Glossaire de la conformité web
RGPD, CNIL, LCEN, RGAA, WCAG… la conformité web regorge d’acronymes et de termes juridiques. Ce glossaire définit clairement chaque notion pour vous aider à comprendre vos obligations et à protéger votre entreprise.
Protection des données (RGPD)
RGPD (Règlement Général sur la Protection des Données)
Le RGPD (règlement UE 2016/679) est le texte européen qui encadre la collecte, le stockage et l’utilisation des données personnelles. Il s’applique à toute organisation, quelle que soit sa taille, qui traite des données de résidents européens. Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
CNIL (Commission Nationale de l’Informatique et des Libertés)
La CNIL est l’autorité administrative indépendante française chargée de veiller à la protection des données personnelles. Elle dispose d’un pouvoir de contrôle, de mise en demeure et de sanction. En 2025, elle a prononcé près de 486 millions d’euros d’amendes, dont 32 % visant des TPE et PME.
DPO (Délégué à la Protection des Données)
Le DPO est la personne désignée au sein d’une organisation pour assurer la conformité au RGPD. Sa nomination est obligatoire pour les organismes publics, les entreprises effectuant un suivi systématique à grande échelle ou traitant des données sensibles à grande échelle. Pour les PME non concernées, la CNIL recommande de désigner un référent interne.
Données personnelles
Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Cela inclut le nom, l’adresse email, l’adresse IP, un identifiant de cookie, un numéro de téléphone ou des données de localisation. Dès qu’un site collecte l’une de ces informations, le RGPD s’applique.
Consentement
Manifestation de volonté libre, spécifique, éclairée et univoque par laquelle une personne accepte le traitement de ses données. Le consentement doit pouvoir être retiré aussi facilement qu’il a été donné. Il constitue l’une des six bases légales prévues par le RGPD pour traiter des données personnelles.
Traceur
Terme générique désignant tout dispositif permettant de suivre l’activité d’un utilisateur en ligne : cookies, pixels espions, fingerprinting, identifiants publicitaires. La CNIL utilise le terme « traceur » pour englober l’ensemble de ces technologies soumises à consentement.
Registre des traitements
Document obligatoire recensé par l’article 30 du RGPD, listant l’ensemble des traitements de données personnelles effectués par une organisation. Il doit mentionner les finalités, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité. La CNIL propose un modèle simplifié pour les PME.
AIPD (Analyse d’Impact relative à la Protection des Données)
Procédure d’évaluation obligatoire lorsqu’un traitement de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. L’AIPD doit être réalisée avant la mise en œuvre du traitement et documentée. La CNIL met à disposition l’outil PIA pour faciliter sa réalisation.
Base légale
Fondement juridique autorisant un traitement de données personnelles. Le RGPD prévoit six bases légales : le consentement, l’exécution d’un contrat, l’obligation légale, la sauvegarde des intérêts vitaux, l’intérêt public et l’intérêt légitime. Chaque traitement doit reposer sur l’une d’entre elles, déterminée avant sa mise en œuvre.
Droit à l’effacement
Droit reconnu à toute personne d’obtenir du responsable de traitement l’effacement de ses données personnelles dans les meilleurs délais. Également appelé « droit à l’oubli », il s’exerce notamment lorsque les données ne sont plus nécessaires, que le consentement est retiré ou que le traitement est illicite. L’organisation doit répondre sous 30 jours.
Sous-traitant (au sens RGPD)
Personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement. Cela inclut l’hébergeur web, le prestataire emailing, le CRM ou l’outil analytics. Un contrat conforme à l’article 28 du RGPD doit encadrer la relation entre le responsable et chaque sous-traitant.
Responsable de traitement
Personne physique ou morale qui détermine les finalités et les moyens du traitement de données personnelles. Dans le cas d’un site web, c’est généralement l’entreprise éditrice du site. Le responsable porte la responsabilité principale de la conformité RGPD et doit pouvoir démontrer cette conformité à tout moment.
Mentions légales et obligations commerciales
LCEN (Loi pour la Confiance dans l’Économie Numérique)
Loi française du 21 juin 2004 (n° 2004-575) qui encadre les activités numériques. Elle impose notamment l’obligation d’afficher des mentions légales sur tout site web professionnel, définit la responsabilité des hébergeurs et réglemente la prospection commerciale électronique. L’absence de mentions légales est passible de 375 000 € d’amende pour les personnes morales.
Mentions légales
Informations obligatoires devant figurer sur tout site web professionnel en France. Elles comprennent la raison sociale, la forme juridique, l’adresse du siège, le numéro SIRET, le capital social, le nom du directeur de publication et les coordonnées de l’hébergeur. Pour les e-commerçants, le numéro de TVA intracommunautaire est également obligatoire.
