Quand on parle de mise en conformité RGPD pour un site web, on imagine souvent une montagne de contraintes. En réalité, le principe est simple : il s'agit de recueillir un consentement clair pour les cookies, d'être transparent sur l'utilisation des données via des formulaires sécurisés et une politique de confidentialité accessible, et de bien documenter tout ça. C'est une démarche cruciale pour respecter vos visiteurs et, bien sûr, pour éviter des sanctions qui peuvent faire très mal.
Pourquoi tant de sites sont encore à la traîne sur le RGPD ?
Quand on se penche sur la conformité des sites web, on découvre un vrai paradoxe. Malgré les amendes potentielles et l'importance de la confiance en ligne, un nombre impressionnant de sites, surtout ceux des TPE et PME, ne sont pas du tout dans les clous. Mais attention, il est rare que ce soit par mauvaise volonté.
Le plus souvent, c'est le résultat d'un flou artistique autour de ce qu'il faut faire, ou parce que la création du site a été confiée à des prestataires eux-mêmes peu au fait de ces sujets techniques et juridiques.
Les erreurs les plus fréquentes que l'on voit sur le terrain
En auditant des dizaines de sites, on retrouve toujours les mêmes erreurs, qui laissent les entreprises dans une situation précaire. Le point noir numéro un ? La gestion du consentement aux cookies. On voit partout des bannières qui ne permettent pas de refuser les cookies aussi simplement que de les accepter, alors que c'est une exigence très claire de la CNIL.
Une autre bévue classique concerne les formulaires de contact. Beaucoup collectent des informations sans jamais expliquer pourquoi, combien de temps elles seront gardées, ou comment l'utilisateur peut demander leur suppression.
Mettre son site en conformité RGPD, ce n'est pas juste cocher une liste de tâches. C'est intégrer le respect de la vie privée au cœur de votre stratégie digitale. Vous transformez ainsi une obligation légale en un véritable atout pour gagner la confiance de vos clients.
Les chiffres parlent d'eux-mêmes et confirment ce que l'on observe. Un baromètre de 2024 a montré que près de 88 % des sites web de TPE/PME françaises ne respectent pas les règles du RGPD. L'étude est édifiante : si 95 % de ces sites déposent des traceurs, 74 % le font sans obtenir un consentement valable. Pire encore, 48 % des formulaires oublient les mentions légales obligatoires, et les politiques de confidentialité de 44 % d'entre eux sont jugées incomplètes. Si vous voulez creuser le sujet, vous pouvez lire les conclusions du baromètre sur la conformité des PME.
Pour vous aider à y voir plus clair, voici une petite checklist des erreurs que l'on croise le plus souvent. C'est un bon point de départ pour un auto-diagnostic rapide de votre propre site.
Checklist des erreurs de conformité RGPD fréquentes
| Point de contrôle | Erreur fréquente | Pourcentage de sites concernés |
|---|---|---|
| Bandeau de cookies | Pas de bouton "Tout refuser" aussi visible que "Tout accepter". | 74 % |
| Bandeau de cookies | Les cookies sont déposés avant même que l'utilisateur ait cliqué. | 65 % |
| Formulaires | Aucune information sur la finalité, la durée de conservation ou les droits. | 48 % |
| Politique de confidentialité | Document vague, incomplet ou tout simplement absent. | 44 % |
| Mentions légales | Les coordonnées du DPO ou du responsable de traitement sont absentes. | 52 % |
Ce tableau n'est qu'un aperçu, mais il montre bien que les oublis sont fréquents et touchent des points fondamentaux du RGPD.
Identifier les lacunes pour mieux agir
Ces manquements, qu'il s'agisse des cookies, des formulaires ou des textes légaux, vous exposent à un risque juridique bien réel. Mais au-delà des sanctions, c'est l'expérience de vos utilisateurs et la crédibilité de votre marque qui en prennent un coup.
