Checklist RGPD complète pour propriétaires de sites : données, consentement, WordPress et gestion des incidents

Le Règlement général sur la protection des données (RGPD / GDPR) fait partie des cadres de conformité les plus structurants pour tout propriétaire de site. Blog perso, SaaS, e-commerce, site vitrine : dès que tu traites des données personnelles de résidents de l’UE, la conformité est obligatoire — y compris si ton entreprise est hors UE.

L’enjeu est double : protéger réellement les personnes (les data subjects) et être capable de démontrer ta conformité. En cas de manquement, les sanctions peuvent monter jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).

Ce guide prend la forme d’une checklist complète, structurée comme un audit : inventaire des données, gouvernance, droits des utilisateurs, consentement, cas particuliers (DPIA, transferts hors UE), mise en œuvre pratique (sécurité, formulaires, e-mails marketing, gestion de violation), et focus WordPress.

RGPD : de quoi parle-t-on exactement ?

Le General Data Protection Regulation (GDPR) — en vigueur dans l’Union européenne depuis le 25 mai 2018 — encadre la manière dont les organisations collectent, utilisent, stockent et partagent les données personnelles. Il s’applique aux organisations situées dans l’UE, mais aussi à celles hors UE dès lors qu’elles traitent des données de résidents de l’UE.

Comprendre ton rôle : controller, processor, personnes concernées

Avant de cocher la moindre case, il faut clarifier ton rôle RGPD : c’est lui qui détermine tes obligations (et les documents/contrats à produire). Une même organisation peut cumuler plusieurs rôles selon les traitements.

• Data Controller : l’organisation qui décide pourquoi et comment les données personnelles sont traitées. C’est elle qui porte la responsabilité principale de la conformité.
• Data Processor : le tiers qui traite des données pour le compte d’un controller (hébergeur, outil d’e-mailing, prestataire de support…). Il a aussi des obligations (mesures techniques et organisationnelles, contrats, sous-traitants).
• Data Subjects : les personnes dont les données sont collectées et traitées. Le RGPD vise à protéger leurs droits.

Les 7 principes clés du RGPD (à garder en tête pendant l’audit)

1. Licéité, loyauté et transparence : traiter légalement et expliquer clairement ce qui est fait des données.
2. Limitation des finalités : collecter pour des objectifs déterminés et légitimes, pas « au cas où ».
3. Minimisation des données : ne collecter que le strict nécessaire.
4. Exactitude : maintenir les données à jour et corriger ce qui est inexact.
5. Limitation de conservation : ne pas conserver plus longtemps que nécessaire.
6. Intégrité et confidentialité : protéger contre les accès non autorisés via des mesures adaptées.
7. *Responsabilité (accountability)* : être en mesure de prouver la conformité (traces, contrats, registres, procédures).

Checklist RGPD complète (avec références d’articles)

La checklist ci-dessous est volontairement exhaustive. Pour chaque point, je précise à qui ça s’applique (Data Controller, Data Processor) et la référence RGPD correspondante.

1) Données (inventaire, flux, politique de confidentialité)

1.1 Tu as une liste de tous les types de données personnelles détenues, leur source, les partages, l’usage, et la durée de conservation

S’applique à : Data Controller, Data Processor

Ici, on parle d’un inventaire concret des « colonnes » réellement stockées : par exemple nom, adresse, e-mail, identifiant, adresse postale, numéro de sécurité sociale, etc. Pour chaque type de donnée, documente : la source, avec qui c’est partagé, la finalité, et combien de temps tu conserves.

1.2 Tu as une liste des endroits où les données sont stockées et la manière dont elles circulent entre ces emplacements

S’applique à : Data Controller, Data Processor

Ça inclut les bases de données (ex. MySQL), mais aussi des stockages hors-ligne (papier), des exports CSV, des sauvegardes, des tickets de support, etc. L’objectif : visualiser les flux et réduire les zones grises.

1.3 Tu disposes d’une politique de confidentialité accessible publiquement qui décrit tous les traitements liés aux données personnelles

S’applique à : Data Controller, Data Processor

Ta privacy policy doit décrire (ou pointer vers) les traitements : types de données collectées, où elles sont stockées, et les processus associés. Elle doit être facilement accessible (footer, pages de formulaire, parcours d’achat…).

