Audit RGPD CNIL

Audit RGPD CNIL

10 novembre 2018 Non Par Benoît ROLLAND

Faire un audit RGPD CNIL de votre site est devenu incontournable pour respecter la réglementation en vigueur depuis mai 2018. J’ai réalisé près de 40 audits de conformité jusqu’à présent et j’accompagne les mises en conformité concernant les sites web. C’est pour ça que j’ai envie de partager ce premier retour d’expérience.

Cet article s’applique à tous les sites web. Pour les sites les plus anciens, ce travail de mise en conformité peut s’avérer plus difficile quand les technologies utilisées pour développer votre site commencent à être obsolètes. Pour les nouveaux sites, il est important d’intégrer dès le départ les bonnes pratiques pour être en conformité avec le RGPD.

Si vos questions portent sur les points suivants, alors prenez le temps de lire cet article :

# Les Mentions Légalesaudit rgpd

# L’utilisation des cookies

# Les formulaires de contact

# La sous-traitance

# Les liens

# Le e-commerce

Audit RGPD CNIL – Philosophie du RGPD

Avant toute chose, un petit rappel de ce qu’apporte le RGPD :

Une plus grande transparence vis à vis des internautes

Le but est de dire à vos visiteurs de quelle façon vous traitez les données personnelles mais aussi de leur fournir le moyen de maîtriser leurs données et de faire valoir leurs droits.

Des possibilités de business supplémentaire 

La transparence peut influer sur la confiance de vos visiteurs. Plus vous ferez la preuve que votre site est un site de « confiance » et plus vous aurez de chance que le comportement des internautes sera favorable. Votre image, votre trafic et vos ventes peuvent effectivement bénéficier de ce capital confiance.

Des sanctions lourdes en cas de non-conformité

Si vous ne respectez pas les règles et que les internautes portent plainte auprès de la CNIL, les sanctions peuvent être très lourdes. Pour les entreprises, les sanctions, en cas de manquements graves, peuvent atteindre 4% du chiffre d’affaires annuel. Prenez donc quelques minutes pour lire cet article, ça ne coûte rien.

Audit RGPD CNIL – Les points à prendre en compte

Les mentions légales 

Ce qui est obligatoire avec le RGPD :

Les présentations de l’éditeur (vous) et de l’hébergeur sont obligatoires.

Par contre, l’agence web qui a conçu le site n’est pas obligé d’apparaître dans les mentions légales.

Pour l’éditeur et l’hébergeur, doivent être mentionnés :

  • la raison sociale
  • le capital social
  • le SIRET
  • l’adresse postale
  • le numéro de téléphone
  • un email de contact
  • le responsable de la publication (pour l’éditeur)

Les informations sur le traitement des données personnelles sont obligatoires.

Les informations sur le traitement des liens hypertexte sont également obligatoires.

Quid des adresses emails ?

Il y a deux adresses email importantes à mentionner :

  • celle qui est rattachée à l’éditeur (ex : contact@monsite.fr) et qui permet de contacter le site en direct ou par le biais des formulaires de contact pour les demandes du quotidien,
  • et l’adresse email du DPO, Data Protection Officer, qui doit être mentionnée pour faire valoir ses droits d’opposition, de rétractation ou de suppression sur ses données personnelles (ex : dpo@monsite.fr).

Astuce : Vous pouvez mentionner une adresse email avec [@] pour éviter de recevoir des spams issus des crawls des robots sur votre site.


Mentions légales, politique de confidentialité, utilisation des cookies ?

On voit pas mal de formats différents. Lors d’un audit de conformité, le format n’est pas imposé. En revanche, toutes les informations obligatoires doivent apparaître.

Vous pouvez tout inclure dans les mentions légales. Vous pouvez aussi distinguer les mentions légales de la politique de confidentialité, ce qui est plus le cas des sites marchands car les règles sont plus nombreuses.

On voit beaucoup de mentions légales qui incluent les règles d’utilisation des cookies.

Quelque soit le format utilisé, vous devez présenter le traitement des données personnelles collectées, à quoi elles servent, combien de temps elles sont conservées, à qui elles sont transmises, … 

audit RGPD CNIL

L’utilisation des cookies

Pour auditer votre site sur la partie « cookies », je vous propose les étapes suivantes :

1. Lister tous les cookies : essayer plusieurs navigateur et naviguer sur votre site pour déclencher tous les cookies potentiels.

Plusieurs façons d’obtenir les cookies présents :

Méthode 1 : dans la barre d’url

  1. Cliquez sur le cadenas,
  2. Aller sur Cookies pour les consulter

Méthode 2 : sur Chrome

  1. Cliquez sur les 3 points en haut à droite
  2. Aller sur Paramètres puis Paramètres avancés
  3. Aller sur Paramètres de contenu dans la rubrique Confidentialité et Sécurité pour consulter les cookies

2. Faire le tri : tous ces cookies ne sont probablement pas utiles au bon fonctionnement de votre site. Pour les cookies inutiles, désactivez-les. Pour ceux que vous souhaitez conserver, il va falloir les présenter dans vos mentions légales ou sur votre page d’utilisation des cookies en expliquant leur utilité et le traitement réalisé.

3. Informer les visiteurs sur leurs droits : vous allez aussi devoir indiquer comment les désactiver lors de la navigation, pour chaque navigateur (Firefox, Chrome, Yahoo, …).