CGV (Conditions Générales de Vente)
Document contractuel obligatoire pour tout site e-commerce, définissant les conditions de vente entre le professionnel et le consommateur. Les CGV doivent inclure les prix, les modalités de paiement et de livraison, le droit de rétractation (14 jours), les garanties légales et la médiation de la consommation. Le client doit les accepter avant tout achat.
CGU (Conditions Générales d’Utilisation)
Document contractuel définissant les règles d’utilisation d’un site web ou d’un service en ligne. Contrairement aux mentions légales et aux CGV, les CGU ne sont pas strictement obligatoires mais fortement recommandées. Elles précisent les droits et obligations des utilisateurs, les règles de propriété intellectuelle et les limitations de responsabilité.
Directeur de publication
Personne physique responsable du contenu publié sur un site web. Son nom doit obligatoirement figurer dans les mentions légales. Pour une entreprise, c’est généralement le représentant légal (gérant, président). Il engage sa responsabilité pénale en cas de publication de contenus illicites.
Politique de confidentialité
Page obligatoire détaillant la manière dont un site web collecte, utilise et protège les données personnelles de ses visiteurs. Elle doit mentionner l’identité du responsable de traitement, les finalités, les bases légales, les durées de conservation, les droits des personnes et les coordonnées du DPO ou référent RGPD.
DGCCRF (Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes)
Administration française chargée de la protection des consommateurs et de la régulation de la concurrence. Depuis juin 2025, elle est également compétente pour contrôler l’accessibilité numérique des sites web dans le cadre de la transposition de l’European Accessibility Act. Les sanctions peuvent atteindre 50 000 € par service non conforme.
Accessibilité numérique
RGAA (Référentiel Général d’Amélioration de l’Accessibilité)
Référentiel français définissant les règles et critères d’accessibilité numérique. Basé sur les WCAG 2.1 du W3C, le RGAA (version 4.1) propose 106 critères de test répartis en 13 thématiques. Se conformer au RGAA niveau AA équivaut à respecter les WCAG 2.1 niveau AA dans le contexte légal français.
WCAG (Web Content Accessibility Guidelines)
Référentiel international d’accessibilité web publié par le W3C. Les WCAG définissent trois niveaux de conformité (A, AA, AAA) autour de quatre principes : perceptible, utilisable, compréhensible et robuste. Le niveau AA est celui exigé par la réglementation française (via le RGAA) et européenne.
EAA (European Accessibility Act)
Directive européenne (2019/882) imposant l’accessibilité des produits et services numériques. Applicable depuis le 28 juin 2025, elle étend l’obligation d’accessibilité aux entreprises privées de plus de 10 salariés ou réalisant plus de 2 millions d’euros de chiffre d’affaires. En France, la DGCCRF est chargée des contrôles.
Accessibilité numérique
Pratique visant à rendre les contenus et services numériques utilisables par toutes les personnes, y compris celles en situation de handicap (visuel, auditif, moteur, cognitif). Cela inclut les alternatives textuelles pour les images, la navigation au clavier, le contraste des couleurs et la structure sémantique des pages. En France, c’est une obligation légale.
Déclaration d’accessibilité
Page obligatoire pour tout site web soumis aux obligations d’accessibilité. Elle doit indiquer le niveau de conformité du site (conforme, partiellement conforme, non conforme), les dérogations éventuelles, un moyen de contact pour signaler un défaut d’accessibilité et la possibilité de saisir le Défenseur des droits. Son absence est sanctionnable indépendamment.
Sécurité
HTTPS
Protocole de communication sécurisé (HyperText Transfer Protocol Secure) qui chiffre les échanges entre le navigateur de l’utilisateur et le serveur web. Le HTTPS est considéré comme une mesure de sécurité de base au titre de l’article 32 du RGPD. Google pénalise également les sites non HTTPS dans ses résultats de recherche.
Certificat SSL/TLS
Certificat numérique authentifiant l’identité d’un site web et permettant le chiffrement des communications via HTTPS. SSL (Secure Sockets Layer) est l’ancien protocole, remplacé par TLS (Transport Layer Security). Un certificat valide est indispensable pour activer le HTTPS et protéger les données personnelles en transit.
En-têtes de sécurité
En-têtes HTTP ajoutés par le serveur pour renforcer la sécurité du site web. Les principaux sont Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options et Referrer-Policy. Leur présence est une bonne pratique recommandée par l’ANSSI et contribue à la conformité RGPD en matière de sécurité des traitements.
Votre site respecte-t-il toutes ces obligations ?
Scanner mon site gratuitement