Prendre conscience de ces erreurs, c'est déjà faire un grand pas. C'est ce qui permet de construire un plan d'action pour protéger votre activité et, surtout, pour rassurer vos visiteurs dès le premier clic sur votre site.
Auditer son site web pour le RGPD : le grand nettoyage de printemps
Avant de se lancer tête baissée dans des modifications, il faut prendre un temps pour faire le point. Où en est vraiment votre site avec le RGPD ? C'est là qu'intervient l'audit, une étape absolument fondamentale. Pensez-y comme le diagnostic d'un médecin avant de prescrire un traitement. Sans ça, vous risquez de passer à côté de l'essentiel.
L'idée, c'est d'avoir une photographie précise de la situation actuelle pour savoir exactement quoi corriger. Pour y parvenir, il faut se transformer en véritable détective et suivre à la trace chaque donnée personnelle qui transite par votre site.
Imaginez-vous, loupe à la main, en train d'inspecter chaque recoin de votre site pour dénicher les indices de collecte de données.
Cette image, c'est exactement l'esprit de l'audit : un examen méthodique, sans rien laisser au hasard, pour construire une base solide pour votre mise en conformité.
Par où les données rentrent-elles ?
Votre première mission, si vous l'acceptez, est de lister tous les points de collecte de données sur votre site. Et attention, il ne faut rien oublier, même ce qui paraît anodin.
Passez en revue :
- Les formulaires : contact, devis, inscription à un événement, téléchargement d'un guide… Chaque champ demandé doit avoir une vraie raison d'être.
- L'inscription à la newsletter : le recueil du consentement doit être clair, net et précis, et surtout, séparé du reste.
- La création d'un compte client : quelles infos demandez-vous ? Sont-elles toutes vraiment indispensables pour que votre service fonctionne ?
- Les commentaires de blog : une adresse e-mail ou une adresse IP, ce sont bien des données personnelles.
- Les outils de mesure d'audience : que vous utilisiez Google Analytics, Matomo, ou un autre script, ils suivent vos visiteurs à la trace.
- Les pixels publicitaires : Facebook, LinkedIn, Google Ads… Ces petits bouts de code déposent des cookies et collectent des infos pour le remarketing.
Faire cette cartographie est crucial. C'est ce qui vous permettra de savoir quelles données vous manipulez, pourquoi, et sur quelle base légale vous vous appuyez. C'est la première brique de votre futur registre des activités de traitement.
Les cookies : le test de conformité ultime
Le bandeau de cookies, c'est souvent la porte d'entrée de votre politique de confidentialité pour un visiteur. Il doit donc être irréprochable. La CNIL est devenue très stricte là-dessus : refuser les cookies doit être aussi simple que de les accepter.
Fini le temps où l'on pouvait cacher le bouton de refus. Aujourd'hui, un bouton "Tout refuser" au même niveau et avec le même design que le bouton "Tout accepter" n'est plus une option, c'est une obligation. Si l'utilisateur doit cliquer plus de fois pour refuser que pour accepter, votre bandeau n'est tout simplement pas conforme.
Pendant votre audit, vérifiez scrupuleusement :
- Aucun cookie déposé avant le clic : Ouvrez les outils de développement de votre navigateur et assurez-vous qu'aucun cookie non essentiel n'est installé avant que l'utilisateur ait fait son choix.
- Une information claire et concise : Le bandeau doit expliquer en quelques mots à quoi servent les cookies et proposer un lien vers une politique de confidentialité plus complète.
- Un choix par finalité : L'utilisateur doit pouvoir dire "oui" à la mesure d'audience mais "non" à la publicité, par exemple.
- La preuve du consentement : Votre outil de gestion (CMP) doit enregistrer le choix de l'utilisateur pour pouvoir le prouver en cas de contrôle.
Un coup d'œil sur vos documents juridiques
Pour finir, un bon audit RGPD ne serait pas complet sans une relecture attentive de vos textes légaux. Politique de confidentialité, mentions légales, CGV… tout doit être à jour, complet et, si possible, facile à comprendre.
