Aller au contenu principal
RGPD25 mars 202611 min de lecture

Audit RGPD de votre site web en 2026 : la checklist complete en 7 points

Cookies, consentement, mentions legales, formulaires : verifiez la conformite RGPD de votre site web avec cette checklist pratique.

Audit RGPD de votre site web : la checklist complete en 7 points

Depuis l'entree en vigueur du RGPD en mai 2018, chaque site web qui collecte des donnees personnelles doit respecter un cadre juridique strict. En France, la CNIL a renforce ses controles et ses sanctions de maniere significative : 150 millions d'euros d'amende pour Google, 35 millions pour Amazon, 60 millions pour Meta/Facebook. Ces montants ne concernent pas uniquement les geants du numerique. En 2025 et 2026, la CNIL a multiplie les mises en demeure envers des PME et des sites de taille modeste.

Pourtant, la majorite des sites web francais presentent encore des non-conformites flagrantes. Un audit RGPD rigoureux permet d'identifier ces failles avant qu'un controle ou une plainte ne les revele. Voici la checklist complete en 7 points pour verifier la conformite de votre site.

1. Cookies : aucun traceur avant le consentement

Ce que dit la loi

Depuis les lignes directrices de la CNIL publiees en avril 2021, le depot de cookies non essentiels avant le recueil du consentement explicite de l'utilisateur est interdit. Cela concerne les cookies de mesure d'audience (Google Analytics, Facebook Pixel), les cookies publicitaires, les cookies de reseaux sociaux et tout script tiers qui collecte des donnees personnelles.

Seuls les cookies strictement necessaires au fonctionnement du site (cookies de session, panier d'achat, preferences de langue) peuvent etre deposes sans consentement.

Comment verifier

Ouvrez votre site dans un navigateur en navigation privee. Avant de cliquer sur quoi que ce soit dans la banniere de consentement, ouvrez les outils developpeur (F12) et consultez l'onglet "Application" puis "Cookies". Si vous trouvez des cookies Google Analytics, Facebook, ou tout autre traceur tiers, votre site est en infraction.

Vous pouvez egalement utiliser des outils comme la fonctionnalite d'audit automatise de WebConforme, qui detecte instantanement les cookies deposes avant consentement.

Comment corriger

Configurez votre CMP (Consent Management Platform) pour bloquer tous les scripts tiers tant que l'utilisateur n'a pas donne son consentement. Sur WordPress, des plugins comme Complianz ou CookieYes permettent ce blocage. Pour les sites custom, implementez un systeme de tag conditionnel qui ne charge les scripts qu'apres validation du consentement.

2. Banniere de consentement : le bouton "Refuser" est obligatoire

Ce que dit la loi

La CNIL a clarifie ce point en 2021 : refuser les cookies doit etre aussi simple que les accepter. Concretement, le bouton "Tout refuser" doit apparaitre au meme niveau que le bouton "Tout accepter", avec une visibilite equivalente. Les pratiques de dark patterns, comme un bouton "Accepter" bien visible et un lien "Parametrer" minuscule qui oblige a plusieurs clics pour refuser, sont sanctionnees.

C'est precisement pour ce type de manquement que la CNIL a sanctionne Google (150 millions d'euros) et Amazon (35 millions d'euros) en decembre 2021. Les deux entreprises proposaient un bouton "Accepter" en un clic mais rendaient le refus volontairement complexe.

Comment verifier

Rendez-vous sur votre site et examinez la banniere de cookies. Le bouton "Refuser" ou "Tout refuser" est-il visible immediatement, sans avoir a ouvrir un sous-menu ? Sa taille, sa couleur et son positionnement sont-ils comparables au bouton "Accepter" ? Si la reponse est non a l'une de ces questions, vous etes expose a une sanction.

Comment corriger

Modifiez votre banniere de consentement pour afficher clairement deux boutons au meme niveau : "Tout accepter" et "Tout refuser". Evitez les contrastes de couleur trompeurs (un bouton vert vif contre un bouton gris pale). Le module RGPD de WebConforme verifie automatiquement la presence et la visibilite du bouton de refus sur votre banniere.