1.4 Ta politique de confidentialité explicite la base légale du traitement

S’applique à : Data Controller

Pour chaque traitement, tu dois pouvoir expliquer pourquoi tu traites les données (ex. exécution d’un contrat, obligation légale, intérêt légitime, consentement…).

2) Responsabilité, gouvernance et management

2.1 Tu as nommé un DPO (Data Protection Officer) si ton cas le requiert

S’applique à : Data Controller, Data Processor

Un DPO (délégué à la protection des données) n’est obligatoire que dans trois scénarios :

1. Le traitement est effectué par une autorité ou un organisme public, sauf les juridictions agissant dans l’exercice de leur fonction judiciaire.
2. Les activités de base de l’organisation exigent, du fait de leur nature, portée et/ou finalités, un suivi régulier et systématique des personnes concernées à grande échelle.
3. Les activités de base reposent sur le traitement à grande échelle de catégories particulières de données (données sensibles) au sens de l’Article 9, et/ou de données relatives aux condamnations pénales et infractions au sens de l’Article 10.

Si un DPO est requis, il doit connaître les lignes directrices RGPD et comprendre les processus internes impliquant des données personnelles.

2.2 Tu sensibilises les décideurs aux exigences RGPD

S’applique à : Data Controller, Data Processor

La conformité s’effondre vite si les personnes qui arbitrent les outils, le tracking, le CRM, ou les intégrations n’ont pas une vision à jour des obligations (privacy by design, minimisation, preuves, etc.).

2.3 Tu maintiens un niveau de sécurité technique à jour

S’applique à : Data Controller, Data Processor

Si tu opères un produit SaaS (ou un site à forte surface d’attaque), pars d’une checklist sécurité et vérifie que tes mesures techniques sont réalistes et maintenues dans le temps.

2.4 Tu formes les équipes aux bonnes pratiques de protection des données

S’applique à : Data Processor

Beaucoup d’incidents viennent d’une erreur humaine (phishing, partage de lien interne, export envoyé au mauvais destinataire…). Les personnes qui ont accès à des systèmes internes doivent connaître les risques.

2.5 Tu tiens une liste de tes sous-traitants (sub-processors) et tu les mentionnes dans ta politique de confidentialité

S’applique à : Data Processor

Si tu relies des sous-traitants à ton propre service (par ex. infrastructure, support, analytics, e-mailing), tes clients doivent en être informés. Le consentement passe par l’acceptation de la politique de confidentialité selon ce cadre.

2.6 Si tu es hors UE, tu as désigné un représentant dans l’UE

S’applique à : Data Controller, Data Processor

Une entreprise hors UE qui collecte des données de citoyens de l’UE doit désigner un représentant dans un État membre, capable de traiter les questions liées au traitement. Les autorités locales doivent pouvoir contacter ce représentant.

2.7 Tu notifies les violations de données à l’autorité et aux personnes concernées

S’applique à : Data Controller, Data Processor

Une violation de données personnelles doit être notifiée dans les 72 heures à l’autorité de contrôle compétente. Tu dois préciser quelles données ont fuité/perdues, les conséquences, et les contre-mesures mises en place. Sauf si les données étaient chiffrées (encrypted), tu dois aussi informer la personne concernée (data subject).

2.8 Tu as un contrat avec chaque sous-traitant (processor) avec lequel tu partages des données

S’applique à : Data Controller

Le contrat doit inclure des instructions explicites sur le stockage/traitement, et détailler : l’objet et la durée du traitement, la nature et la finalité, les types de données personnelles, les catégories de personnes concernées, ainsi que les obligations et droits du controller.

Exemple courant : un contrat avec ton hébergeur. Les mêmes exigences s’appliquent lorsqu’un processor fait appel à un sub-processor pour l’assister dans les traitements pour le compte du controller.

3) Nouveaux droits des utilisateurs (processus et automatisation)

3.1 Tes utilisateurs peuvent demander facilement l’accès à leurs données

S’applique à : Data Controller, Data Processor

Il te faut un processus clair pour gérer les demandes d’accès (identification, délai, format de réponse, traçabilité).

3.2 Tes utilisateurs peuvent corriger leurs données pour garantir l’exactitude

S’applique à : Data Controller, Data Processor

Prévois un mécanisme permettant de rectifier des données inexactes (self-service via compte, ou procédure support).

