Votre site internet est en première ligne de la conformité RGPD (Règlement 2016/679 du Parlement européen et du Conseil). C'est là que vous collectez des données personnelles — formulaires de contact, cookies analytiques, inscriptions newsletter, demandes de devis. Et c'est là que la CNIL concentre une partie significative de ses contrôles, notamment via ses outils de scan automatisé des sites web.
Cette checklist en 15 points couvre les obligations fondamentales du Règlement 2016/679 pour un site internet de PME. Elle n'est pas exhaustive mais couvre les manquements les plus fréquemment constatés lors des contrôles.
Pourquoi Auditer Votre Site Maintenant
La CNIL a mis en demeure ou sanctionné des centaines d'entreprises pour des manquements constatés directement sur leur site web, souvent via des outils automatisés scannant des milliers de sites par jour. Les amendes peuvent atteindre 20 M€ ou 4 % du CA annuel mondial en vertu de l'article 83 du RGPD — les mêmes plafonds s'appliquent aux grandes entreprises comme aux PME.
Les manquements les plus sanctionnés en France : dépôt de cookies sans consentement préalable, absence de politique de confidentialité, formulaires collectant des données sans base légale identifiée. Ces infractions sont visibles depuis l'extérieur, sans accès à votre back-end.
La Checklist en 15 Points
1. Gestion des Cookies
Exigence (article 82 de la loi Informatique et Libertés, délibération CNIL 2020-091) : Les cookies non strictement nécessaires au fonctionnement du site (analytiques, publicitaires, réseaux sociaux) requièrent le consentement libre, spécifique, éclairé et univoque de l'internaute avant leur dépôt.
À vérifier :
- Un bandeau de cookies s'affiche à la première visite
- Le refus est aussi simple que l'acceptation (même nombre de clics)
- Les catégories de cookies sont clairement décrites
- Le consentement est tracé (preuve de consentement conservée 1 an)
- Les cookies non-essentiels ne se déposent pas avant l'acceptation (vérifiable via les DevTools navigateur)
Erreur fréquente : bandeau avec un bouton "Accepter tout" visible et un lien "Gérer mes préférences" discret — non conforme selon la CNIL.
2. Politique de Confidentialité
Exigence (articles 13 et 14 du RGPD) : Toute collecte de données personnelles doit être accompagnée d'une information claire sur le traitement.
À vérifier :
- Une page "Politique de confidentialité" (ou "Données personnelles") est accessible depuis chaque page (footer)
- Elle mentionne l'identité du responsable de traitement
- Elle liste les données collectées, leurs finalités et leur base légale pour chaque traitement
- Elle indique les durées de conservation
- Elle mentionne les droits des personnes (accès, rectification, suppression, portabilité, opposition)
- Elle précise les coordonnées du DPO ou du contact pour les demandes
3. Formulaires de Contact et de Collecte
Exigence (article 13 RGPD) : Chaque formulaire collectant des données personnelles doit comporter une information transparente au moment de la collecte.
À vérifier :
- Chaque formulaire inclut un lien vers la politique de confidentialité
- Les champs marqués obligatoires sont réellement nécessaires à la finalité déclarée (principe de minimisation, article 5)
- Les finalités sont clairement indiquées (ex: "Ces informations seront utilisées pour répondre à votre demande")
- La base légale est cohérente avec la finalité (consentement, contrat, intérêt légitime)
Erreur fréquente : collecter le numéro de téléphone dans un formulaire de contact générique alors qu'il n'est pas nécessaire.
4. Politique de Confidentialité — Complétude
Exigence : Au-delà de l'existence de la page, sa complétude est vérifiable. Une politique vague ou copiée-collée sans adaptation est insuffisante.
À vérifier spécifiquement :
- Les bases légales de chaque traitement sont mentionnées (article 6 RGPD : consentement, contrat, obligation légale, intérêt légitime, etc.)
- Les transferts hors UE sont mentionnés si applicables (notamment si vous utilisez des outils américains comme Google Analytics, HubSpot, Stripe)
- Les sous-traitants principaux sont identifiés (ou au moins leur catégorie)
5. Gestion du Consentement
Exigence (articles 4 et 7 RGPD) : Le consentement doit être libre, spécifique, éclairé, univoque, et révocable à tout moment aussi facilement qu'il a été donné.
À vérifier :
- Il est aussi facile de retirer son consentement que de le donner (lien accessible depuis le site)
- Les cases pré-cochées sont absentes des formulaires (invalide le consentement)
- Le consentement au traitement marketing est dissocié de l'acceptation des CGU
- Un historique des consentements peut être produit en cas de contrôle
6. Sous-Traitants et Outils Tiers
Exigence (article 28 RGPD) : Chaque sous-traitant traitant des données personnelles pour votre compte doit faire l'objet d'un contrat spécifique (DPA - Data Processing Agreement).
À vérifier :
- Vous avez signé un DPA avec vos principaux outils (hébergeur, outil d'emailing, CRM, analytics, chat support)
- Les outils utilisés sont listés dans votre registre des traitements
- Pour les transferts hors UE (outils américains notamment), des clauses contractuelles types (CCT) ou une autre garantie appropriée est en place
Outils fréquemment utilisés sans DPA : Google Analytics, Mailchimp, Intercom, HubSpot, Stripe (qui propose pourtant un DPA en ligne).