3. Politique de confidentialite : les mentions obligatoires

Ce que dit la loi

Les articles 13 et 14 du RGPD imposent une liste precise d'informations a fournir aux personnes dont vous collectez les donnees. Votre politique de confidentialite doit obligatoirement contenir :

  • L'identite et les coordonnees du responsable de traitement (nom de l'entreprise, adresse, email de contact)
  • Les finalites de chaque traitement (pourquoi vous collectez ces donnees)
  • Les bases legales de chaque traitement (consentement, execution d'un contrat, interet legitime, obligation legale)
  • Les destinataires des donnees (sous-traitants, partenaires, transferts hors UE)
  • Les durees de conservation pour chaque categorie de donnees
  • Les droits des personnes (acces, rectification, effacement, portabilite, opposition, limitation)
  • Le droit de deposer une plainte aupres de la CNIL
  • Les coordonnees du DPO (Delegue a la Protection des Donnees) si vous en avez designe un

Comment verifier

Relisez votre politique de confidentialite point par point en cochant chaque element de la liste ci-dessus. La plupart des politiques de confidentialite que nous analysons omettent les durees de conservation, les bases legales specifiques a chaque traitement, ou les coordonnees du DPO.

Comment corriger

Redigez ou mettez a jour votre politique en suivant scrupuleusement la liste des articles 13 et 14. Soyez precis : ne dites pas "nous conservons vos donnees le temps necessaire", indiquez des durees chiffrees (par exemple "3 ans apres le dernier contact pour les donnees de prospection commerciale"). WebConforme analyse automatiquement le contenu de votre page de politique de confidentialite et identifie les mentions manquantes.

4. Mentions legales : les obligations de la LCEN

Ce que dit la loi

L'article 6 de la Loi pour la Confiance dans l'Economie Numerique (LCEN) impose a tout site web professionnel de publier des mentions legales contenant :

  • La raison sociale de l'entreprise
  • Le numero SIRET (ou RCS pour les societes)
  • L'adresse du siege social
  • Le nom de l'hebergeur du site web (raison sociale, adresse, telephone)
  • Le nom du directeur de la publication
  • Un moyen de contact (email ou formulaire)

Pour les micro-entrepreneurs, le numero SIRET et le nom complet sont obligatoires. L'absence de mentions legales est passible d'une amende de 75 000 euros pour une personne physique et 375 000 euros pour une personne morale.

Comment verifier

Accedez a la page "Mentions legales" de votre site et verifiez la presence de chaque element. Attention : un lien casse vers cette page ou une page vide est equivalente a une absence totale de mentions legales.

Comment corriger

Creez ou completez votre page de mentions legales avec tous les elements requis. C'est l'une des corrections les plus simples et pourtant l'une des plus negligees. L'audit WebConforme verifie automatiquement l'existence de la page et la presence des informations obligatoires.

5. Formulaires : consentement explicite et transparence

Ce que dit la loi

Chaque formulaire qui collecte des donnees personnelles (formulaire de contact, inscription newsletter, creation de compte) doit respecter plusieurs regles :

  • Le consentement doit etre explicite : une case a cocher non pre-cochee est necessaire pour toute finalite distincte (par exemple, recevoir la newsletter en plus de traiter une demande de contact)
  • Les champs obligatoires et facultatifs doivent etre clairement distingues (asterisque, mention "obligatoire/facultatif")
  • Un lien vers la politique de confidentialite doit etre present a proximite du formulaire
  • La minimisation des donnees s'applique : ne demandez que les donnees strictement necessaires a la finalite du formulaire

Comment verifier

Testez chaque formulaire de votre site. Les cases de consentement sont-elles pre-cochees ? La distinction obligatoire/facultatif est-elle claire ? Le lien vers la politique de confidentialite est-il present et fonctionnel ?

Comment corriger

Decochez toute case pre-cochee. Ajoutez une mention claire sous chaque formulaire du type : "En soumettant ce formulaire, vous acceptez que vos donnees soient traitees conformement a notre politique de confidentialite." avec un lien actif. Supprimez les champs non essentiels. Le scanner de WebConforme detecte automatiquement les formulaires de votre site et verifie la conformite de chacun.

6. Duree des cookies : 13 mois maximum

Ce que dit la loi

La CNIL recommande une duree de vie maximale de 13 mois pour les cookies deposes sur le terminal de l'utilisateur. Au-dela de cette periode, le cookie doit expirer automatiquement. Par ailleurs, le consentement recueilli aupres de l'utilisateur a egalement une validite maximale de 13 mois : passe ce delai, vous devez redemander le consentement.

Cette recommandation est devenue un standard de fait en matiere de controle. Les entreprises sanctionnees pour des cookies a duree excessive font face a des mises en demeure systematiques.

Comment verifier

Dans les outils developpeur de votre navigateur, consultez la colonne "Expires" ou "Max-Age" de chaque cookie. Calculez la duree entre la date de depot et la date d'expiration. Si elle depasse 13 mois, vous etes en dehors des recommandations de la CNIL.

Pour le consentement, verifiez la configuration de votre CMP : le consentement est-il automatiquement redemande apres 13 mois ?

