RAICODE
ProcessusProjetsBlogOffresClientsContact
Conformité

Votre Site Est-il Légalement en Règle ? Checklist RGPD 2025

Bandeau cookies, mentions légales, formulaires... La checklist complète pour éviter les amendes CNIL.

Mustapha Hamadi
Développeur Full-Stack
12 décembre 2025
9 min read
Votre Site Est-il Légalement en Règle ? Checklist RGPD 2025
#RGPD#légal#conformité#cookies#CNIL
Partager :

title: "Votre Site Est-il Légalement en Règle ? Checklist RGPD 2025" description: "Bandeau cookies, mentions légales, formulaires... La checklist complète pour éviter les amendes CNIL." date: "2025-12-12" author: "Équipe Raicode" tags: ["RGPD", "légal", "conformité", "cookies", "CNIL"] category: "Conformité" image: "/blog/checklist-rgpd-2025-hero.png" ogImage: "/blog/checklist-rgpd-2025-hero.png" keywords: ["RGPD site web", "conformité CNIL", "bandeau cookies", "mentions légales", "protection données"]

Amende moyenne CNIL en 2024 : 845 000€. La plus grosse amende pour un site web français ? 50 millions d'euros (Google, 2019).

Vous n'êtes pas Google. Mais la CNIL contrôle aussi les TPE/PME. Et "je ne savais pas" n'est pas une excuse légale.

Voici la checklist complète pour dormir tranquille.

Les 3 Niveaux de Conformité

Niveau 1 : Le Minimum Vital (Obligatoire pour TOUS)

Ce que vous risquez sans ça : mise en demeure + amende.

Niveau 2 : La Conformité Standard (Recommandé)

Pour les sites qui collectent des données (formulaires, comptes utilisateurs).

Niveau 3 : La Conformité Avancée (E-commerce, SaaS)

Pour les sites qui traitent des données sensibles ou à grande échelle.

Niveau 1 : Le Minimum Vital

✅ 1. Mentions Légales

Obligatoire pour : Tous les sites, même vitrines.

Doit contenir :

MENTIONS LÉGALES

Éditeur du site :
- Raison sociale : [Nom de l'entreprise]
- Forme juridique : [SARL, SAS, etc.]
- Capital social : [Montant]
- Siège social : [Adresse complète]
- SIRET : [Numéro]
- RCS : [Ville + numéro]
- Numéro TVA : [Si applicable]
- Directeur de publication : [Nom + qualité]
- Contact : [Email ou formulaire]

Hébergeur :
- Raison sociale : [Ex: Vercel Inc.]
- Adresse : [Adresse complète]
- Téléphone : [Numéro]

Où le mettre : Lien en footer, accessible depuis toutes les pages.

Erreur courante : Mettre juste "Hébergé par OVH" sans les coordonnées complètes.

✅ 2. Bandeau Cookies Conforme

Obligatoire si : Vous utilisez des cookies non-essentiels (analytics, pub, réseaux sociaux).

Les règles 2025 :

| Ce qui est OK | Ce qui ne l'est PAS | |---------------|---------------------| | "Accepter" et "Refuser" visibles | Bouton "Refuser" caché ou plus petit | | Refus aussi facile qu'acceptation | "Continuer sans accepter" en gris clair | | Liste détaillée des cookies | "En continuant, vous acceptez..." | | Possibilité de retirer son consentement | Cookie wall bloquant le contenu |

Exemple de bandeau conforme :

🍪 Ce site utilise des cookies

Nous utilisons des cookies pour analyser notre trafic et améliorer votre expérience.

[Tout accepter]  [Tout refuser]  [Personnaliser]

Les boutons doivent être :

  • De même taille
  • De même visibilité (pas de gris clair vs couleur vive)
  • Cliquables en un clic (pas de dark patterns)

Outils recommandés :

  • Tarteaucitron (gratuit, français)
  • Axeptio (payant, très UX)
  • Cookiebot (payant, international)

✅ 3. Politique de Confidentialité

Obligatoire pour : Tous les sites qui collectent des données (même un simple formulaire contact).

Structure minimale :

# Politique de Confidentialité

## 1. Responsable du traitement
[Nom, adresse, contact DPO si applicable]

## 2. Données collectées
- Via formulaire contact : nom, email, message
- Via cookies : [liste]
- Via compte utilisateur : [si applicable]

## 3. Finalités du traitement
- Répondre à vos demandes
- Améliorer notre site (analytics)
- [Autres finalités]

## 4. Base légale
- Consentement (cookies analytics)
- Intérêt légitime (sécurité)
- Exécution du contrat (commandes)

## 5. Destinataires des données
- Hébergeur : [Nom]
- Outil analytics : [Nom]
- [Autres prestataires]

## 6. Durée de conservation
- Données contact : 3 ans après dernier contact
- Cookies : 13 mois maximum
- [Autres durées]

