Comment se mettre en conformité RGPD en 7 jours : le plan d'action étape par étape

Avant de corriger quoi que ce soit, il faut savoir où on en est. La plupart des entrepreneurs sous-estiment leurs problèmes, ou s'inquiètent pour des choses qui n'en sont pas.

• Lancer un scan automatisé sur VeriSite.fr (gratuit, 30 secondes)
• Noter votre score global et les catégories avec le plus de problèmes
• Identifier les 3 problèmes critiques (s'il y en a) — ce sont vos priorités absolues
• Faire le même scan sur 1-2 sites concurrents pour avoir un point de référence
• Sauvegarder le rapport (capture écran ou PDF) — vous le comparerez en fin de semaine

La LCEN (Loi pour la Confiance dans l'Économie Numérique) impose des mentions précises sur tout site web français. C'est obligatoire et vérifié en cas de plainte. Sanction : jusqu'à 75 000 € d'amende et 1 an d'emprisonnement pour les dirigeants.

Mentions légales (45 min)

Créez ou mettez à jour votre page /mentions-legales avec :

• Identité de l'éditeur : nom de l'entreprise, forme juridique, capital, SIREN/SIRET
• Adresse du siège social
• Téléphone et email de contact
• Directeur de publication (nom et prénom)
• Hébergeur : nom, adresse, téléphone
• Numéro RCS si commerçant, numéro répertoire des métiers si artisan
• Numéro de TVA intracommunautaire (si assujetti)

Politique de confidentialité (45 min)

C'est obligatoire au titre du RGPD article 13. Créez une page /confidentialite ou /politique-de-confidentialite qui couvre :

• Quelles données vous collectez (nom, email, IP, cookies, etc.)
• Pour quelles finalités (newsletter, contact, paiement, statistiques...)
• Sur quelle base légale (consentement, contrat, intérêt légitime...)
• Combien de temps vous les conservez
• Avec qui vous les partagez (sous-traitants, hébergeur, CRM, ads...)
• Quels sont les droits des utilisateurs (accès, rectification, effacement, opposition, portabilité, limitation)
• Comment exercer ces droits (email DPO ou contact)
• Coordonnées de la CNIL pour porter plainte

C'est le point le plus surveillé par la CNIL. Plus de 100 entreprises françaises ont été sanctionnées en 2024-2025 sur ce critère exact.

Un bandeau cookies conforme doit :

• S'afficher dès la première visite
• Permettre de refuser aussi facilement que d'accepter (boutons de même taille, même couleur)
• Bloquer réellement les cookies non-essentiels avant consentement
• Permettre un consentement granulaire (choisir par catégorie : analytique, marketing, etc.)
• Permettre de retirer son consentement aussi facilement (lien dans le footer)
• Conserver le consentement maximum 13 mois

Solutions recommandées

Vous avez 3 options :

• Tarteaucitron.io (gratuit, open-source, fait par un Français) — recommandé pour 90 % des cas
• Axeptio (freemium, design soigné) — bon pour les sites avec budget
• Cookiebot ou OneTrust (payant, professionnel) — pour les ETI

Configuration en 30 minutes avec Tarteaucitron

1. Téléchargez Tarteaucitron sur tarteaucitron.io
2. Ajoutez le code à votre site (juste avant </body>)
3. Configurez les services tiers à bloquer (Google Analytics, Meta Pixel, etc.)
4. Personnalisez les textes et couleurs
5. Testez en navigation privée pour voir le bandeau s'afficher

Tous vos formulaires (contact, newsletter, devis, inscription) collectent des données personnelles. Donc tous doivent être conformes au RGPD.

Sur chaque formulaire, ajoutez :

• Une case à cocher de consentement RGPD (non pré-cochée) avec un texte explicite
• Un lien vers votre politique de confidentialité
• L'indication des champs obligatoires et optionnels (transparence sur la collecte)
• Une finalité claire ("Vos données sont utilisées pour vous recontacter et ne sont jamais cédées")

Exemple concret de case à cocher :

☐ J'accepte que mes données soient utilisées pour répondre à ma demande, conformément à la politique de confidentialité de [Votre Société]. Je peux exercer mes droits à tout moment en écrivant à dpo@votresite.fr.

