Comment ça marche Ce que nous vérifions Tarifs Articles À propos Scan gratuit →
Mon site est-il conforme au RGPD ? Les 12 vérifications que vous oubliez probablement
← Tous les articles Conformité ⏱ 7 min de lecture Mis à jour le 27 juin 2026

Mon site est-il conforme au RGPD ? Les 12 vérifications que vous oubliez probablement

Avoir une bannière de cookies ne signifie pas que vous êtes conforme. La plupart des entreprises ont fait quelque chose — installé une bannière, ajouté une politique de confidentialité, coché une case. Faire quelque chose et être conforme ne sont pas la même chose. Les outils de scan automatisé de la CNIL se moquent de l'existence de la bannière ; ils testent si elle fonctionne réellement.

Voici les 12 vérifications qui révèlent l'état réel de la conformité RGPD de votre site web. Parcourez-les honnêtement.

⚠️ Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les exigences du RGPD varient selon les juridictions et évoluent dans le temps. Consultez un avocat qualifié pour un conseil adapté à votre situation.


Avant de commencer : ce que « conforme au RGPD » signifie vraiment

La conformité RGPD n'est pas un état binaire — c'est une combinaison de configuration technique, de documentation juridique et de processus. Vous pouvez avoir une politique de confidentialité parfaite et présenter malgré tout des lacunes de conformité parce que votre bannière de cookies ne bloque pas les scripts. Vous pouvez avoir un consentement aux cookies parfait et présenter malgré tout des lacunes de conformité parce que votre politique de confidentialité ne mentionne pas votre prestataire d'analytique.

Les 12 vérifications ci-dessous comptent toutes. Passer 10 sur 12 ne signifie pas que vous êtes « globalement conforme » — cela signifie que vous avez 2 violations sur lesquelles un régulateur pourrait agir.


Checklist de conformité RGPD : 12 vérifications pour votre site web

Vérification 1 : Les scripts de traçage se déclenchent-ils avant le consentement ?

Ouvrez votre site web dans une fenêtre de navigation privée. Ouvrez les outils de développement (F12 → onglet Réseau). Chargez la page sans cliquer sur quoi que ce soit dans votre bannière de cookies. Recherchez les requêtes sortantes vers :

Si l'un de ces éléments apparaît avant que vous n'interagissiez avec votre bannière de cookies : échec. Il s'agit de la violation du RGPD la plus fréquemment sanctionnée en France et en Allemagne. Les outils de scan automatisé de la CNIL recherchent exactement cela.

Correction : Configurez votre plateforme de gestion du consentement pour bloquer ces scripts jusqu'à ce que le consentement soit accordé.


Vérification 2 : « Tout refuser » est-il aussi facile que « Tout accepter » ?

Ouvrez votre bannière de cookies. Comptez les clics nécessaires pour accepter tous les cookies. Comptez les clics nécessaires pour tout refuser.

Si refuser demande plus de clics, un poids visuel différent ou plus de défilement qu'accepter : échec. Les lignes directrices de la CNIL de 2021 sont explicites à ce sujet. La CNIL a sanctionné Google (150 M€) et Facebook (60 M€) en décembre 2021 pour exactement cela — un refus des cookies plus difficile que leur acceptation.

Correction : Ajoutez un bouton « Tout refuser » au même niveau visuel que « Tout accepter » — même taille, même poids de couleur, même étape.

Vous souhaitez un scan qui vérifie les deux automatiquement ? Lancer un scan de conformité CNIL gratuit →


Vérification 3 : Votre politique de confidentialité liste-t-elle chaque sous-traitant de données ?

Lisez votre politique de confidentialité. Dressez une liste séparée de chaque outil tiers présent sur votre site web : Google Analytics, HubSpot, Mailchimp, votre prestataire de paiement, votre prestataire de chat en direct, votre CDN.

Si un outil présent sur votre site n'est pas mentionné dans votre politique de confidentialité : échec. Le RGPD vous impose de divulguer chaque entité qui reçoit des données personnelles depuis votre site.

Correction : Ajoutez un tableau des sous-traitants à votre politique de confidentialité, listant chaque outil, les données qu'il reçoit et le lieu de traitement.


Vérification 4 : Votre politique de confidentialité mentionne-t-elle les durées de conservation des données ?

Trouvez la section de votre politique de confidentialité qui explique la durée de conservation des données.

Si cette section n'existe pas, ou indique « aussi longtemps que nécessaire » sans période définie : échec. Les articles 13 et 14 du RGPD exigent que vous indiquiez les durées de conservation. Le langage vague constitue une violation citée dans plusieurs décisions de la CNIL.

