Comment vérifier si mon site est conforme au RGPD ?

Passez en revue les 20 points de cette checklist : bandeau cookies, politique de confidentialité, mentions légales, formulaires, HTTPS, sous-traitants, registre des traitements, durées de conservation, etc. Vous pouvez aussi utiliser ConformCheck pour un audit automatisé gratuit en 30 secondes.

Quelle est la checklist minimale RGPD pour un site vitrine ?

Un site vitrine doit au minimum avoir : un bandeau cookies conforme (si cookies non essentiels), une politique de confidentialité, des mentions légales, le HTTPS activé, et des formulaires avec mention d'information. Si vous n'avez aucun cookie tiers, le bandeau n'est pas obligatoire.

À quelle fréquence faut-il auditer la conformité RGPD de son site ?

La CNIL recommande un audit au moins une fois par an, et à chaque modification significative du site (nouveau formulaire, changement d'outil analytics, ajout de plugin). Les outils de monitoring automatisé comme ConformCheck permettent une surveillance continue.

Checklist RGPD : 20 points de vérification pour votre site web

Name: Rapport de conformité ConformCheck
Brand: ConformCheck
Price: 29 EUR
Availability: InStock

Votre site web est-il vraiment conforme au RGPD ? Avec la montée en puissance des contrôles CNIL et la procédure simplifiée qui permet des amendes jusqu’à 20 000 € sans formation restreinte, il est essentiel de vérifier régulièrement la conformité de votre site. Cette checklist en 20 points couvre tous les aspects que la CNIL vérifie lors de ses contrôles.

Cookies et traceurs (points 1 à 5)

1. Bandeau de consentement présent

Si votre site dépose des cookies non essentiels (analytics, marketing, réseaux sociaux), un bandeau de consentement doit s’afficher dès la première visite. Il doit être visible, non intrusif, et ne pas empêcher la navigation avant le choix de l’utilisateur.

2. Bouton « Refuser » au premier niveau

Le bouton « Refuser » (ou « Tout refuser ») doit être aussi visible et accessible que le bouton « Accepter ». Même taille, même contraste, même niveau. Les dark patterns (bouton grisé, caché dans les paramètres) sont sanctionnés.

3. Aucun cookie non essentiel avant consentement

C’est le point le plus contrôlé par la CNIL. Vérifiez qu’aucun script de tracking (Google Analytics, Meta Pixel, HubSpot, Hotjar) ne se charge avant que l’utilisateur ait cliqué sur « Accepter ». Ouvrez les DevTools > Network et rechargez la page : aucune requête vers des domaines tiers ne doit apparaître.

4. Possibilité de retirer le consentement

L’utilisateur doit pouvoir modifier son choix à tout moment, aussi facilement qu’il l’a donné. Un lien « Gérer mes cookies » doit être accessible en permanence (footer, page confidentialité).

5. Renouvellement du consentement tous les 13 mois

Le consentement aux cookies n’est pas définitif. La CNIL impose un renouvellement au maximum tous les 13 mois. Votre solution de gestion des cookies doit automatiquement redemander le consentement après cette période.

Information des personnes (points 6 à 10)

6. Politique de confidentialité complète

Votre politique de confidentialité doit mentionner : l’identité du responsable de traitement, les finalités de chaque traitement, les bases juridiques, les catégories de données, les destinataires, les durées de conservation, les droits des personnes (accès, rectification, effacement, portabilité, opposition), et le droit de réclamation auprès de la CNIL.

7. Mentions légales présentes

Obligatoires au titre de la LCEN, les mentions légales doivent inclure : raison sociale, forme juridique, adresse du siège, SIRET, capital social, directeur de publication, et coordonnées de l’hébergeur. L’amende peut atteindre 375 000 € pour absence de mentions légales.

8. Formulaires avec mention d’information

Chaque formulaire collectant des données personnelles doit comporter une mention d’information : qui collecte, pourquoi, combien de temps, quels droits. Un lien vers la politique de confidentialité complète doit être visible.

9. Cases à cocher non pré-cochées

Aucune case de consentement ne doit être pré-cochée (arrêt CJUE Planet49, C-673/17). Cela concerne les cases newsletter, les conditions d’utilisation, et toute case impliquant un consentement au traitement de données.

