Checklist RGPD site web : 15 points essentiels
Checklist RGPD site web : les 15 points à vérifier pour être conforme
Votre site web est-il conforme au RGPD ? La question semble simple. La réponse l’est moins. Entre les cookies, les scripts tiers, les formulaires, les pages légales et les headers de sécurité, les points de contrôle sont nombreux et techniques. En 2025, la CNIL a prononcé 83 sanctions pour un total de 486,8 millions d’euros, dont 21 pour des manquements liés aux cookies (source : CNIL, bilan 2025). Plus de 60 % de ces sanctions visaient des PME.
Cette checklist RGPD pour site web détaille les 15 points concrets que vous devez vérifier. Chacun de ces points est contrôlé automatiquement par Complio, l’outil d’audit RGPD de site web développé par DPLIANCE.
Bandeau cookies et consentement (points 1 à 5)
Les cookies sont la première cause de sanction CNIL en 2025. La CNIL a publié des lignes directrices et une recommandation consolidée qui fixent les règles du jeu (source : CNIL, lignes directrices cookies). Voici les cinq points à vérifier.
1. Présence d’un bandeau de consentement (CMP)
Obligation : tout site qui dépose des cookies non essentiels doit recueillir le consentement préalable de l’utilisateur via un bandeau de consentement, aussi appelé CMP (Consent Management Platform).
Ce que la CNIL vérifie : la présence effective d’un bandeau au premier chargement de la page, avant toute navigation.
Ce que Complio fait : le LLM multimodal Pixtral analyse visuellement chaque page crawlée pour détecter la présence d’un bandeau de consentement, exactement comme un contrôleur CNIL le ferait en visitant votre site.
2. Bouton “Refuser” aussi visible que “Accepter”
Obligation : la CNIL exige que l’utilisateur puisse refuser les cookies aussi facilement qu’il les accepte. Un bouton “Refuser” en texte gris clair quand “Accepter” est en vert vif constitue un manquement (source : CNIL).
Ce que la CNIL vérifie : l’équivalence visuelle et fonctionnelle des options d’acceptation et de refus. Un bouton “Refuser” renvoyant vers une page de paramétrage complexe n’est pas conforme.
Ce que Complio fait : l’analyse visuelle par Pixtral évalue la conformité du bandeau, y compris la visibilité relative des boutons d’acceptation et de refus.
3. Aucun cookie non essentiel avant consentement
Obligation : aucun cookie à finalité non essentielle (analytique, publicitaire, marketing, réseau social) ne doit être déposé avant que l’utilisateur ait donné son consentement explicite. C’est le principe fondamental des lignes directrices CNIL.
Ce que la CNIL vérifie : la CNIL utilise des robots qui chargent les pages et enregistrent les cookies déposés avant toute interaction avec le bandeau.
Ce que Complio fait : Complio enregistre les cookies déposés immédiatement au chargement de la page, avant toute interaction avec la CMP. Les cookies non essentiels détectés à ce stade sont signalés comme non conformes.
4. Prise en compte effective du refus
Obligation : quand l’utilisateur clique sur “Refuser” ou ferme le bandeau sans interagir, aucun cookie non essentiel ne doit être déposé. Le refus doit être techniquement respecté, pas seulement affiché.
Ce que la CNIL vérifie : en 2025, 21 organismes ont été sanctionnés pour des manquements incluant “l’absence de prise en compte effective du refus de l’utilisateur ou du retrait de son consentement” (source : CNIL, bilan 2025).
Ce que Complio fait : Complio mesure les cookies après le chargement initial (sans consentement) et après acceptation, ce qui permet de détecter les cookies déposés sans consentement.
5. Information claire sur les finalités
Obligation : le bandeau doit présenter de manière claire les finalités des cookies : mesure d’audience, publicité ciblée, personnalisation, partage sur les réseaux sociaux. L’utilisateur doit pouvoir donner son consentement par finalité (source : CNIL, recommandation cookies consolidée).
Ce que la CNIL vérifie : la clarté et la complétude des informations présentées dans le bandeau.
Ce que Complio fait : l’analyse de la CMP par l’IA évalue la présence d’informations sur les finalités dans le bandeau de consentement.