## 7. Vos droits
Vous pouvez exercer vos droits (accès, rectification,
suppression, portabilité, opposition) en contactant :
[Email DPO ou contact]

## 8. Réclamation
Vous pouvez déposer une réclamation auprès de la CNIL :
www.cnil.fr

Dernière mise à jour : [Date]

✅ 4. Formulaires Conformes

Chaque formulaire doit avoir :

<form>
  <input type="text" name="name" required />
  <input type="email" name="email" required />
  <textarea name="message" required></textarea>

  <!-- Case à cocher NON pré-cochée -->
  <label>
    <input type="checkbox" name="consent" required />
    J'accepte que mes données soient traitées pour répondre
    à ma demande. <a href="/confidentialite">En savoir plus</a>
  </label>

  <!-- Case newsletter SÉPARÉE et OPTIONNELLE -->
  <label>
    <input type="checkbox" name="newsletter" />
    Je souhaite recevoir la newsletter (optionnel)
  </label>

  <button type="submit">Envoyer</button>
</form>

Erreurs courantes :

  • ❌ Case pré-cochée
  • ❌ Consentement groupé (données + newsletter en une case)
  • ❌ Pas de lien vers la politique de confidentialité
  • ❌ Champs cachés collectant des données non déclarées

Niveau 2 : Conformité Standard

✅ 5. Registre des Traitements

Obligatoire si : Plus de 250 salariés OU traitements réguliers OU données sensibles.

Recommandé pour tous (preuve de bonne foi en cas de contrôle).

Modèle simplifié :

| Traitement | Données | Finalité | Base légale | Durée | Destinataires | |------------|---------|----------|-------------|-------|---------------| | Formulaire contact | Nom, email, message | Répondre aux demandes | Consentement | 3 ans | Hébergeur | | Analytics | IP anonymisée, pages vues | Statistiques | Intérêt légitime | 13 mois | Google | | Newsletter | Email | Marketing | Consentement | Jusqu'à désinscription | Mailchimp |

Outil gratuit : Modèle CNIL

✅ 6. Sécurisation des Données

Mesures techniques obligatoires :

✓ HTTPS sur tout le site (certificat SSL)
✓ Mots de passe hashés (bcrypt, argon2)
✓ Accès restreint aux données (principe du moindre privilège)
✓ Sauvegardes régulières chiffrées
✓ Mises à jour de sécurité appliquées

Pour les formulaires :

// Protection CSRF obligatoire
<input type="hidden" name="_csrf" value={csrfToken} />

// Rate limiting recommandé
// Max 5 soumissions par IP par heure

// Validation côté serveur OBLIGATOIRE
// Ne jamais faire confiance aux données client

✅ 7. Droit d'Accès Fonctionnel

Obligation : Répondre sous 1 mois à toute demande d'accès aux données.

Process recommandé :

  1. Email dédié : [email protected] ou [email protected]
  2. Formulaire de demande avec vérification d'identité
  3. Template de réponse prêt à l'emploi
  4. Procédure d'export des données utilisateur

Template de réponse :

Objet : Réponse à votre demande d'accès - [Nom]

Madame, Monsieur,

Suite à votre demande du [date], voici les données
personnelles que nous détenons vous concernant :

[Liste des données]

Conformément à vos droits, vous pouvez demander la
rectification ou la suppression de ces données en
répondant à cet email.

Cordialement,
[Signature]

Niveau 3 : Conformité Avancée

✅ 8. DPO (Délégué à la Protection des Données)

Obligatoire si :

  • Autorité publique
  • Traitement à grande échelle de données sensibles
  • Suivi systématique des personnes

Recommandé si : E-commerce avec base clients importante, SaaS B2B.

Options :

  • DPO interne (formation nécessaire)
  • DPO externe mutualisé (500-2000€/an pour TPE)

✅ 9. Analyse d'Impact (AIPD)

Obligatoire si : Traitement présentant un risque élevé pour les droits des personnes.

Exemples nécessitant une AIPD :

  • Profilage automatisé
  • Données de santé
  • Vidéosurveillance
  • Géolocalisation systématique

Outil CNIL : PIA - Privacy Impact Assessment

✅ 10. Contrats Sous-traitants

Obligatoire avec : Tout prestataire qui traite des données pour vous.

Clauses obligatoires :

Le sous-traitant s'engage à :
- Ne traiter les données que sur instruction documentée
- Garantir la confidentialité
- Mettre en œuvre les mesures de sécurité appropriées
- Ne pas sous-traiter sans autorisation écrite
- Aider le responsable pour les demandes d'exercice de droits
- Supprimer ou restituer les données en fin de contrat
- Permettre les audits

Vérifiez vos contrats avec :

  • Hébergeur (OVH, Vercel, AWS...)
  • Outils analytics (Google, Matomo...)
  • CRM (HubSpot, Salesforce...)
  • Emailing (Mailchimp, Sendinblue...)