10. Contact DPO ou référent accessible

Même si la désignation d’un DPO n’est pas obligatoire pour la plupart des PME, un point de contact pour l’exercice des droits doit être clairement indiqué (adresse email dédiée ou formulaire).

Sécurité des données (points 11 à 15)

11. HTTPS actif sur tout le site

Le chiffrement des échanges est une mesure de sécurité de base exigée par l’article 32 du RGPD. Vérifiez que toutes les pages (pas seulement la page de paiement) utilisent HTTPS et que la redirection HTTP → HTTPS est en place.

12. En-têtes de sécurité HTTP

Les en-têtes de sécurité protègent contre les attaques courantes. Vérifiez la présence de : Strict-Transport-Security (HSTS), X-Content-Type-Options, X-Frame-Options, Content-Security-Policy, et Referrer-Policy.

13. Certificat SSL valide et à jour

Un certificat SSL expiré ou mal configuré provoque des alertes navigateur et constitue un manquement à l’obligation de sécurité. Vérifiez la date d’expiration et la chaîne de certification.

14. Cookies sécurisés (Secure, HttpOnly, SameSite)

Les cookies contenant des données de session ou d’identification doivent porter les attributs Secure (HTTPS uniquement), HttpOnly (inaccessibles en JavaScript) et SameSite=Strict ou Lax (protection CSRF).

15. Mots de passe hashés et politiques de complexité

Si votre site a un espace client, les mots de passe doivent être hashés avec un algorithme robuste (bcrypt, Argon2). Imposez une longueur minimale de 12 caractères conformément aux recommandations CNIL de 2022.

Gouvernance et documentation (points 16 à 20)

16. Registre des traitements à jour

L’article 30 du RGPD impose un registre listant chaque traitement : finalité, catégories de données, destinataires, durées de conservation, mesures de sécurité. La CNIL met à disposition un modèle simplifié pour les PME.

17. Durées de conservation définies

Chaque type de donnée doit avoir une durée de conservation justifiée. Par exemple : données clients actifs pendant la relation commerciale + 3 ans, prospects 3 ans après le dernier contact, logs de connexion 6 mois.

18. Processus de réponse aux droits

Vous devez pouvoir répondre à une demande d’accès, de rectification ou d’effacement sous 30 jours (article 12 du RGPD). Un processus interne doit être documenté : qui reçoit la demande, comment vérifier l’identité, comment exécuter.

19. Sous-traitants encadrés par contrat

Tout prestataire accédant aux données (hébergeur, CRM, outil emailing, analytics) doit être lié par un contrat conforme à l’article 28 du RGPD. Vérifiez que vos contrats incluent les clauses obligatoires : finalité, durée, nature du traitement, obligations de sécurité.

20. Transferts hors UE encadrés

Si vous utilisez des outils américains (Google, AWS, Mailchimp), les transferts de données hors UE doivent être encadrés par le EU-US Data Privacy Framework ou des clauses contractuelles types (CCT). Vérifiez que vos sous-traitants sont couverts.

Résumé : les 5 actions prioritaires

Vérifiez vos cookies — Ouvrez les DevTools et rechargez la page. Aucun tracker ne doit se charger avant consentement.
Publiez une politique de confidentialité — Utilisez notre modèle et adaptez-le à vos traitements réels.
Complétez vos mentions légales — Raison sociale, SIRET, adresse, hébergeur : tout doit y être.
Sécurisez vos formulaires — Ajoutez une mention d’information et décochez les cases pré-cochées.
Activez HTTPS — Si ce n’est pas encore fait, c’est la première chose à corriger.

Automatisez votre audit avec ConformCheck

Vérifier manuellement ces 20 points prend du temps. ConformCheck automatise l’audit de votre site en 30 secondes et vérifie la majorité de ces points : cookies, traceurs, politique de confidentialité, mentions légales, HTTPS, en-têtes de sécurité, accessibilité. Le rapport gratuit montre les problèmes critiques. Le rapport complet (29 €) détaille chaque non-conformité avec les références légales et les solutions pas à pas.