Si vous utilisez Google Analytics, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, Hotjar, ou tout autre tracker : ils doivent se charger UNIQUEMENT après le consentement de l'utilisateur.

C'est le point qui pose le plus de problèmes en pratique parce que :

• La majorité des sites les chargent au démarrage (avant consentement) → infraction
• Google Analytics 4 transfère des données aux USA → risque additionnel
• Le Meta Pixel collecte les données de visite même sans consentement par défaut

Action : configurer le chargement conditionnel

• Lister tous les trackers présents sur votre site (utilisez l'extension Chrome Ghostery pour les détecter)
• Pour chacun : configurer dans votre CMP (Tarteaucitron, Axeptio...) pour qu'il ne se charge qu'après consentement
• Vérifier en navigation privée + DevTools : les requêtes vers Google/Facebook/etc. ne doivent partir qu'APRÈS que vous ayez cliqué "J'accepte"
• Si vous utilisez Google Analytics : activer l'anonymisation IP + Consent Mode v2

Le RGPD impose de DOCUMENTER la conformité. Si la CNIL vient vous contrôler, le premier truc qu'elle demande c'est : "Montrez-moi votre registre des activités de traitement".

C'est obligatoire dès que vous avez plus de 250 employés ou que vous traitez des données sensibles. En pratique, on conseille à tous de l'avoir, même les TPE.

Le registre des activités de traitement

Pour chaque traitement (newsletter, base clients, RH, etc.) :

• Nom du traitement (ex : "Newsletter marketing")
• Finalité (ex : "Informer les abonnés des nouveautés produit")
• Catégories de données (email, prénom, comportement de lecture...)
• Base légale (consentement, contrat, intérêt légitime...)
• Catégories de personnes concernées (clients, prospects, employés...)
• Destinataires (qui voit les données : équipe interne, sous-traitant CRM...)
• Durée de conservation (ex : "3 ans après dernière activité")
• Mesures de sécurité (chiffrement, accès limité, etc.)

La CNIL fournit un modèle Excel gratuit. Téléchargez-le, remplissez-le.

Contrats avec vos sous-traitants

Tous les services que vous utilisez et qui traitent des données pour vous sont des "sous-traitants" au sens du RGPD :

• Hébergeur web (OVH, AWS, Hetzner...)
• CRM (HubSpot, Brevo, Mailchimp...)
• Outil de paiement (Stripe, PayPal...)
• Outils marketing (Google Ads, Meta Ads...)

Vous devez avoir un DPA (Data Processing Agreement) signé avec chacun. La plupart des grands services en proposent un automatiquement (cherchez dans leurs conditions). Téléchargez-les et archivez-les.

Vous y êtes presque. Dernière étape : vérifier que tout fonctionne et mettre en place un suivi pour ne pas régresser.

Vérification (30 min)

• Re-scanner votre site sur VeriSite.fr et comparer avec le score du jour 1
• Ouvrir votre site en navigation privée → vérifier le bandeau cookies
• Cliquer "Refuser tout" → vérifier qu'aucun tracker ne se charge (Ghostery + DevTools)
• Cliquer "Accepter tout" → vérifier que les trackers se chargent
• Vérifier vos mentions légales et politique de confidentialité (présence sur toutes les pages, footer)
• Tester un formulaire (vérifier la case de consentement, l'envoi, la confirmation)

Mise en place du suivi continu (30 min)

La conformité n'est pas un événement, c'est un état permanent. Une mise à jour WordPress, un nouveau plugin, une régression CSS, et hop, votre site peut redevenir non-conforme sans que vous le sachiez.

• Activer le monitoring automatique (par exemple, abonnez-vous au plan VeriSite Pro à 19 €/mois — scan automatique mensuel + alertes email + certificat PDF de conformité)
• Bloquer 30 minutes par mois dans votre agenda pour relire les évolutions du RGPD (la CNIL publie des mises à jour régulières)
• Si vous ajoutez un nouveau service / formulaire / outil → re-scanner immédiatement
• Conserver les preuves de votre conformité (rapports d'audit, captures d'écran, dates de modification) — utile en cas de contrôle CNIL