Scripts tiers et transferts de données (points 6 à 8)
Chaque script tiers chargé sur votre site est un transfert de données potentiel vers un serveur distant, parfois situé hors de l’Union européenne.
6. Inventaire des scripts tiers
Obligation : le responsable de traitement doit connaître et documenter tous les sous-traitants qui traitent des données personnelles pour son compte (article 28 du RGPD). Chaque script tiers chargé sur votre site (Google Analytics, Facebook Pixel, Hotjar, Intercom, Google Fonts, etc.) constitue potentiellement un tel traitement.
Ce que la CNIL vérifie : la cohérence entre les scripts chargés, les cookies déposés, et les informations déclarées dans la politique cookies.
Ce que Complio fait : Complio identifie chaque script tiers chargé sur les pages crawlées, avec son domaine source et son éditeur quand il est identifiable.
7. Pas de transfert de données hors UE sans base juridique
Obligation : tout transfert de données personnelles vers un pays tiers doit être encadré par une base juridique appropriée : décision d’adéquation, clauses contractuelles types, ou consentement explicite (articles 44 à 49 du RGPD). La CNIL avait mis en demeure plusieurs éditeurs de sites pour l’utilisation de Google Analytics en raison de transferts illicites vers les États-Unis (source : CNIL).
Ce que Complio fait : pour chaque script tiers détecté, Complio signale les domaines dont les serveurs sont situés hors de l’Union européenne, permettant d’identifier les transferts à encadrer juridiquement.
8. Classification des cookies détectés
Obligation : chaque cookie doit être documenté : nom, éditeur, finalité, durée de conservation. Cette information doit figurer dans la politique cookies et être accessible depuis le bandeau de consentement.
Ce que Complio fait : les cookies détectés sont automatiquement classifiés grâce à l’Open Cookie Database : nom, éditeur, finalité (essentiel, analytique, marketing, fonctionnel), durée de conservation. Les cookies non référencés sont signalés pour investigation manuelle.
Formulaires et collecte de données (points 9 et 10)
Chaque formulaire est un point de collecte de données personnelles soumis aux obligations du RGPD.
9. Mention d’information sur chaque formulaire
Obligation : l’article 13 du RGPD impose d’informer la personne au moment de la collecte de ses données. Pour chaque formulaire (contact, newsletter, devis, inscription, commentaire), une mention doit indiquer : l’identité du responsable de traitement, la finalité, la base légale, les destinataires, la durée de conservation et les droits de la personne (source : CNIL).
Ce que la CNIL vérifie : la présence d’une mention d’information accessible à proximité immédiate de chaque formulaire, ou un lien vers la politique de confidentialité.
Ce que Complio fait : Complio détecte les formulaires sur chaque page crawlée, identifie les champs de données personnelles collectées (nom, email, téléphone, adresse, message) et vérifie la présence d’une mention d’information ou d’un lien vers la politique de confidentialité.
10. Minimisation des données collectées
Obligation : l’article 5 du RGPD impose le principe de minimisation : ne collecter que les données strictement nécessaires à la finalité déclarée. Un formulaire de contact n’a pas besoin de la date de naissance, de l’adresse postale ou du numéro de téléphone si la réponse se fait par email.
Ce que Complio fait : en listant les champs de données personnelles de chaque formulaire, le rapport permet d’identifier visuellement les champs potentiellement excessifs par rapport à la finalité du formulaire.
Pages légales obligatoires (points 11 à 13)
Trois pages sont obligatoires sur tout site web professionnel. Leur absence est un manquement direct et facilement vérifiable.
11. Mentions légales
Obligation : l’article 6 de la loi LCEN (loi pour la confiance dans l’économie numérique) impose à tout éditeur de site professionnel d’afficher des mentions légales identifiant : le nom ou la dénomination sociale, l’adresse du siège, le numéro de téléphone ou email, le numéro d’immatriculation (RCS, SIRET), le nom de l’hébergeur et ses coordonnées, le nom du directeur de publication.
