Tu gères un site vitrine ou un blog ? Voici ce qu’il faut vraiment mettre en place pour être conforme : pages légales, gestion des cookies, mentions sur les formulaires, sécurité et droits des utilisateurs.
Les bases du RGPD
Le RGPD s’applique dès que tu collectes des données personnelles (formulaire de contact, commentaire, analytics…). Tu dois : informer, obtenir un fondement légal (consentement, intérêt légitime, contrat…), sécuriser, et permettre l’exercice des droits.
Pages obligatoires
- Mentions légales (éditeur, hébergeur, contact).
- Politique de confidentialité (finalités, base légale, durée, droits).
- Politique cookies (types, finalités, durée, comment retirer le consentement).
- CGU / CGV si tu proposes des services/ventes, newsletters, etc.
Formulaires : mentions & stockage
- Ajoute une mention d’information : qui traite, pourquoi, base légale, durée, droits, lien vers la politique.
- Utilise une case à cocher pour la newsletter (opt-in explicite, pas précochée).
- Double opt-in recommandé pour l’emailing.
- Durées : leads inactifs ≤ 3 ans, logs sécurité ≤ 13 mois (selon usage).
Droits des utilisateurs
Prévois une procédure pour répondre aux demandes : accès, rectification, suppression, opposition, portabilité, limitation. Indique une adresse de contact (ex : [email protected]).
Registre des traitements (version TPE)
Even en TPE, note les traitements principaux : site vitrine (contact, analytics), prospection (newsletter), gestion clients. Pour chaque traitement : base légale, données, durée, destinataires, sécurité, sous-traitants.
Sécurité & hébergement
- Certificat TLS à jour, HTTPS forcé.
- Mises à jour WordPress, thèmes, plugins ; sauvegardes automatisées.
- WAF/anti-bot (Cloudflare, CrowdSec), durcissement Apache/CSP.
- DPA avec hébergeur/outil email (Mailjet, Brevo…), localisation des données.
Checklist rapide
- Mentions légales + Politique de confidentialité + Politique cookies publiées.
- CMP avec accepter/refuser/personnaliser et blocage par défaut.
- Formulaires avec mentions + opt-in (newsletter) + double opt-in.
- Plan d’archivage : durées limitées, purge régulière.
- Registre des traitements (document interne simple).
- Sécurité : HTTPS, mises à jour, sauvegardes, WAF/CrowdSec.
Liens utiles (maillage interne)
FAQ — RGPD site vitrine
Ai-je besoin d’un bandeau cookies si je n’utilise que des cookies techniques ?
Non, si tu n’as que des cookies strictement nécessaires. Mais publie quand même une page “Politique cookies” qui l’explique.
Google Analytics est-il légal sans consentement ?
Dans la plupart des cas, demande le consentement. Sinon, utilise une configuration très limitée avec anonymisation IP et Consent Mode v2, selon la réglementation locale.
Que mettre sous chaque formulaire ?
Une mention courte (finalité, base légale, durée, droits) + un lien vers la politique de confidentialité. Pour la newsletter, coche à part.
Dois-je nommer un DPO ?
Généralement non pour une TPE, sauf traitement à grande échelle de données sensibles. Garde plutôt un référent interne et une procédure simple.
Conclusion
La conformité RGPD se joue surtout sur la transparence, le consentement clair et la sécurité de base. Mets à jour tes pages légales, configure ta CMP et durcis l’hébergement : tu seras déjà très au-dessus de la moyenne.