Comment corriger

Configurez la duree de vie de vos cookies a 13 mois maximum dans votre CMP et dans les parametres de chaque outil tiers. Parametrez votre systeme de consentement pour expirer et re-solliciter l'utilisateur tous les 13 mois. Le module RGPD de WebConforme analyse automatiquement la duree de chaque cookie detecte et signale ceux qui depassent la limite recommandee.

7. HTTPS : le chiffrement des donnees en transit

Ce que dit la loi

L'article 32 du RGPD impose au responsable de traitement de mettre en oeuvre des "mesures techniques et organisationnelles appropriees" pour garantir la securite des donnees personnelles. Le chiffrement des donnees en transit via le protocole HTTPS (certificat SSL/TLS) est considere comme une mesure de securite minimale par la CNIL et par l'ensemble des autorites de protection des donnees europeennes.

Un site qui collecte des donnees personnelles (meme un simple formulaire de contact) via une connexion HTTP non chiffree expose ces donnees a l'interception. C'est une violation directe de l'obligation de securite du RGPD.

Comment verifier

Accedez a votre site et verifiez la presence du cadenas dans la barre d'adresse. Testez egalement que la redirection HTTP vers HTTPS fonctionne correctement : tapez l'adresse de votre site en commencant par "http://" et verifiez que vous etes automatiquement redirige vers la version "https://".

Verifiez aussi que votre certificat SSL est valide et n'a pas expire, et que les pages mixtes (pages HTTPS chargeant des ressources en HTTP) sont absentes.

Comment corriger

Installez un certificat SSL/TLS sur votre serveur. La plupart des hebergeurs proposent des certificats gratuits via Let's Encrypt. Configurez la redirection automatique HTTP vers HTTPS. Corrigez les references internes en HTTP pour eliminer le contenu mixte. WebConforme verifie automatiquement la presence du HTTPS, la validite du certificat et l'absence de contenu mixte.

Les sanctions sont reelles : exemples concrets

L'argument "on ne controle que les gros" ne tient plus. Voici quelques exemples de sanctions prononcees par la CNIL :

  • Google : 150 millions d'euros (decembre 2021) pour la complexite du mecanisme de refus des cookies sur google.fr et youtube.com
  • Amazon : 35 millions d'euros (decembre 2021) pour le depot de cookies publicitaires sans consentement prealable sur amazon.fr
  • Meta/Facebook : 60 millions d'euros (janvier 2022) pour l'absence de mecanisme simple de refus des cookies
  • Doctissimo : 380 000 euros (mai 2023) pour le depot de cookies sans consentement, des durees de conservation excessives et des transferts de donnees hors UE non encadres
  • Criteo : 40 millions d'euros (juin 2023) pour le traitement de donnees a des fins de ciblage publicitaire sans consentement valable

La CNIL traite chaque annee des milliers de plaintes individuelles. Un seul utilisateur mecontent peut declencher un controle. Ne pas etre conforme n'est pas seulement un risque juridique : c'est un risque commercial et reputationnel.

Automatisez votre audit avec WebConforme

Verifier manuellement ces 7 points prend du temps et requiert des competences techniques. Le risque d'oublier un element ou de mal l'evaluer est reel. C'est pourquoi WebConforme a integre un module RGPD complet qui automatise l'ensemble de ces verifications.

En une seule analyse, WebConforme scanne votre site et verifie :

  • Les cookies deposes avant consentement
  • La presence et la visibilite du bouton de refus
  • Le contenu de votre politique de confidentialite
  • L'existence et la completude des mentions legales
  • La conformite de vos formulaires
  • La duree de vie de chaque cookie
  • La securite HTTPS et la validite du certificat

Vous obtenez un rapport detaille avec un score de conformite, la liste des non-conformites detectees et des recommandations concretes pour chaque point. Que vous soyez un proprietaire de site, un responsable marketing ou une agence web, cet audit automatise vous permet de securiser votre conformite RGPD en quelques minutes.

Conclusion

La conformite RGPD de votre site web n'est pas une option, c'est une obligation legale assortie de sanctions financieres lourdes. Cette checklist en 7 points couvre les verifications essentielles que tout site web doit passer. Prenez le temps de les appliquer methodiquement, ou utilisez un outil comme WebConforme pour automatiser le processus et recevoir des alertes en cas de regression.

La prochaine amende de la CNIL pourrait concerner votre site. Autant s'en assurer avant qu'elle ne le fasse.

Votre site est-il conforme au RGAA ?

Scan gratuit en 30 secondes — aucune inscription requise.

Lancer un scan gratuit
#RGPD#cookies#CNIL#consentement#vie privee