RGPD et développement web : checklist pour être conforme en 2026
· 8 min de lecture · Par AzurIT, agence web Nice
En 2026, la CNIL et ses homologues européens ont considérablement renforcé leurs contrôles. Les amendes pour non-conformité RGPD atteignent régulièrement plusieurs millions d'euros pour les grandes entreprises — mais les PME et startups ne sont pas épargnées. Que vous lanciez un nouveau site ou que vous auditiez l'existant, cette checklist complète vous permettra de vous mettre en conformité pas à pas.
Qu'est-ce que le RGPD impose concrètement ?
Le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais) s'applique à toute organisation qui traite des données personnelles d'individus résidant dans l'Union Européenne — quelle que soit la taille de l'organisation et son pays d'implantation. Pour un site web, cela inclut : adresses email, cookies analytics, adresses IP, comportement de navigation.
Checklist RGPD pour développeurs web
① Cookies et traceurs
- ☐ Inventaire des cookies — lister tous les cookies déposés (first-party, third-party, durée, finalité)
- ☐ Bannière de consentement conforme CNIL — refus aussi simple qu'acceptation, pas de case pré-cochée
- ☐ Chargement conditionnel — les scripts analytics/publicité ne se chargent QU'APRÈS consentement
- ☐ Durée de conservation des consentements limitée à 13 mois maximum
- ☐ Possibilité de retirer le consentement à tout moment depuis les paramètres
② Formulaires et collecte de données
- ☐ Chaque formulaire mentionne la base légale du traitement (consentement, intérêt légitime, contrat)
- ☐ Champs obligatoires minimaux — ne collecter que ce qui est strictement nécessaire (principe de minimisation)
- ☐ Lien vers la politique de confidentialité visible avant soumission
- ☐ Pas de case pré-cochée pour les newsletters ou opt-ins marketing
- ☐ Protection des formulaires contre les injections et le spam (CAPTCHA, rate limiting)
③ Politique de confidentialité
- ☐ Page
/privacyou/politique-de-confidentialiteaccessible depuis le footer - ☐ Mention du responsable de traitement (nom, adresse, contact)
- ☐ Liste exhaustive des données collectées et leurs finalités
- ☐ Droits des utilisateurs explicités : accès, rectification, suppression, portabilité, opposition
- ☐ Coordonnées pour exercer les droits (email dédié recommandé : rgpd@votredomaine.fr)
- ☐ Liste des sous-traitants (hébergeur, analytics, CRM, emailing)
- ☐ Mention des transferts hors UE si applicable (ex : serveurs US)
④ Sécurité des données
- ☐ HTTPS obligatoire sur toutes les pages, certificat TLS valide
- ☐ Mots de passe hashés (bcrypt, argon2) — jamais en clair en base
- ☐ Chiffrement des données sensibles au repos (clés de chiffrement séparées)
- ☐ Politique de mots de passe robuste pour les comptes admin
- ☐ Journaux d'accès (logs) et détection des accès anormaux
- ☐ Plan de notification des violations (72 h pour notifier la CNIL en cas de breach)
⑤ Hébergement et sous-traitants
- ☐ Hébergeur certifié ou signataire du Data Privacy Framework si données UE stockées hors UE
- ☐ DPA (Data Processing Agreement) signé avec chaque sous-traitant (hébergeur, Google, Stripe…)
- ☐ Privilégier les hébergeurs européens (OVH, Scaleway, Hetzner) pour les données sensibles
- ☐ Google Analytics 4 configuré avec anonymisation IP et désactivation partage données
⑥ Droits des utilisateurs
- ☐ Fonctionnalité de suppression de compte (droit à l'effacement) opérationnelle
- ☐ Export des données utilisateur sur demande (droit à la portabilité)
- ☐ Procédure documentée pour répondre aux demandes en moins de 30 jours
- ☐ Mineurs — si service susceptible d'être utilisé par des -16 ans, consentement parental requis
Les erreurs les plus courantes en 2026
- Bannière cookie trompeuse — bouton "Tout accepter" en évidence et refus caché dans les paramètres. La CNIL sanctionne systématiquement.
- Google Analytics sans consentement — charger GA avant le consentement est illégal. Utilisez un CMP (Axeptio, Didomi, Cookiebot) avec intégration GTM conditionnelle.
- Formulaires sans base légale explicite — "En nous contactant, vous acceptez nos CGU" ne constitue pas un consentement RGPD valide.
- Données personnelles dans les logs — les logs applicatifs ne doivent pas contenir d'IPs complètes ou d'emails en clair.
- Absence de DPA avec les sous-traitants — même les petits services SaaS utilisés (Mailchimp, Stripe, Intercom) nécessitent un accord de traitement signé.
FAQ — RGPD et développement web
Oui. Toute collecte de données personnelles d'utilisateurs européens déclenche les obligations RGPD, quelle que soit la taille du site. Un simple formulaire de contact ou Google Analytics suffit.
Oui, si vous utilisez des cookies non essentiels (analytics, pub, réseaux sociaux). Le refus doit être aussi accessible que l'acceptation.
GA4 peut être conforme avec la configuration correcte : anonymisation IP, désactivation partage données, consentement préalable. Un CMP certifié CNIL est nécessaire.
Jusqu'à 4 % du chiffre d'affaires mondial annuel ou 20 M€ (le montant le plus élevé). Pour les PME, les sanctions pratiques vont de l'avertissement à quelques dizaines de milliers d'euros.
AzurIT intègre la conformité RGPD dans tous ses projets web dès la conception : bannière cookie, chiffrement, hébergement européen, politique de confidentialité sur-mesure.