3.3 Tu supprimes automatiquement les données dont tu n’as plus l’usage

S’applique à : Data Controller, Data Processor

L’objectif est d’éviter la « rétention par défaut ». Exemple : suppression automatique des données de clients dont le contrat n’a pas été renouvelé.

3.4 Tes utilisateurs peuvent demander facilement la suppression de leurs données (droit à l’effacement)

S’applique à : Data Controller, Data Processor

Mets en place un process pour recevoir, vérifier, exécuter et tracer les demandes de suppression (droit à l’oubli).

3.5 Tes utilisateurs peuvent demander facilement la limitation du traitement

S’applique à : Data Controller, Data Processor

Ils ont le droit de restreindre certains usages (par exemple pendant une contestation, ou en attendant une vérification).

3.6 Tes utilisateurs peuvent demander la portabilité (remise à eux-mêmes ou à un tiers)

S’applique à : Data Controller, Data Processor

La portabilité suppose un export dans un format structuré, couramment utilisé et lisible par machine (machine-readable).

3.7 Tes utilisateurs peuvent s’opposer au profilage ou à des décisions automatisées qui les impactent

S’applique à : Data Controller

Ce point ne concerne que les organisations qui font du profilage ou de la décision automatisée pouvant produire des effets juridiques ou un impact significatif.

4) Consentement (collecte, preuve, retrait)

4.1 Si tu te bases sur le consentement, il doit être libre, spécifique, informé et révocable

S’applique à : Data Controller

Concrètement : si ton site collecte des données, affiche un lien visible vers ta politique de confidentialité et fais valider les conditions. Le consentement nécessite une action affirmative : les cases pré-cochées sont interdites.

4.2 Ta politique de confidentialité est compréhensible et sans ambiguïté

S’applique à : Data Controller

Le texte doit être clair, simple, et ne pas masquer l’intention. Sinon, l’accord peut être considéré comme invalide. Et si tu fournis des services à des enfants, la politique doit être suffisamment accessible pour eux.

4.3 Retirer son consentement doit être aussi simple que le donner

S’applique à : Data Controller

Si l’opt-in est à un clic, l’opt-out doit l’être aussi (pas de parcours caché, pas de friction artificielle).

4.4 Données d’enfants : vérification d’âge et consentement du représentant légal

S’applique à : Data Controller

Pour les enfants de moins de 16 ans, tu dois t’assurer qu’un représentant légal a consenti au traitement. Si le consentement est donné via le site, tu dois essayer de vérifier qu’il provient bien du représentant légal (et non de l’enfant).

4.5 En cas de mise à jour de la politique de confidentialité, tu informes les clients existants

S’applique à : Data Controller

Par exemple via un e-mail annonçant les changements à venir, en expliquant simplement ce qui a évolué.

5) Suivi (maintenance de la conformité)

5.1 Tu revois régulièrement tes politiques : changements, efficacité, nouveaux usages et contexte pays

S’applique à : Data Controller

La conformité n’est pas un projet one-shot : nouveaux plugins, nouveau prestataire, nouveau pays de traitement, changement de finalité… tout ça doit déclencher une revue des pratiques et de la documentation.

6) Cas particuliers (DPIA, transferts hors UE)

6.1 Tu sais quand réaliser une DPIA (Data Protection Impact Assessment) pour un traitement à haut risque

S’applique à : Data Controller

C’est surtout pertinent si tu fais du traitement à grande échelle, du profilage, ou d’autres activités présentant un risque élevé pour les droits et libertés des personnes. Dans ces cas, une DPIA doit être réalisée.

6.2 Tu ne transfères des données hors UE que vers des pays offrant un niveau de protection adéquat (ou avec garde-fous)

S’applique à : Data Controller, Data Processor

Tu dois aussi déclarer ces flux transfrontaliers dans ta politique de confidentialité. Si le pays n’est pas jugé adéquat, utilise des Standard Contractual Clauses (SCCs) ou des Binding Corporate Rules (BCRs).

Droits des personnes concernées : ce que tu dois être capable de fournir

Au-delà des processus internes, le RGPD définit explicitement des droits applicables à tous les Data Subjects. C’est une bonne grille de contrôle pour valider que tes parcours (privacy policy, formulaires, support, exports) couvrent bien les exigences.