- Mentions légales : Assurez-vous qu'elles contiennent toutes les informations sur votre entreprise, l'hébergeur du site, et le contact du DPO ou du responsable de traitement.
- Politique de confidentialité : C'est le document phare. Elle doit expliquer en détail quelles données sont collectées, pour quoi faire, combien de temps elles sont gardées, qui peut y avoir accès et comment exercer ses droits (accès, suppression, etc.).
- Conditions générales : Vérifiez qu'aucune clause ne soit abusive concernant l'utilisation des données personnelles.
Faire cet audit soi-même est déjà un excellent premier pas. Pour aller plus loin et structurer votre démarche, vous pouvez vous appuyer sur des guides plus poussés, comme celui qui détaille comment réaliser un audit RGPD complet afin de n'oublier aucun risque spécifique à votre secteur.
Avoir un site web conforme au RGPD, ce n'est pas juste cocher quelques cases techniques. C'est avant tout une question de preuve et de responsabilité. C'est ce que le règlement appelle l'« accountability ». En clair, vous devez être capable de démontrer, à tout moment, que vous respectez bien les règles. Et pour ça, votre meilleure arme, c'est une documentation solide et à jour.
Cette paperasse n'est pas une simple formalité administrative à subir. Elle est là pour structurer votre démarche, guider vos équipes au quotidien et, soyons honnêtes, vous protéger en cas de contrôle de la CNIL. C'est la véritable colonne vertébrale de votre conformité.
Le registre des activités de traitement, le pilier de votre conformité
S'il y a bien un document incontournable, c'est le registre des activités de traitement. Il s'agit ni plus ni moins d'une cartographie complète de tout ce que vous faites avec les données personnelles collectées sur votre site. Ce n'est pas une option, mais une obligation centrale imposée par l'article 30 du RGPD.
Voyez ce registre comme le carnet de bord de votre site. Pour chaque traitement (gestion des contacts, envoi de newsletter, analyse d'audience…), vous devez y noter précisément :
- La finalité du traitement : Pourquoi collectez-vous ces données ? (Ex : pour répondre à une demande de devis).
- Les catégories de données : Quelles informations précises sont collectées ? (Ex : nom, prénom, adresse e-mail).
- Les personnes concernées : De qui parlez-vous ? (Ex : des prospects, des clients).
- Les destinataires : Avec qui partagez-vous ces données ? (Ex : le service commercial en interne, un outil d'emailing externe).
- La durée de conservation : Combien de temps les gardez-vous ?
- Les mesures de sécurité : Comment faites-vous pour les protéger ?
Ce travail peut paraître fastidieux au premier abord, mais il est absolument fondamental. Il vous oblige à réfléchir à la pertinence de chaque information demandée et vous aide à justifier chaque action. Pour bien définir cette justification, il est essentiel de maîtriser la notion de base légale RGPD, qui est le véritable fondement de toute collecte.
Le registre n'est pas un document que l'on rédige une fois pour l'oublier au fond d'un tiroir. Il doit vivre et évoluer en même temps que votre site. Un nouveau formulaire, un nouvel outil marketing ? Hop, on met le registre à jour.
Mettre en place des procédures internes claires
Votre documentation doit aussi inclure des procédures internes. Ce sont de véritables modes d'emploi qui expliquent, très concrètement, comment votre équipe doit réagir dans des situations précises liées au RGPD. Sans ces guides, la meilleure volonté du monde peut mener à des erreurs qui coûtent cher.
Il y a deux procédures absolument indispensables :
- La gestion des demandes d'exercice de droits : Un utilisateur vous contacte pour accéder à ses données ou demander leur suppression. Qui reçoit l'e-mail ? Qui vérifie son identité ? Qui s'occupe de la partie technique et, surtout, dans quel délai ? Tout doit être écrit noir sur blanc.