Correction : Définissez des durées de conservation spécifiques pour chaque catégorie de données : soumissions de formulaires de contact (X mois), dossiers d'achats clients (X ans), contacts newsletter (X ans à compter de la dernière interaction).


Vérification 5 : Votre bannière de cookies couvre-t-elle tous les cookies réellement déposés ?

Utilisez une extension de navigateur (Cookie Editor, EditThisCookie) ou consultez les outils de développement (Application → Cookies) pour voir chaque cookie déposé sur votre site. Comparez à ce que déclare votre bannière.

Si des cookies sont déposés sans être déclarés dans votre bannière ou votre politique de cookies : échec. Les mises à jour de plugins, les intégrations tierces et les widgets sociaux ajoutent fréquemment des cookies non déclarés.

Correction : Auditez vos cookies réels, mettez à jour la configuration de votre plateforme de consentement, régénérez votre déclaration de cookies.


Vérification 6 : Vos mentions légales (Impressum/Mentions légales) sont-elles complètes ?

France (Mentions légales) : Doivent comporter : raison sociale, forme juridique, adresse du siège, numéro SIRET, nom du directeur de publication, hébergeur.

Allemagne (Impressum) : Doit comporter : nom de l'entreprise, adresse physique (pas de boîte postale), numéro de téléphone, e-mail, numéro d'immatriculation au registre du commerce, numéro de TVA, personne responsable du contenu.

Si un élément obligatoire est manquant : échec. Les violations d'Impressum en Allemagne sont sanctionnées par des Abmahnung privées — des concurrents peuvent envoyer des mises en demeure pour ces manquements sans intervention d'un régulateur.

Correction : Vérifiez les exigences du DDG §5 (Allemagne) ou de l'article 6 de la LCEN (France).


Vérification 7 : Hébergez-vous vous-même Google Fonts ?

Affichez le source de votre site (Ctrl+U) ou vérifiez l'onglet Réseau pour les requêtes vers fonts.googleapis.com ou fonts.gstatic.com.

Si des requêtes externes vers Google Fonts apparaissent : échec (Allemagne en particulier). Le LG München a jugé en 2022 que le chargement de Google Fonts depuis le CDN de Google viole le RGPD, car chaque chargement de page envoie l'adresse IP du visiteur à Google sans consentement.

Correction : Hébergez vous-même vos polices :

  1. Identifiez votre police depuis l'URL fonts.googleapis.com dans votre HTML.
  2. Téléchargez depuis fonts.google.com — obtenez les fichiers .woff2.
  3. Uploadez dans un répertoire /fonts/ sur votre propre domaine.
  4. Remplacez la balise <link> par une déclaration @font-face locale.

Vérification 8 : Votre formulaire de contact comporte-t-il une mention d'information sur l'utilisation des données ?

Trouvez votre formulaire de contact. Y a-t-il une mention visible expliquant : quelles données sont collectées, qui les traite, combien de temps elles sont conservées, et quels sont les droits de l'utilisateur ?

Si les utilisateurs peuvent soumettre un formulaire sans être informés de l'utilisation de leurs données : échec. L'article 13 du RGPD exige une information au moment de la collecte.

Correction : Ajoutez une mention en une ligne avec un lien vers votre politique de confidentialité sous chaque formulaire qui collecte des données personnelles.


Vérification 9 : Les enregistrements de consentement aux cookies sont-ils conservés ?

Dans l'interface d'administration de votre plateforme de gestion du consentement (CMP), pouvez-vous voir un journal indiquant quand le consentement a été collecté et ce qui a été accepté ou refusé ?

Si votre CMP ne conserve pas les enregistrements de consentement : échec. Le RGPD vous impose de pouvoir démontrer que le consentement a été valablement recueilli (Art. 7(1)).

Correction : Activez la journalisation du consentement dans votre CMP.


Vérification 10 : Avez-vous une procédure pour les demandes d'exercice des droits des personnes concernées ?

Le RGPD donne aux utilisateurs le droit d'accéder, de corriger, de supprimer et de limiter le traitement de leurs données.

S'il n'existe aucun mécanisme permettant aux utilisateurs de soumettre des demandes d'exercice de droits, ou si personne dans votre organisation ne sait quoi faire lorsqu'une telle demande arrive : échec.

Correction : Ajoutez une adresse e-mail dédiée (par ex. confidentialite@votreentreprise.com) à votre politique de confidentialité. Documentez en interne la procédure à suivre lorsqu'une demande arrive.


Vérification 11 : Votre certificat SSL/TLS est-il valide et correctement configuré ?

Ouvrez votre site web. Vérifiez la présence du cadenas. Essayez d'accéder en http:// — cela devrait rediriger vers https://.

Si votre site ne redirige pas HTTP vers HTTPS, ou si votre certificat génère des avertissements : échec. La transmission de données personnelles via des connexions non chiffrées constitue un manquement à la sécurité des données que les régulateurs sanctionnent.

