🛡️ Sécurité

RGPD minimum viable pour un site : ce qu'il faut faire, pas plus

Le socle RGPD pragmatique pour une PME ou une agence web : mentions légales, politique de confidentialité, bandeau cookies, registre simplifié, contrats sous-traitants, sans se noyer dans la complexité.

débutant ⏱ 15 min Mise à jour : 2026-04-24

Le RGPD n'est pas un monstre. Pour un site vitrine, un site marchand classique ou un outil SaaS de PME, il y a une poignée d'obligations concrètes qui couvrent 95 % du risque. Cette doc liste ce socle « minimum viable » : ce qu'il faut écrire, ce qu'il faut activer, ce qu'il faut signer. Sans gold-plating, mais sans rien oublier d'important non plus.

ℹ️
Doc technique, pas conseil juridique
On parle ici de ce qu'on voit sur le terrain, côté hébergeur et côté agences. Pour les cas sensibles (santé, données biométriques, profilage à grande échelle, transferts hors UE non standards), prenez un DPO externe ou un avocat spécialisé. Le coût d'une heure de conseil est toujours inférieur au coût d'une mise en demeure CNIL.

Les 5 minimums à avoir sur le site

1. Mentions légales

Obligation de la LCEN (loi de 2004), pas du RGPD, mais c'est la première chose que la CNIL et vos visiteurs cherchent. À afficher dans le footer, accessible depuis toutes les pages.

Ce qu'il faut y mettre :

  • Éditeur du site : raison sociale, forme juridique, capital, SIREN, siège social, TVA intracommunautaire.
  • Directeur de la publication : en général le dirigeant.
  • Contact : email et téléphone.
  • Hébergeur : nom, adresse postale, téléphone. Si vous êtes hébergé chez Datacampus : Datacampus SAS, 493 Avenue de Paris, 79000 Niort, +33 5 16 64 00 75.

2. Politique de confidentialité

Page dédiée, lien dans le footer, souvent appelée « Données personnelles » ou « Vie privée ». Elle doit répondre clairement aux questions suivantes, traitement par traitement :

  • Quelles données sont collectées (nom, email, IP, cookies, etc.) ?
  • Pourquoi (finalité) : répondre à un contact, envoyer une newsletter, livrer une commande, faire de la pub ciblée...
  • Base légale : consentement, contrat, obligation légale, intérêt légitime. Une et une seule par traitement.
  • Combien de temps les données sont conservées.
  • Qui y a accès : en interne, et les sous-traitants (hébergeur, emailer, CRM...).
  • Les droits de la personne : accès, rectification, effacement, opposition, portabilité, limitation.
  • Comment les exercer : email dédié, ou formulaire.
  • Contact du DPO s'il y en a un (pas obligatoire pour la plupart des PME).
  • Droit de réclamation auprès de la CNIL, avec lien vers cnil.fr.

3. Bandeau cookies

La règle CNIL est simple sur le principe, complexe dans l'implémentation :

  • Avant consentement : aucun cookie non strictement nécessaire ne doit être déposé. Pas d'analytics, pas de pixel Meta, pas de YouTube embed qui tracke.
  • Refuser doit être aussi simple qu'accepter : un bouton « Tout refuser » au même niveau que « Tout accepter ». Les bandeaux à trois clics pour refuser sont épinglés régulièrement.
  • Choix mémorisé : pas de rebandeau à chaque page. Durée recommandée 6 mois.
  • Information : un lien vers la politique cookies ou un panneau détaillé par finalité.
💡
Outils open source pour le bandeau
tarteaucitron.io : bandeau français open source, gère les principaux services tiers avec un simple toggle. Léger, gratuit, conforme.
Matomo self-hosted bien configuré (anonymisation IP, pas de fingerprinting, pas d'export tiers, DoNotTrack respecté) est exempté du bandeau de consentement par la CNIL. C'est le combo recommandé pour un site vitrine : zéro bandeau si vous n'avez que Matomo.