- La gestion des violations de données : Imaginez le pire : votre base de données clients a fuité. La panique est toujours mauvaise conseillère. Une procédure claire doit indiquer qui alerter en interne, comment évaluer le risque, et qui se charge de notifier la CNIL (et les personnes concernées) en moins de 72 heures.
Ces documents transforment des obligations légales un peu abstraites en processus opérationnels bien réels. Ils garantissent une réponse rapide, cohérente et, bien sûr, conforme.
Faut-il nommer un Délégué à la Protection des Données (DPO) ?
Désigner un Délégué à la Protection des Données (DPO) n'est pas obligatoire pour tout le monde. La loi l'impose si vous traitez des données sensibles à grande échelle ou si votre activité principale implique un suivi systématique et régulier des personnes.
Mais même si vous n'y êtes pas légalement contraint, nommer un DPO (interne ou externe) est une excellente pratique. Il devient le véritable chef d'orchestre de votre conformité, le référent pour vos équipes et l'interlocuteur privilégié de la CNIL.
D'ailleurs, l'importance d'une documentation rigoureuse et d'une gouvernance structurée ne fait que se renforcer. Dès 2025, la législation française va exiger que les entreprises disposent de six documents clés pour prouver leur conformité RGPD. Cette obligation inclut évidemment le registre des traitements de l'article 30 et met en lumière le rôle précieux d'un DPO pour piloter tout ça. Cette évolution montre bien que le principe d'accountability – qui vous demande de prouver vos bonnes pratiques – est plus que jamais au cœur du dispositif.
Ok, la paperasse est prête, l'audit est bouclé. Il est temps de mettre les mains dans le cambouis – ou plutôt, dans le code et les configurations – pour que votre site web soit techniquement en règle. C'est une étape clé, car c'est là que vos promesses de protection des données deviennent concrètes pour vos visiteurs et les autorités.
On passe de la théorie à la pratique. L'idée est de traduire les grands principes du RGPD en fonctionnalités bien réelles sur votre site. Ça va de la fameuse bannière de cookies qui respecte vraiment le choix de l'utilisateur, jusqu'à la sécurisation de chaque formulaire où une information personnelle pourrait être partagée.
Configurer une bannière de cookies réellement conforme
Le bandeau de cookies, c'est souvent le premier contact "RGPD" que vos visiteurs ont avec vous. Il doit donc être absolument irréprochable. Oubliez tout de suite les solutions bancales où refuser est un parcours du combattant. La règle d'or de la CNIL est simple : le choix doit être libre, éclairé, et aussi simple à refuser qu'à accepter.
Pour y arriver, votre bannière, souvent gérée via une Consent Management Platform (CMP), doit absolument :
- Présenter un bouton "Tout refuser" qui a la même importance (même niveau, même design) que le bouton "Tout accepter".
- N'activer aucun cookie non essentiel tant que vous n'avez pas obtenu un consentement clair.
- Proposer un choix granulaire, qui permet à l'utilisateur de dire oui à la mesure d'audience, mais non à la pub ciblée, par exemple.
Un bon réflexe : naviguez sur votre propre site comme un visiteur lambda. Si vous devez plisser les yeux pour trouver le bouton de refus ou cliquer 3 fois pour y parvenir, votre installation n'est pas conforme. La simplicité, c'est la clé d'un consentement valide.
Pour y voir plus clair, voici un petit comparatif des différentes manières de gérer le consentement.