Sanction en cas d’absence : jusqu’à 75 000 euros pour un entrepreneur individuel, 375 000 euros pour une société (source : francenum.gouv.fr).
Ce que Complio fait : Complio vérifie la présence d’une page de mentions légales accessible depuis le site, typiquement via un lien en footer.
12. Politique de confidentialité
Obligation : les articles 13 et 14 du RGPD imposent de fournir aux personnes concernées une information complète sur le traitement de leurs données. Cette information prend généralement la forme d’une politique de confidentialité qui doit contenir 9 mentions obligatoires : identité du responsable de traitement, types de données collectées, finalités, base légale, durée de conservation, droits des utilisateurs, mesures de sécurité, destinataires, droit de réclamation auprès de la CNIL (source : leto.legal).
Ce que la CNIL recommande : la politique de confidentialité doit être distincte des CGV et CGU, accessible depuis chaque page du site via un lien clairement intitulé (“Données personnelles”, “Confidentialité” ou “Politique de confidentialité”).
Ce que Complio fait : Complio détecte la présence d’une page de politique de confidentialité accessible depuis la navigation ou le footer du site.
13. Politique cookies
Obligation : en complément du bandeau de consentement, une page détaillant les cookies utilisés, leurs finalités, leur durée de conservation et les moyens de les refuser ou de retirer son consentement doit être accessible.
Ce que Complio fait : Complio vérifie la présence d’une page ou d’une section dédiée aux cookies, distincte de la politique de confidentialité générale.
Sécurité technique (points 14 et 15)
L’article 32 du RGPD impose au responsable de traitement de mettre en oeuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. La CNIL a publié des recommandations spécifiques pour la sécurité des sites web (source : CNIL).
14. HTTPS sur toutes les pages
Obligation : la CNIL recommande de rendre le protocole TLS (version 1.2 ou 1.3) obligatoire sur toutes les pages du site (source : CNIL). Un formulaire transmis en HTTP clair expose les données personnelles en transit.
Ce que Complio fait : Complio vérifie que les pages crawlées sont servies en HTTPS et signale tout contenu mixte ou redirection non sécurisée.
15. Headers de sécurité HTTP
Obligation : la CNIL recommande d’implémenter les en-têtes de sécurité HTTP pour protéger les utilisateurs et leurs données :
- Strict-Transport-Security (HSTS) : force la connexion HTTPS
- X-Content-Type-Options : empêche l’interprétation incorrecte des types MIME
- X-Frame-Options ou Content-Security-Policy frame-ancestors : protège contre le clickjacking
- Attributs cookies HttpOnly, Secure, SameSite : protège les cookies de session
Ce que Complio fait : le rapport analyse les headers HTTP retournés par le serveur et signale les en-têtes de sécurité manquants, avec des recommandations pour les implémenter.
Récapitulatif de la checklist
| N° | Point de contrôle | Obligation | Complio |
|---|---|---|---|
| 1 | Bandeau de consentement (CMP) présent | Lignes directrices CNIL | Analyse visuelle Pixtral |
| 2 | Bouton “Refuser” aussi visible que “Accepter” | Recommandation CNIL | Analyse visuelle Pixtral |
| 3 | Aucun cookie non essentiel avant consentement | Directive e-Privacy / CNIL | Scan cookies avant interaction |
| 4 | Prise en compte effective du refus | Lignes directrices CNIL | Comparaison cookies avant/après |
| 5 | Information claire sur les finalités | Recommandation CNIL | Analyse CMP par IA |
| 6 | Inventaire des scripts tiers | Article 28 RGPD | Détection automatique |
| 7 | Transferts hors UE encadrés | Articles 44-49 RGPD | Signalement domaines hors UE |
| 8 | Cookies classifiés et documentés | Transparence RGPD | Open Cookie Database |
| 9 | Mention d’information sur les formulaires | Article 13 RGPD | Détection formulaires + mentions |
| 10 | Minimisation des données collectées | Article 5 RGPD | Inventaire des champs |
| 11 | Mentions légales présentes | Loi LCEN, article 6 | Détection page mentions légales |
| 12 | Politique de confidentialité complète | Articles 13-14 RGPD | Détection page confidentialité |
| 13 | Politique cookies accessible | Lignes directrices CNIL | Détection page cookies |
| 14 | HTTPS sur toutes les pages | Article 32 RGPD / CNIL | Vérification protocole |
| 15 | Headers de sécurité HTTP | Article 32 RGPD / CNIL | Analyse headers serveur |
Vérifier ces 15 points manuellement prend des heures
Pour chaque point de cette checklist, la vérification manuelle implique : ouvrir les outils de développement du navigateur, naviguer page par page, examiner les cookies déposés à différents moments, lire le code source pour identifier les scripts, vérifier les headers HTTP, lire les pages légales.