7. DPO (Délégué à la Protection des Données)
Exigence (article 37 RGPD) : La désignation d'un DPO est obligatoire pour les entités publiques, les entités effectuant un suivi à grande échelle, et les entités traitant des catégories spéciales de données à grande échelle. Elle est recommandée pour toutes les autres.
À vérifier :
- Si DPO obligatoire : sa désignation est notifiée à la CNIL et ses coordonnées figurent dans la politique de confidentialité
- Si DPO non obligatoire : un référent RGPD interne ou externe est identifié pour répondre aux demandes
8. Registre des Traitements
Exigence (article 30 RGPD) : Toute entreprise de plus de 250 salariés est obligatoirement tenue de maintenir un registre des traitements. En dessous de 250 salariés, l'obligation s'applique si les traitements sont susceptibles de comporter des risques ou sont non-occasionnels.
À vérifier :
- Un registre des traitements existe et est tenu à jour
- Il couvre les traitements liés au site internet (analytics, formulaires, newsletter, e-commerce)
- Il est accessible en cas de contrôle CNIL
9. Droit d'Accès
Exigence (article 15 RGPD) : Toute personne a le droit d'obtenir une copie de ses données personnelles dans un délai d'un mois (extensible à 3 mois pour les demandes complexes).
À vérifier :
- Une adresse de contact pour les demandes d'exercice de droits est clairement indiquée (email dédié ou formulaire)
- Une procédure interne de traitement des demandes existe
- Le délai de réponse d'un mois est respecté
10. Droit à la Portabilité
Exigence (article 20 RGPD) : Pour les traitements basés sur le consentement ou le contrat, les personnes ont le droit de recevoir leurs données dans un format structuré, couramment utilisé et lisible par machine.
À vérifier :
- Pour un site e-commerce ou avec espace client : une fonction d'export des données est disponible
- Le format proposé est standard (CSV, JSON)
11. Droit à l'Effacement
Exigence (article 17 RGPD) : Les personnes ont le droit d'obtenir l'effacement de leurs données dans certaines circonstances (retrait du consentement, données plus nécessaires à la finalité, etc.).
À vérifier :
- Une procédure d'effacement est en place et documentée
- Les délais de conservation sont définis et les données supprimées à leur expiration
12. Notification CNIL en Cas de Violation
Exigence (article 33 RGPD) : Toute violation de données personnelles doit être notifiée à la CNIL dans les 72 heures si elle est susceptible d'engendrer un risque pour les droits et libertés des personnes.
À vérifier :
- Une procédure de gestion des violations de données existe
- Les interlocuteurs (qui notifie, comment) sont identifiés
- Un registre des violations (même mineures) est tenu
13. Sécurité Technique du Site
Exigence (article 32 RGPD) : Des mesures techniques et organisationnelles appropriées doivent être mises en place pour garantir un niveau de sécurité adapté au risque.
À vérifier :
- Le site est accessible uniquement via HTTPS (certificat SSL valide)
- Les mots de passe des comptes administrateurs respectent une politique de robustesse
- Les mises à jour du CMS et des plugins sont appliquées régulièrement
- Les accès administrateurs sont journalisés
14. Transferts Hors UE
Exigence (articles 44 à 49 RGPD) : Le transfert de données personnelles hors de l'UE n'est possible que si des garanties appropriées sont en place.
À vérifier :
- Vos outils qui transfèrent des données aux États-Unis disposent d'un mécanisme de transfert valide (Data Privacy Framework si l'entité américaine est certifiée, ou Clauses Contractuelles Types)
- Ces transferts sont documentés dans votre registre des traitements
- La politique de confidentialité informe les utilisateurs des éventuels transferts hors UE
15. Formation et Sensibilisation
Exigence (article 32 RGPD — mesures organisationnelles) : La sécurité des données ne repose pas que sur la technique. Les personnes ayant accès aux données personnelles doivent être sensibilisées.
À vérifier :
- Les collaborateurs ayant accès aux données clients sont sensibilisés aux obligations RGPD
- Les prestataires externes ayant accès à votre back-office ont signé un engagement de confidentialité
- Une sensibilisation annuelle est organisée
Priorisation : Par Où Commencer ?
Si vous devez prioriser, concentrez-vous d'abord sur les points 1 (cookies), 2 (politique de confidentialité), 3 (formulaires) et 12 (notification violation). Ce sont les quatre domaines les plus fréquemment contrôlés par la CNIL et les plus facilement détectables depuis l'extérieur.
Les points 6 (DPA fournisseurs), 8 (registre) et 14 (transferts hors UE) sont moins visibles mais peuvent représenter des manquements structurels importants lors d'un contrôle approfondi.
WarDek RGPD : Automatisez Votre Conformité
Réaliser cet audit manuellement sur un site est une chose. Le maintenir dans le temps — au gré des évolutions du site, des changements de fournisseurs, des mises à jour réglementaires — en est une autre.
Le module RGPD de WarDek scanne automatiquement votre site à intervalles réguliers pour détecter les cookies non déclarés, les formulaires sans mention d'information, et les pages manquantes. Il génère un tableau de bord de conformité avec un score par domaine et les actions correctives prioritaires. Les rapports sont exportables pour vos audits internes ou les demandes de vos clients.
Pour une vue complète des obligations de cybersécurité qui s'appliquent à votre activité, consultez notre guide sur la directive NIS2 pour les PME.