Comparatif des solutions de gestion de consentement (CMP)
Ce tableau compare différentes approches pour gérer les cookies, en évaluant leurs avantages, inconvénients et leur adéquation avec les exigences du RGPD.
| Solution de CMP | Avantages | Inconvénients | Niveau de conformité |
|---|---|---|---|
| CMP du marché (Didomi, Axeptio, etc.) | Solutions clés en main, mises à jour régulières, support technique. | Coût mensuel, peut ralentir légèrement le site. | Élevé (si bien configuré). |
| Plugin CMS (WordPress, etc.) | Intégration facile, souvent peu coûteux ou gratuit. | Qualité variable, la conformité n'est pas toujours garantie, mises à jour parfois lentes. | Variable (dépend du plugin). |
| Développement sur mesure | Contrôle total, intégration parfaite au design. | Très coûteux en développement et maintenance, risque élevé d'erreurs de conformité. | Risqué (sauf si développé par des experts). |
| Pas de CMP (cookies essentiels uniquement) | Expérience utilisateur fluide, pas de bandeau. | Limite fortement les outils d'analyse et de marketing. | Élevé (si aucun cookie non-essentiel n'est déposé). |
Le choix dépendra de votre budget et de vos besoins techniques, mais une CMP spécialisée reste souvent le pari le plus sûr pour une conformité durable.
Rédiger une politique de confidentialité claire et accessible
Votre politique de confidentialité, ce n'est pas juste un texte juridique indigeste copié-collé d'un autre site. C'est le document de référence pour vos utilisateurs. Son but est d'informer, ce qui implique d'utiliser un langage simple et une structure logique.
Ce document doit impérativement expliquer :
- Qui est le responsable de traitement (vous).
- Pourquoi vous collectez chaque type de donnée (les finalités).
- Sur quelle base légale vous vous appuyez (consentement, contrat…).
- Combien de temps vous gardez chaque donnée.
- À qui vous transmettez les données (sous-traitants, partenaires).
- Comment les utilisateurs peuvent exercer leurs droits (accès, rectification, oubli…).
N'hésitez pas à utiliser des listes à puces, des titres et des phrases courtes. Plus votre politique est transparente, plus vous renforcez la confiance.
Sécuriser chaque formulaire de votre site
Chaque formulaire – contact, devis, inscription – est un point de collecte. Il doit donc être traité avec une extrême rigueur. Juste en dessous de chaque formulaire, vous devez ajouter une petite mention d'information qui rappelle les points essentiels de votre politique de confidentialité.
Voici un exemple concret à adapter :
- "Les informations recueillies ici sont traitées par [Votre Entreprise] pour [gérer votre demande de contact]. La base légale est [votre consentement]. Elles sont gardées [3 ans] et destinées à [notre service commercial]. Pour exercer vos droits sur vos données, contactez : [adresse e-mail]."
Et si vous vous basez sur le consentement, la case à cocher doit être distincte et jamais pré-cochée. Par exemple, la case pour s'inscrire à la newsletter doit être totalement indépendante de celle pour accepter les CGV.
Intégrer les principes de Privacy by Design et by Default
La conformité RGPD n'est pas un projet ponctuel. Elle doit guider vos évolutions futures. C'est tout l'enjeu des principes de Privacy by Design (protection de la vie privée dès la conception) et by Default (par défaut).
En clair, à chaque fois que vous ajoutez une fonctionnalité, un formulaire ou un outil, vous devez penser à son impact sur les données personnelles.
- Privacy by Design : Avant même de développer un nouveau service, intégrez la protection des données dans vos plans. Si vous créez un espace client, par exemple, prévoyez tout de suite comment l'utilisateur pourra modifier ou supprimer ses propres informations. Pour aller plus loin, notre article dédié vous explique comment appliquer le concept de Privacy by Design selon le RGPD dans vos projets.
- Privacy by Default : Par défaut, les réglages de votre site doivent toujours être les plus protecteurs pour la vie privée. Si un utilisateur peut choisir de rendre son profil public ou privé, l'option par défaut doit être "privé".
Ces actions techniques sont la partie visible de votre conformité. En les appliquant avec soin, vous ne faites pas que respecter la loi : vous montrez à vos utilisateurs que leur confiance et leurs données comptent vraiment pour vous.
Voici la réécriture de la section, en respectant le style, le ton et les instructions demandées.