4. Formulaires (contact, newsletter, inscription)

  • Une phrase sous le formulaire qui explique à quoi sert la collecte et renvoie vers la politique de confidentialité.
  • Si vous collectez l'email pour de la prospection marketing : case à cocher dédiée, non pré-cochée, séparée du bouton « Envoyer ».
  • Pas de champs inutiles (principe de minimisation) : ne demandez pas une date de naissance si vous n'en avez pas l'usage.
  • Astérisque clair sur les champs obligatoires.

5. Sécurité des données

Le RGPD impose des « mesures techniques et organisationnelles appropriées ». Traduction pour un site :

  • HTTPS partout, y compris sur les sous-domaines. Let's Encrypt est gratuit et automatisé dans Plesk.
  • Mots de passe forts côté admin, et 2FA sur tous les back-office (WordPress, Plesk, CMS, mail).
  • Sauvegardes testées, stockées hors du serveur de prod. Voir Sauvegardes 3-2-1.
  • Mises à jour CMS et plugins appliquées régulièrement. Voir Hardening général.

Le registre des traitements

C'est l'obligation la plus oubliée, alors qu'elle est systématique : toute organisation qui traite des données perso doit tenir un registre. Pour une PME de moins de 250 salariés, le registre est simplifié, mais il doit exister et être tenu à jour.

La CNIL met à disposition un modèle de registre simplifié en tableur. Il se remplit en une heure la première fois, puis c'est juste de la mise à jour quand un outil change.

Exemples typiques de traitements à lister pour une PME :

  • Gestion des prospects et contacts commerciaux (formulaire site, CRM).
  • Newsletter et emailing marketing.
  • Gestion des comptes clients et facturation.
  • Gestion RH (paie, recrutement, candidatures reçues).
  • Logs de connexion serveur et espace client (obligation de conservation d'1 an sur les logs d'authentification).
  • Vidéosurveillance si vous en avez une sur site.

Les sous-traitants (article 28)

Dès qu'un prestataire extérieur traite des données personnelles pour votre compte, il faut un contrat de sous-traitance RGPD (aussi appelé DPA, Data Processing Agreement). C'est cumulatif avec le contrat commercial.

Les sous-traitants typiques d'un site web :

  • Hébergeur (Datacampus, OVH, Scaleway...). Datacampus fournit un DPA standard à chaque client, sur simple demande.
  • Email transactionnel (Brevo, SendGrid, Mailjet, ou Mailcow auto-hébergé).
  • Analytics (Matomo self-hosted, ou GA4). Matomo self-hosted évite un sous-traitant de plus.
  • CRM / marketing (HubSpot, Pipedrive, Brevo...).
  • Paiement (Stripe, PayPal, GoCardless...).
  • Agence web qui a accès à vos back-office.

Tenez la liste à jour en même temps que le registre. C'est la première chose qu'on vous demandera en cas de contrôle ou d'incident.

Données sensibles : exigences renforcées

Certaines catégories de données déclenchent un régime plus strict : santé, origine raciale ou ethnique, opinions politiques, religion, orientation sexuelle, données biométriques, données de mineurs. Pour ces données :

  • Base légale renforcée (consentement explicite ou texte de loi précis).
  • Chiffrement au repos de la base et des sauvegardes.
  • Journalisation des accès (qui a vu quoi, quand).
  • Analyse d'impact (AIPD) obligatoire avant mise en production.
  • Formation des personnes qui y ont accès.

Si votre traitement tombe dans cette case, ne bricolez pas : prenez un DPO externe pour valider l'architecture.

Transferts hors UE

Le sujet qui fâche. Dès qu'un outil stocke des données perso aux États-Unis (ou les rend accessibles depuis les US), on est sur un transfert hors UE, qui nécessite une base légale spécifique et une analyse au cas par cas.

⚠️
GA4, Mailchimp, HubSpot, Zendesk... sont des outils US
Chaque outil américain doit faire l'objet d'une analyse. Le Data Privacy Framework (2023) couvre une partie du risque, mais sa solidité juridique est contestée. L'approche la plus simple reste de choisir des équivalents européens ou auto-hébergés quand ils existent.