Droit à une information transparente

Le controller doit prendre des mesures appropriées pour fournir toute information relative au traitement de manière concise, transparente, compréhensible et facilement accessible, en langage clair et simple — en particulier pour les informations destinées spécifiquement à un enfant. L’information doit être fournie par écrit, ou par d’autres moyens, y compris électroniques lorsque c’est approprié.

Droit de recevoir des informations spécifiques lorsque les données sont collectées directement

Les informations à fournir incluent :

1. L’identité et les coordonnées du controller
2. Les coordonnées du DPO (le cas échéant)
3. Les finalités du traitement et sa base légale
4. Les intérêts légitimes poursuivis par le controller (le cas échéant)
5. Les destinataires ou catégories de destinataires des données
6. Les informations sur les transferts vers des pays tiers

Droit de recevoir des informations spécifiques lorsque les données ne sont pas collectées directement

Lorsque les données proviennent d’une autre source que la personne concernée, des informations similaires doivent être fournies, y compris les catégories de données personnelles concernées et la source des données.

Droit d’accès

La personne peut demander confirmation que ses données sont traitées et accéder notamment à :

• Les finalités du traitement
• Les catégories de données personnelles concernées
• Les destinataires auxquels les données ont été ou seront divulguées
• La durée de conservation envisagée
• L’existence des droits de rectification, d’effacement, de limitation et d’opposition
• Le droit d’introduire une réclamation auprès d’une autorité de contrôle
• Les informations sur la source des données (si elles ne proviennent pas de la personne)
• L’existence d’une prise de décision automatisée, y compris le profilage

Droit de rectification

La personne a le droit d’obtenir, dans les meilleurs délais, la correction de données inexactes et de compléter des données incomplètes.

Droit à l’effacement (droit à l’oubli)

La personne peut obtenir l’effacement lorsque :

1. Les données ne sont plus nécessaires au regard de la finalité initiale
2. Le consentement est retiré et il n’existe pas d’autre base légale au traitement
3. La personne s’oppose au traitement et il n’existe pas de motifs légitimes impérieux
4. Les données ont été traitées de manière illicite
5. Les données doivent être effacées pour respecter une obligation légale
6. Les données ont été collectées dans le cadre de services de la société de l’information offerts à un enfant

Droit à la limitation du traitement

La personne peut obtenir la limitation lorsque :

1. Elle conteste l’exactitude des données (pendant une période permettant la vérification)
2. Le traitement est illicite et elle s’oppose à l’effacement
3. Le controller n’a plus besoin des données mais la personne en a besoin pour constater, exercer ou défendre des droits en justice
4. La personne s’est opposée au traitement pendant la vérification des motifs légitimes

Droit d’être notifié en cas de rectification, effacement ou limitation

Le controller doit communiquer toute rectification, tout effacement ou toute limitation à chaque destinataire auquel les données ont été divulguées, sauf si cela s’avère impossible ou exige des efforts disproportionnés.

Droit à la portabilité

La personne peut recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre controller sans entrave.

Droit d’opposition

La personne peut s’opposer, pour des raisons tenant à sa situation particulière, à tout moment, aux traitements fondés sur l’intérêt légitime ou l’intérêt public, y compris le profilage.

Droit de ne pas faire l’objet d’une décision automatisée

La personne a le droit de ne pas être soumise à une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou l’affectant de manière significative.

Mise en œuvre pratique : les étapes concrètes côté site web

1) Sécuriser ton site (mesures de base, mais indispensables)

• Installer un certificat SSL (HTTPS) pour chiffrer les échanges entre le site et le serveur
• Utiliser des mots de passe forts pour tous les comptes admin
• Ajouter une protection renforcée pour le traitement des informations de paiement
• Utiliser un provider CDN capable de protéger contre les attaques DDoS
• Déployer un anti-virus pour limiter les accès non autorisés
• Minimiser la collecte : ne récupérer que ce qui est nécessaire
• Pseudonymiser ou anonymiser les données personnelles avant stockage lorsque c’est possible
• Sauvegarder les données dans plusieurs emplacements sécurisés
• Supprimer les données dès qu’elles ne sont plus nécessaires

2) Mettre une bannière de consentement cookies (et la faire correctement)

Si ton site utilise des cookies non essentiels, il faut obtenir un consentement explicite avant de les activer.