Comprendre les sanctions et les risques financiers
Soyons clairs : négliger la conformité RGPD de son site web n'est tout simplement plus une option. Loin d'être une simple case à cocher administrative, ignorer le règlement vous expose à des risques très concrets qui peuvent frapper durement votre activité. Et je ne parle pas seulement d'argent, mais aussi de votre réputation.
Beaucoup pensent encore que les sanctions ne concernent que les GAFAM. C'est une erreur classique. La réalité, c'est que la Commission Nationale de l'Informatique et des Libertés (CNIL), le gendarme des données en France, a un vrai pouvoir d'enquête et de sanction. Et elle n'hésite pas à l'utiliser, y compris contre des TPE et des PME.
Le pouvoir de contrôle et de sanction de la CNIL
Comment un contrôle de la CNIL démarre-t-il ? Souvent, tout part d'une plainte déposée par un utilisateur. Un visiteur agacé de ne pas pouvoir refuser les cookies aussi facilement que de les accepter, ou qui reste sans réponse après avoir demandé la suppression de ses données, peut signaler votre site en quelques clics. C'est simple et rapide pour lui.
Les contrôles peuvent aussi être déclenchés par la CNIL elle-même, lors de campagnes thématiques. Chaque année, elle se penche sur des secteurs ou des pratiques spécifiques : la gestion des cookies, la sécurité des sites e-commerce, ou l'utilisation de certains outils d'analyse d'audience. Votre site peut se retrouver dans le viseur sans même qu'un utilisateur ne se soit plaint.
Quand un manquement est repéré, la CNIL ne sort pas tout de suite le carton rouge. Sa réponse est graduée :
- L'avertissement : Un simple rappel à l'ordre pour des manquements jugés mineurs.
- La mise en demeure : Là, ça devient sérieux. L'entreprise a un délai précis pour se mettre en conformité. Si rien n'est fait à temps, la sanction qui suit est souvent plus lourde.
- L'amende administrative : C'est évidemment la sanction la plus redoutée. Elle peut grimper jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise. C'est toujours le montant le plus élevé qui est retenu.
Un contrôle de la CNIL n'est jamais anodin. Même une simple mise en demeure, si elle est rendue publique, peut sérieusement écorner l'image de votre entreprise et la confiance de vos clients.
La fermeté de la CNIL est bien réelle et son activité de contrôle ne fait que s'intensifier. Pour vous donner une idée, en 2024, elle a prononcé 495 mises en demeure et infligé 150 sanctions financières pour un total de plus de 245 millions d'euros. Une grande partie de ces actions visaient des sites web dont la gestion des cookies et autres traceurs n'était pas conforme. Vous pouvez d'ailleurs jeter un œil au rapport annuel de la CNIL pour 2024 pour voir le détail de ses actions.
Les risques au-delà des amendes
L'amende, c'est la partie visible de l'iceberg. Mais les conséquences d'une non-conformité vont bien plus loin et peuvent être tout aussi destructrices pour votre business.
- Perte de confiance des clients : Un client qui découvre que ses données sont mal protégées ou utilisées à son insu est souvent un client perdu. La confiance, c'est un actif fragile, long à bâtir mais très rapide à détruire.
- Dégradation de l'image de marque : Une sanction de la CNIL est souvent publiée. Voir son nom associé à un manquement RGPD peut nuire durablement à votre réputation, y compris auprès de vos partenaires commerciaux qui pourraient douter de votre sérieux.
- Coûts indirects : Gérer un contrôle, mobiliser vos équipes, payer des avocats spécialisés… Tout cela a un coût énorme en temps et en argent. Des ressources qui auraient été bien mieux investies dans le développement de votre activité.
Au final, la meilleure approche est de voir la conformité RGPD de votre site non pas comme une charge, mais comme un investissement stratégique. C'est un véritable gage de sérieux et de professionnalisme qui sécurise votre entreprise et, surtout, renforce le lien de confiance avec vos utilisateurs.