Quelques alternatives concrètes :

  • GA4 → Matomo self-hosted, Plausible, Fathom EU.
  • Mailchimp → Brevo (FR), Mailjet (FR), Listmonk auto-hébergé.
  • Zendesk → Crisp (FR), Freshdesk EU, Zammad auto-hébergé.
  • Google Workspace → Nextcloud + OnlyOffice, Infomaniak, mailcow.

Violations de données : 72 h

Une fuite, un ransomware, une base clients qui finit sur un forum : c'est une violation de données. Si elle présente un risque pour les personnes (fuite d'identifiants, de données bancaires, etc.), notification à la CNIL sous 72 heures via leur téléservice. Si le risque est élevé, il faut aussi prévenir les personnes concernées.

Avoir une procédure écrite d'avance évite de paniquer. Voir notre guide Incident de sécurité : 4 premières heures.

Droit des personnes : un mécanisme concret

Toute personne peut vous demander : accès à ses données, rectification, effacement, portabilité, opposition. Vous avez 1 mois pour répondre (prolongeable à 3 mois sur les cas complexes, mais il faut motiver).

En pratique :

  1. Une adresse dédiée type contact@ ou dpo@, visible dans la politique de confidentialité.
  2. Un process interne qui tourne : qui reçoit, qui cherche dans les outils (CRM, mailer, base de données), qui répond.
  3. Vérifier l'identité du demandeur (une simple réponse à l'email suffit dans la plupart des cas).
  4. Traçabilité : garder trace de la demande et de la réponse pendant 3 ans.

Cas Datacampus : sous-traitant à jour

🇫🇷
Votre hébergeur n'est pas un problème RGPD
Datacampus héberge 100 % en France (datacenter Cassin1 au Futuroscope), notre réseau AS50446 avec transits et peering Europe, aucun transfert hors UE par défaut. Un DPA standard est disponible à la demande, à contresigner en ligne. Infrastructure certifiée Positive Company, membre vérifié The Green Web Foundation, 100 % Open Source (Linux, Proxmox, Ceph). Le volet « hébergement » de votre registre se remplit en 2 minutes.

Récapitulatif minimum viable

  1. Mentions légales à jour dans le footer (avec votre hébergeur).
  2. Politique de confidentialité détaillée, lien footer sur toutes les pages.
  3. Bandeau cookies conforme, ou Matomo self-hosted bien réglé pour s'en passer.
  4. Formulaires propres : finalité affichée, case marketing non pré-cochée.
  5. HTTPS, 2FA, sauvegardes testées.
  6. Registre des traitements rempli et tenu à jour (modèle CNIL).
  7. Liste des sous-traitants + DPA signé avec chacun.
  8. Procédure interne pour les demandes d'accès et pour les violations de données.
  9. Revue annuelle : un créneau d'une heure par an pour tout relire.

Ce socle couvre le risque d'une PME ou d'une agence web standard. Au-delà (profilage à grande échelle, données de santé, plateforme à millions d'utilisateurs, IA génératives entraînées sur données clients), il faut un DPO et de la documentation supplémentaire.

Pour aller plus loin

Docs liés

Sécurité

Hardening général : les essentiels

Checklist de durcissement : principes (moindre privilège, defense in depth, MAJ), comptes (MDP forts, 2FA), site (HTTPS, HSTS, CSP, cookies), serveur (fail2ban, SSH, WAF) et audit continu.

 Performance

Matomo self-hosted : l'alternative souveraine à Google Analytics

Installer, configurer et exploiter Matomo en auto-hébergement : conformité RGPD, exemption de consentement, intégration WordPress et bonnes pratiques.

 Sécurité

Sauvegardes : la règle du 3-2-1 en pratique

Trois copies, deux supports, une hors site. La règle tient en trois chiffres, mais c'est encore le meilleur garde-fou contre un ransomware, un incendie, ou une mise à jour WordPress qui tourne mal. Guide concret pour un client Datacampus.

Besoin d'aide ?

Cette documentation ne couvre pas votre cas ? Notre support humain est là.

Ouvrir un ticket Nous contacter