4. Mettre en place un bandeau d’acceptation des cookies si nécessaire : s’il vous reste des cookies, alors vous allez devoir installer un bandeau d’acceptation des cookies.

Laisser le choix de refuser les cookies : beaucoup de sites n’offrent pas ce choix et se contentent de restreindre les fonctions accessibles sur le site tant que les cookies ne sont pas acceptés. D’autres mettent en place un bandeau tellement grand que l’on a qu’une hâte, le faire disparaître en cliquant sur Accepter. Dans une démarche purement marketing, je comprends que l’on puisse avoir du mal à laisser le choix de refuser, au risque de perdre des données statistiques de navigation. Pour autant, je reste convaincu que laisser le choix est un gage de confiance supplémentaire qui permet de mesurer l’indice de confiance de vos visiteurs vis à vis de votre site.

A ce sujet, une étude a été réalisée sur la confiance des internautes sur internet.

Les cookies de navigation :

Si vous utiliser Google Analytics, vous géolocalisez vos utilisateurs grâce à leur IP.

Les 2 derniers chiffres de l’IP correspondent à l’adresse (rue, avenue), les 2 précédents à la commune. Au passage, Google se garde bien de descendre jusqu’à ce niveau de détail dans Google Analytics. Cette information est donc personnelle. Les IP doivent être anonymisées dans Google Analytics et la durée de vie des cookies ne doit pas être supérieure à 13 mois. Là aussi, Google limite à 14 mois minimum les cookies, ce qui le rend non conforme au RGPD, cela évoluera surement.

D’autres outils de webanalytics existent et sont conformes au RGPD avec peu de paramétrage (Matomo, Xiti).

Les formulaires de contactsformulaire rgpd

Ce qui est obligatoire avec le RGPD :

  • Utilisez un email non cliquable car il n’est pas compatible avec tous les postes de travail,
  • Le destinataire du formulaire doit être unique,
  • Indiquez une légende pour les champs obligatoires,
  • Tout CAPTCHA doit aussi disposer d’une alternative sonore,
  • Les boutons d’action doivent figurer sous le formulaire,
  • Les mentions Informatique&Liberté doivent être présentes.

La durée de conservation des données : elle varie selon le type de données personnelles collecté :

  • pour les données liées à la prospection : 3 ans
  • en ce qui concerne les données issues de la vente : 5 ans
  • et pour les données liées au recrutement : 2 ans

Le respect des durées peut être garanti par des règles de suppression des données personnelles sur vos bases de données. Quant aux emails issus des formulaires de contact qui arrivent directement sur vos boîtes emails, veillez à supprimer ces données en respectant ces durées.

Les droits des internautes doivent être rappelés sur le formulaire ainsi que l’utilisation faite des données collectées (que l’on retrouvera aussi dans vos mentions légales). L’adresse email du DPO doit être mentionnée également sur le formulaire pour pouvoir faire appel à ses droits d’opposition, de rétractation ou de suppression.


Astuce : Vous pouvez mentionner une adresse email avec [@] pour éviter de recevoir des spams issus des crawls des robots sur votre site.


La mise en place d’un CAPTCHA permettra d’éviter l’intrusion des robots qui scrutent les formulaires pour trouver des failles.

Utilisez un email générique et non personnel. On est là sur un point de sécurité. Effectivement, que se passe-t-il quand la personne destinatrice des emails provenant des formulaires de contact quitte l’entreprise ou part en vacances ? Et ne dites pas que vous transmettez les codes d’accès à vos collègues, chaque code est sensé être personnel et ne doit pas être transmis, c’est une bonne pratique de sécurité.

La sous-traitance

Exigez un contrat avec vos prestataires, c’est obligatoire.

Les prestataires qui ont accès à vos données doivent également être « RGPD compliant ». Ils doivent faire la preuve qu’ils respectent bien les règles en vigueur sur la protection des données personnelles (conservation des données, sécurité en place, sécurisation en cas de diffusion à des tiers, …).

C’est le cas des agences web, des hébergeurs, des agences de communication qui réalisent des campagnes pour vous. En fait tous les acteurs qui ont un accès à vos données.

En dernier ressort, c’est vous le responsable des données personnelles de votre site, d’ou l’importance de travailler avec des prestataires qui pourront vous assurer qu’ils respectent bien les règles.

Les liens

Les liens qui dirigent vers d’autres sites depuis le vôtre doivent être distincts. L’idée est d’être transparent avec vos visiteurs et de distinguer votre site des autres lors de leurs navigations.

Pour cela, il faut que les liens vers d’autres sites se fassent dans un nouvel onglet, et que vos liens, vos ancres soient reconnaissables (en gras, surligné,  coloré, …, à vous de faire en sorte qu’on distingue bien vos liens).

Et pour les sites e-commerce

Pour les sites e-commerce, tout ce qui précède est à prendre en compte. On utilise la politique de confidentialité et les CGV pour présenter vos traitements liés à la vente.

Là encore, le but est d’être transparent. Cela se traduit sur les éléments liés à l’achat :

  • les conditions de livraison,
  • les retours,
  • le paiement,
  • le traitement des données collectées,
  • la durée de conservation de ces données, …

La sécurisation des données doit être renforcée concernant l’accès aux données, l’échange de données avec des tiers.

Quelques sources 

CNIL : Le texte officiel

Comment répondre aux obligations du RGPD ?