Exigences fonctionnelles :

• Bloquer les cookies tant qu’il n’y a pas consentement : ne charger que les cookies nécessaires jusqu’à l’opt-in
• Utiliser un langage simple et clair : expliquer quels cookies sont utilisés et pourquoi
• Afficher des boutons Accepter/Refuser à égalité : ne pas dissimuler le refus
• Proposer des options granulaires : permettre de choisir par catégories de cookies
• Permettre le retrait du consentement : offrir un moyen simple de changer les préférences plus tard
• Enregistrer la preuve du consentement : stocker les choix avec horodatage pour démontrer la conformité

3) Passer en revue tous les formulaires du site

Tout formulaire qui collecte des données personnelles doit être conforme. Vérifie systématiquement :

• Une mention de confidentialité expliquant pourquoi tu demandes ces données
• Une case de consentement non cochée par défaut
• Un opt-in séparé pour les communications marketing
• Un lien vers la Privacy Policy
• Un langage clair et simple

4) Obtenir un vrai consentement pour les e-mails marketing

• Opt-in explicite uniquement : case non cochée dédiée au consentement e-mail
• Double opt-in : confirmation via e-mail après inscription
• Conserver les preuves de consentement : date, heure, méthode, finalité
• Lien de désinscription visible : désinscription en un clic dans chaque e-mail
• Traiter les désinscriptions rapidement : idéalement sous 24 h

5) Se préparer à une violation de données (avant qu’elle arrive)

• Notifier l’autorité de contrôle sous 72 heures
• Notifier les utilisateurs affectés s’il y a un risque élevé pour leurs droits
• Tout documenter (chronologie, impact, décisions) pour l’accountability
• Mettre à jour les politiques et mesures pour éviter une récidive

Focus WordPress : points d’attention spécifiques

Sous WordPress, une partie de la conformité se joue dans l’hygiène technique (mises à jour) et dans l’écosystème plugins (forms, analytics, cookies, e-commerce). Une checklist pragmatique :

• Maintenir à jour WordPress core, thèmes et plugins
• Utiliser des plugins de formulaires de contact compatibles RGPD (avec cases de consentement)
• Installer une solution de consentement cookies réellement conforme (blocage avant opt-in, granularité, preuve)
• Utiliser une solution d’analytics compatible RGPD
• Auditer les pratiques de collecte de données des plugins (tracking, logs, transferts)
• Mettre en place les fonctionnalités d’export et de suppression de données utilisateur

Sanctions RGPD : amendes et autres mesures

Le RGPD prévoit deux niveaux d’amendes administratives :

• Infractions “lower tier” : jusqu’à 10 M€ ou 2 % du chiffre d’affaires annuel mondial
• Infractions “upper tier” : jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial

Au-delà des amendes, l’autorité peut aussi : émettre des avertissements, interdire temporairement ou définitivement des traitements, ordonner la suppression de données, ou restreindre les transferts.

FAQ (questions fréquentes)

Qu’est-ce qu’une checklist de conformité RGPD ?

C’est une liste d’actions à effectuer pour se conformer au RGPD. Elle sert à identifier les écarts et à structurer l’amélioration de tes pratiques de protection des données.

Qui est responsable de la conformité RGPD ?

Le data controller (souvent le propriétaire du site / de l’activité) est principalement responsable. Les data processors ont également des obligations de conformité.

Le RGPD s’applique-t-il aux entreprises américaines ?

Oui, dès lors qu’elles traitent des données personnelles de résidents de l’UE, quel que soit le pays d’implantation.

Quelle est la sanction maximale en cas de non-conformité ?

Jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

Ai-je besoin d’une bannière cookies ?

Oui si ton site utilise des cookies non essentiels et que tu as des visiteurs dans l’UE : le consentement explicite doit être obtenu avant activation.

Dois-je nommer un DPO ?

Uniquement si : (1) tu es une autorité/organisme public, (2) tes activités de base impliquent un suivi régulier et systématique à grande échelle, ou (3) tu traites des données sensibles à grande échelle.

Note importante

Cette checklist est un guide général et ne constitue pas un conseil juridique. Pour un avis adapté à ton contexte (secteur, pays, nature des traitements, transferts), il faut consulter un professionnel qualifié.