Pour un site de 10 pages, comptez une demi-journée de travail pour un professionnel expérimenté. Pour un cabinet, c’est facturé entre 500 et 1 500 euros minimum, intégré dans une prestation plus large de 3 000 à 7 000 euros.
Complio vérifie ces 15 points en 10 minutes pour 89 euros
Complio crawle jusqu’à 15 pages de votre site avec un navigateur headless Playwright, analyse chaque page avec l’IA Mistral, et produit un rapport PDF structuré avec un score de conformité sur 100 et des recommandations concrètes.
- 89 euros HT (106,80 euros TTC)
- 10 minutes de traitement
- Aucun compte à créer : paiement par Mollie, rapport par email
- Score 0-100 calculé sur le ratio items conformes / items applicables
Ce que Complio ne fait pas : tests de sécurité applicative (OWASP), tests mobile, accessibilité, et vérification que les pratiques internes sont réellement appliquées. Complio vérifie la présence des éléments de conformité sur votre site, pas leur application organisationnelle.
FAQ : checklist RGPD site web
Cette checklist est-elle exhaustive ?
Cette checklist couvre les 15 points techniques et juridiques essentiels qu’un audit RGPD de site web doit vérifier. Elle ne couvre pas la conformité organisationnelle de l’entreprise (registre des traitements, contrats sous-traitants, procédures de gestion des droits, AIPD). Pour une conformité RGPD complète, un accompagnement par un DPO ou un cabinet spécialisé reste nécessaire en complément.
Mon site n’a pas de cookies. Suis-je quand même concerné ?
Oui. Même sans cookies, votre site est soumis aux obligations RGPD dès qu’il collecte des données personnelles via un formulaire. Les mentions légales sont obligatoires pour tout site professionnel (loi LCEN). La politique de confidentialité est requise dès que des données personnelles sont traitées. Les headers de sécurité restent des recommandations CNIL au titre de l’article 32.
Combien de points faut-il valider pour être conforme ?
Il n’existe pas de seuil officiel. Chaque point correspond à une obligation légale ou une recommandation CNIL. Un manquement sur un seul point peut suffire à déclencher une sanction. La CNIL cible en priorité les cookies (points 1 à 5), mais les mentions légales (point 11) et l’absence de politique de confidentialité (point 12) sont aussi des manquements fréquemment sanctionnés.
À quelle fréquence refaire cette vérification ?
Après chaque modification significative du site (ajout de formulaire, changement de CMP, intégration d’un nouvel outil tiers, refonte graphique). En routine, un audit trimestriel est un rythme raisonnable. À 89 euros par audit avec Complio, le coût annuel (356 euros) est inférieur au tarif horaire d’un consultant RGPD.
Complio vérifie-t-il vraiment les 15 points ?
Complio couvre les 15 points listés dans cette checklist via son crawl Playwright, son analyse IA Mistral/Pixtral, et sa base de données Open Cookie Database. Le rapport PDF détaille les résultats pour chaque catégorie : cookies, CMP, scripts tiers, formulaires, pages légales et headers de sécurité. Les points pour lesquels un complément humain est recommandé (minimisation des données, contenu des pages légales) sont signalés dans les recommandations.
Passez de la checklist à l’action
Vous avez la liste. Vous pouvez passer une demi-journée à vérifier chaque point manuellement. Ou vous pouvez laisser Complio le faire en 10 minutes pour 89 euros, avec un rapport PDF structuré et un score de conformité.
Mieux vaut le savoir avant la CNIL.