Correction : Assurez-vous que le SSL est correctement configuré et que tout le trafic HTTP redirige vers HTTPS.


Vérification 12 : Avez-vous une procédure de réponse aux violations de données ?

Le RGPD vous impose de notifier votre autorité de protection des données dans les 72 heures suivant la découverte d'une violation (Art. 33).

Si une « violation de données » déclencherait de la confusion plutôt qu'une procédure de réponse : échec.

Correction : Rédigez une procédure de réponse aux violations sur une page. Elle doit exister et être connue de tous.


Votre score de conformité RGPD

Vérifications réussiesCe que cela signifie
12/12Vous êtes en bonne posture. Lancez un scan technique pour confirmer.
9–11/12Probablement exposé sur au moins un schéma d'application CNIL/allemand
6–8/12Plusieurs risques actifs. Priorisez les vérifications 1, 2, 6 immédiatement.
Moins de 6/12Remédiation prioritaire nécessaire. Commencez par le consentement aux cookies.

La version rapide : les 3 vérifications les plus prioritaires

Si vous ne faites que trois vérifications aujourd'hui, faites celles-ci :

  1. Ouvrez une fenêtre privée, chargez votre site, vérifiez si Google Analytics se déclenche avant le consentement. (Vérification 1)
  2. Comptez les clics pour « Tout refuser » vs « Tout accepter » sur votre bannière de cookies. (Vérification 2)
  3. Lisez vos Mentions légales/Impressum et vérifiez que chaque champ obligatoire est présent. (Vérification 6)

Ces trois points couvrent les violations que la CNIL et les Abmahnung allemands détectent le plus efficacement.


Lancer une vérification automatisée gratuite

La checklist de 12 points ci-dessus est une revue manuelle. Un scan automatisé détecte ce qui est plus difficile à vérifier à la main.

Lancer un scan Sitetals gratuit sur votre site web

Rapport PDF complet avec liste de remédiation priorisée : 49 €.


Questions fréquentes

Mon développeur m'a dit que mon site est conforme au RGPD. Est-ce vrai ?

Les développeurs construisent ; ils n'auditent pas la conformité juridique. À moins que votre développeur n'ait spécifiquement examiné la configuration du consentement aux cookies, le contenu de la politique de confidentialité et l'exhaustivité des mentions légales au regard des exigences actuelles du RGPD et des réglementations nationales — son « c'est conforme » concerne le code, pas la conformité.

J'ai une bannière de cookies. Cela signifie-t-il que je suis conforme ?

Pas en soi. Les vérifications 1 et 2 ci-dessus décrivent les deux manquements les plus fréquents d'une bannière de cookies : les scripts de traçage qui se déclenchent avant toute interaction avec la bannière, et une conception de la bannière où refuser est plus difficile qu'accepter.

Quelle est la violation la plus fréquente en France ?

Les manquements au consentement aux cookies — notamment les scripts de traçage qui se chargent avant le consentement (vérification 1) et les bannières qui rendent le refus plus difficile que l'acceptation (vérification 2). La CNIL utilise des outils de scan automatisé pour faire respecter ces règles à grande échelle depuis 2021.

Quelle est la violation la plus fréquente en Allemagne ?

En matière d'application réglementaire : les scripts de traçage avant consentement et Google Analytics sans consentement. En matière d'Abmahnung privé : un Impressum incomplet (vérification 6) et des mentions de rétractation e-commerce incorrectes. Ces deux catégories génèrent des centaines d'actions en exécution par an.

À quelle fréquence dois-je refaire cette vérification ?

Au minimum une fois par trimestre, et immédiatement après : l'ajout d'un nouvel outil marketing ou d'analyse, un changement de plateforme de site web, une refonte, ou la publication d'une mise à jour des décisions CNIL/BfDI. Voir Pourquoi la conformité n'est pas une démarche ponctuelle pour une vue d'ensemble.

Ces exigences s'appliquent-elles aux sites de petites entreprises ?

Oui. Le RGPD s'applique quelle que soit la taille de l'entreprise. Le système d'Abmahnung en Allemagne est particulièrement redoutable pour les petites entreprises, car le coût de la contestation dépasse celui du règlement amiable. Le scan automatisé de la CNIL ne distingue pas selon la taille de l'entreprise.


Lectures connexes :


Sources : Articles 7, 13, 14, 33 du RGPD · Décisions CNIL 2022–2025 · Lignes directrices CNIL sur les cookies (2021, mises à jour 2022) · DDG §5 (Allemagne) · Article 6 LCEN (France) · LG München I Az. 3 O 17493/20

🩸 — Rédaction Sitetals