La Checklist Rapide

Minimum Vital (Tous les sites)

  • [ ] Mentions légales complètes et accessibles
  • [ ] Bandeau cookies conforme (Accepter/Refuser équitables)
  • [ ] Politique de confidentialité
  • [ ] Formulaires avec consentement explicite
  • [ ] HTTPS actif

Standard (Sites avec formulaires/comptes)

  • [ ] Registre des traitements
  • [ ] Mesures de sécurité documentées
  • [ ] Process de réponse aux demandes d'accès
  • [ ] Durées de conservation définies

Avancé (E-commerce, SaaS)

  • [ ] DPO désigné ou externalisé
  • [ ] AIPD si nécessaire
  • [ ] Contrats sous-traitants conformes
  • [ ] Procédure de notification de violation

Les Erreurs Qui Coûtent Cher

Erreur #1 : Le Bandeau "Piège"

❌ "En continuant sur ce site, vous acceptez nos cookies"
❌ Bouton "Accepter" en vert vif, "Refuser" en gris invisible
❌ "Personnaliser" qui mène à un labyrinthe de 47 options

Sanction possible : Mise en demeure + amende jusqu'à 4% du CA.

Erreur #2 : Analytics Sans Consentement

Google Analytics sans consentement préalable = illégal.

Solutions :

  • Attendre le consentement avant de charger le script
  • Utiliser une alternative conforme (Matomo, Plausible)
  • Configurer GA4 en mode "consentement" natif

Erreur #3 : Transferts Hors UE Non Encadrés

Si vos données transitent par les USA (AWS, Google, Vercel...) :

  • Vérifiez que le prestataire est certifié Data Privacy Framework
  • Ou utilisez les clauses contractuelles types (CCT)

Erreur #4 : Données Conservées Indéfiniment

Durées maximales recommandées par la CNIL :

| Type de données | Durée max | |-----------------|-----------| | Prospects non-clients | 3 ans après dernier contact | | Clients actifs | Durée de la relation + 3 ans | | Anciens clients | 3 ans après fin de relation | | Données de connexion | 1 an | | Cookies | 13 mois |

Plan d'Action Immédiat

Cette Semaine

  1. Vérifiez vos mentions légales (5 min)
  2. Testez votre bandeau cookies en navigation privée
  3. Relisez votre politique de confidentialité

Ce Mois

  1. Auditez vos formulaires (consentement explicite ?)
  2. Listez vos sous-traitants et vérifiez leurs certifications
  3. Créez votre registre des traitements (même simplifié)

Ce Trimestre

  1. Mettez en place un process de réponse aux demandes
  2. Formez votre équipe aux bonnes pratiques
  3. Planifiez un audit annuel de conformité

Le Mot de la Fin

Le RGPD n'est pas là pour vous embêter. Il protège vos utilisateurs - et vous protège aussi en cas de fuite de données.

Un site conforme inspire confiance. Et la confiance convertit.

Le coût d'une mise en conformité : quelques heures de travail. Le coût d'une amende CNIL : jusqu'à 4% de votre CA annuel.

Le calcul est vite fait.

Besoin d'un audit de conformité de votre site ? On vérifie votre conformité RGPD en 48h et on vous livre un rapport actionnable. Demander un audit

Partager :

Prêt à lancer votre projet ?

Transformez vos idées en réalité avec un développeur passionné par la performance et le SEO. Discutons de votre projet dès aujourd'hui.

Demander un devis
Voir mes réalisations
Réponse < 48h
15+ projets livrés
100% satisfaction client

Table des matières

Articles similaires

Les 12 Questions à Poser Avant de Signer avec une Agence Web
Conseils

Les 12 Questions à Poser Avant de Signer avec une Agence Web

13 décembre 2025
8 min read
Comment J'ai Réduit le Temps de Chargement de 8s à 0.8s (Case Study)
Performance

Comment J'ai Réduit le Temps de Chargement de 8s à 0.8s (Case Study)

13 décembre 2025
8 min read
Le Guide Anti-Arnaque : Comment Reconnaître un Bon Développeur
Conseils

Le Guide Anti-Arnaque : Comment Reconnaître un Bon Développeur

13 décembre 2025
9 min read
RAICODE

Développeur Full-Stack spécialisé en Next.js & React.
Je crée des applications web performantes et sur mesure.

SERVICES

  • Sites Vitrines
  • Applications SaaS
  • E-commerce
  • API & Backend

NAVIGATION

  • Processus
  • Projets
  • Blog
  • Tarifs
  • Contact

LÉGAL

  • Mentions légales
  • Confidentialité
  • CGU
  • CGV

© 2025 Raicode. Tous droits réservés.

Créé parRaicode.
↑ Retour en haut