Termly, OneTrust, ou Iubenda. Évitez les solutions gratuites qui ne retardent pas correctement le chargement des scripts.

Pilier 2 : Politique de Confidentialité

Votre politique de confidentialité n'est pas optionnelle—c'est un document légal que la CNIL peut auditer. Elle doit être claire, spécifique, et en français pour un site français.

Ce que votre politique doit couvrir

Sections essentielles :

• Votre identité : Nom de l'entreprise, adresse, numéro de SIRET ou SIREN
• Quelles données vous collectez : Soyez spécifique : email, adresse IP, comportement de navigation, numéro de téléphone, etc.
• Pourquoi vous les collectez : Base légale (contrat, consentement, intérêt légitime, obligation légale)
• Qui les reçoit : Google (pour Analytics), Facebook (pour Pixel), processeurs de paiement, services d'email
• Combien de temps vous les gardez : « 2 ans pour l'analytics », « indéfiniment pour les emails clients »
• Les droits des personnes : Droit d'accès, de correction, de suppression, d'export
• Comment exercer ces droits : Une adresse email ou un formulaire où les gens peuvent demander l'accès ou la suppression
• Médiateur de consommation : Pour les sites e-commerce, mentionnez le droit d'accès au médiateur

Important pour les PME françaises :

• Mentionnez que la CNIL est l'autorité de contrôle
• La loi française exige que vous notiez les personnes en cas de violation de données
• Si vous sous-traitez avec des services américains (Google, Meta), dites-le explicitement

Vérifiez votre politique maintenant

• Est-elle écrite en langage clair (pas de jargon juridique) ?
• Explique-t-elle quelles données vous collectez et pourquoi ?
• Avez-vous listé chaque tiers avec qui vous partagez les données ?
• Explique-t-elle les droits des personnes (accès, correction, suppression) ?
• Dit-elle comment contacter pour les questions de confidentialité ?
• Est-elle datée et indique-t-elle la dernière mise à jour ?

Pilier 3 : Mentions Légales (Obligatoires en France)

La France exige des informations légales spécifiques sur votre site. C'est une obligation française par la loi LCEN au-delà du RGPD. La CNIL s'attend à les voir.

Ce qui doit être affiché

Vous devez afficher :

• Numéro SIRET ou SIREN : Votre numéro d'immatriculation au registre du commerce
• Nom et adresse de l'entreprise : Complets et exacts
• Email et téléphone : Contacts valides
• Numéro de TVA : Si applicable
• Pour les e-commerces : Votre politique d'annulation/retour (14 jours standard en France)
• Nom de l'hébergeur : Qui héberge votre site (ex. OVH, Kinsta, AWS)

Où les afficher

Créez une page « Mentions Légales » et liez-la depuis votre pied de page. La CNIL s'attend à ce qu'elle soit accessible à un clic depuis n'importe quelle page.

Vérifiez vos mentions maintenant

• Affichez-vous votre numéro SIRET/SIREN ?
• Votre nom d'entreprise et adresse enregistrée sont-ils visibles ?
• Y a-t-il une adresse email et un numéro de téléphone clairs ?
• Pour l'e-commerce : affichez-vous votre politique de retour/annulation ?
• La page légale est-elle liée depuis le pied de page sur chaque page ?
• Avez-vous fourni le nom de votre hébergeur ?

Pilier 4 : Formulaires de Contact et Collecte de Données

Chaque formulaire sur votre site qui collecte des données est un point de contact RGPD.

Pour les formulaires de contact simples

Avant le formulaire :

• Expliquez ce que vous ferez des données (ex. « Nous utiliserons votre email pour répondre à votre question puis le supprimerons »)
• Une case à cocher où ils confirment avoir lu votre politique de confidentialité
• Dites combien de temps vous garderez les données

Après soumission :

• Envoyez un email de confirmation qui dit « Voici ce qu'on a collecté et comment on l'utilise »
• Incluez un lien vers votre politique
• Montrez-leur comment demander la suppression

Pour les formulaires de capture d'email

Si vous collectez des emails pour une liste de diffusion :

• Obtenez un consentement explicite avant de les ajouter
• Expliquez exactement quels emails ils recevront et à quelle fréquence
• Rendez la désinscription facile (liens en un clic dans chaque email)
• Gardez des traces du consentement (quand, comment, ce qu'ils ont approuvé)

Pour la boutique en ligne

• Collectez seulement les données dont vous avez vraiment besoin pour la commande
• Ne pré-cochez pas « m'envoyer des offres marketing »—rendez l'opt-in obligatoire
• Montrez votre politique de confidentialité et conditions avant paiement
• Assurez-vous que les données de paiement sont chiffrées (HTTPS)

Vérifiez vos formulaires maintenant

• Chaque formulaire explique-t-il ce que vous ferez des données ?
• Avez-vous un consentement explicite pour toute liste de diffusion ?
• Les cases d'opt-in marketing sont-elles décochées par défaut ?
• Les emails de confirmation expliquent-ils l'utilisation des données ?
• Avez-vous un email ou un lien où les gens peuvent demander la suppression ?
• Les données de paiement sont-elles envoyées en HTTPS ?

