Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur en mai 2018 et s'applique à toute organisation qui traite des données personnelles de résidents européens, quelle que soit sa taille ou son lieu d'établissement. Les sanctions en cas de manquement peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel. La CNIL a prononcé 42 décisions de sanction en 2023 pour un montant total de 89 millions d'euros — les PME ne sont pas à l'abri, même si les montants sont proportionnés à leur taille.
Les obligations concrètes pour un site web
Les obligations de conformité RGPD pour un site web se résument à cinq points essentiels. Un bandeau de consentement aux cookies conforme à la doctrine CNIL de 2022 : le refus doit être aussi facile que l'acceptation (même nombre de clics), le consentement granulaire par finalité est obligatoire (analytics séparé de la publicité), et un bouton de retrait du consentement doit être accessible depuis toutes les pages. Une politique de confidentialité détaillée, accessible depuis le pied de page de toutes les pages, qui liste les données collectées, leur finalité, leur durée de conservation et les droits des utilisateurs (accès, rectification, effacement, portabilité, opposition). Des formulaires de contact avec cases à cocher distinctes pour chaque finalité de traitement. Un registre des activités de traitement tenu à jour même pour les petites structures. La désignation d'un référent RGPD interne ou d'un DPO externe si vos traitements sont sensibles ou à grande échelle.
Protéger les données et gérer les droits
Pour protéger les données personnelles de vos utilisateurs, appliquez le principe de minimisation : ne collectez que ce dont vous avez réellement besoin pour la finalité déclarée. Si un formulaire de contact demande le numéro de téléphone alors que vous ne les rappelez jamais, supprimez ce champ. Définissez des durées de conservation précises — 3 ans pour les prospects, 5 ans pour les données comptables clients — et supprimez automatiquement les données qui dépassent ces délais.
Vérifiez que vos prestataires numériques sont eux-mêmes conformes RGPD : hébergeur (contrat de sous-traitance signé, serveurs en Europe de préférence), outil d'emailing (Brevo, Mailchimp ont des certifications ISO 27001), CRM et solution de paiement. La responsabilité du responsable de traitement s'étend aux sous-traitants — vous êtes juridiquement responsable si l'un d'eux ne respecte pas les données que vous lui confiez. Yed.fr vous accompagne dans cet audit de conformité pour sécuriser votre relation avec vos clients.