Les questions qui reviennent souvent sur le RGPD et votre site web
Se lancer dans la mise en conformité RGPD de son site web, c'est un peu comme ouvrir une boîte de Pandore. On se retrouve vite avec une pile de questions pratiques. Entre les obligations légales d'un côté et les contraintes techniques de l'autre, on peut vite se sentir perdu.
Rassurez-vous, c'est tout à fait normal. L'idée ici est de répondre aux interrogations les plus fréquentes que les propriétaires de sites comme vous nous posent au quotidien. L'objectif ? Vous donner des réponses claires et concrètes pour que tout devienne plus simple.
Mon site est hébergé hors de l'UE, je suis tranquille, non ?
Attention, c'est une idée reçue très répandue et particulièrement dangereuse. Non, héberger son site hors de l'Union européenne ne vous protège absolument pas du RGPD. Le règlement a une portée extraterritoriale.
Ce n'est pas l'adresse de vos serveurs qui compte, mais bien celle de vos visiteurs. Si votre site est accessible à des résidents européens ou si vous les ciblez (par exemple, en proposant une livraison en France ou des prix en euros), alors le RGPD s'applique à vous. Point final.
Le principe clé est celui du ciblage. Dès que vous vous adressez à des personnes qui se trouvent sur le territoire de l'UE, le règlement vous concerne, peu importe où votre entreprise est basée. Ignorer cette règle, c'est s'exposer exactement aux mêmes sanctions qu'une boîte européenne.
Comment on fait pour Google Analytics ? C'est interdit maintenant ?
Non, utiliser Google Analytics n'est pas interdit, mais sa configuration par défaut n'est pas du tout conforme au RGPD. Pour l'utiliser dans les règles de l'art, il y a quelques ajustements indispensables à faire pour garantir la conformité RGPD de votre site.
D'abord, le plus important : vous devez avoir le consentement clair et net de l'utilisateur avant de déclencher le moindre script de suivi. Concrètement, votre bandeau de consentement doit bloquer Google Analytics tant que la personne n'a pas cliqué sur "Accepter".
Ensuite, un réflexe à avoir : activez l'anonymisation des adresses IP. C'est une option simple à cocher dans les réglages de votre compte Google Analytics, et ça limite la collecte de données qui pourraient permettre d'identifier quelqu'un.
Le consentement pour les cookies, ça dure combien de temps ?
C'est un point crucial sur lequel la CNIL a mis les choses au clair. En France, c'est sa parole qui fait foi.
La durée de validité recommandée pour un consentement au dépôt de cookies est de 6 mois. Passé ce délai, vous devez tout simplement reposer la question à l'utilisateur en lui présentant à nouveau le bandeau de consentement.
Attention à ne pas tout mélanger : la durée du consentement n'est pas la même que la durée de mémorisation du choix. Si un utilisateur refuse, vous pouvez (et devriez) garder en mémoire ce refus plus longtemps. Ça évite de le harceler avec le bandeau à chaque visite, ce qui serait une très mauvaise expérience pour lui.
Est-ce que je dois vraiment nommer un DPO ?
Pas forcément. La nomination d'un Délégué à la Protection des Données (DPO) n'est pas obligatoire pour tout le monde. La loi impose d'en avoir un dans trois situations bien précises :
- Vous êtes une autorité ou un organisme public.
- Votre activité principale consiste à suivre des personnes de manière régulière et à grande échelle.
- Vous traitez massivement des données sensibles (santé, opinions politiques…) ou des données liées à des condamnations pénales.
Pour beaucoup de TPE et PME, la réponse est donc non, ce n'est pas obligatoire. Cependant, ça reste une excellente pratique, vivement recommandée. Avoir un DPO, qu'il soit un collègue ou un expert externe, ça structure toute votre démarche. Ça donne aussi un point de contact clair pour les autorités et pour vos clients. Savoir comment informer ses clients sur le RGPD est d'ailleurs une tâche parfaite à lui confier.