Pilier 5 : Contrats de Traitement des Données

Si vous utilisez des outils comme Google Analytics, Mailchimp, Shopify, ou tout service cloud qui traite les données clients, vous avez besoin de contrats écrits.

Ce dont vous avez besoin

Contrats de traitement des données (clauses RGPD) : Ce sont des accords avec vos outils qui disent « vous traitez les données de nos clients en notre nom, et vous ne les utiliserez pas à d'autres fins. »

La plupart des grands outils proposent ces clauses en standard. Vous les signez (ou les acceptez en ligne), et vous êtes couvert.

Outils qui ont généralement besoin de clauses :

• Google Analytics
• Google Workspace (Gmail, Drive, etc.)
• Mailchimp ou autres services d'email
• Shopify
• Stripe ou PayPal (pour le traitement des paiements)
• Dropbox ou OneDrive
• Slack (si les employés discutent des données clients)

Vérifiez vos accords maintenant

• Avez-vous localisé et signé les clauses RGPD de Google Analytics ?
• Avez-vous des clauses RGPD avec Mailchimp, Shopify, ou tout outil traitant des données clients ?
• Ces accords sont-ils stockés quelque part où vous pouvez les trouver ?
• Savez-vous qui est le sous-traitant ? (Généralement listé dans les pages légales de l'outil)

Votre Plan d'Action : À Faire Cette Semaine

Lundi :

• Listez chaque script sur votre site (Google Analytics, Facebook Pixel, pubs, chat)
• Listez chaque formulaire (contact, newsletter, checkout)
• Listez chaque outil que vous utilisez qui touche les données clients

Mardi :

• Vérifiez votre bannière de cookies : bloque-t-elle le tracking avant consentement ?
• Si vous n'avez pas de bannière mais utilisez du tracking, installez-en une (Cookiebot, Termly, OneTrust, ou Iubenda)

Mercredi :

• Lisez votre politique de confidentialité. Explique-t-elle ce que vous collectez et pourquoi ?
• Sinon, réécrivez-la en utilisant un modèle ou engagez quelqu'un (budget 200-500 €)

Jeudi :

• Vérifiez votre page de mentions légales. Affichez-vous votre SIRET et adresse ?
• Sinon, créez une page légale avec cette information et liez-la depuis votre pied de page

Vendredi :

• Passez en revue vos formulaires de contact et checkout. Expliquent-ils l'utilisation des données avant soumission ?
• Vérifiez les cases marketing pré-cochées (supprimez-les)
• Collectez les clauses RGPD de Google, Mailchimp, Shopify, etc. Stockez-les en sécurité

Semaine suivante :

• Testez votre site dans un navigateur privé. Google Analytics se charge-t-il avant que vous cliquiez sur accepter ? (Il ne devrait pas.)
• Envoyez un test via votre formulaire de contact. L'email de confirmation explique-t-il l'utilisation des données ?

La Réalité de l'Application par la CNIL

La CNIL a infligé des amendes pour :

• Bannières de cookies manquantes ou peu claires
• Pas de politique de confidentialité
• Collecte d'emails sans consentement
• Bouton « refuser les cookies » difficile à trouver
• Cookies non essentiels pré-chargés
• Partage de données avec des tiers non mentionnés dans la politique

Les amendes pour les petites entreprises commencent généralement à 5 000 € à 20 000 € et augmentent à partir de là. Mais le vrai coût, c'est l'enquête : la CNIL peut geler vos formulaires, auditer vos systèmes, et exiger la preuve que vous avez tout corrigé.

La bonne nouvelle : si vous suivez cette checklist, vous êtes conforme. Un bon outil de gestion des cookies coûte 15–30 €/mois. Ce n'est pas compliqué. Il suffit d'être clair, honnête, et de documenter ce que vous faites.

Vos clients attendent aussi cela maintenant. Une page de confidentialité transparente et une bannière de consentement professionnelle renforcent vraiment la confiance.