Site internet sécurisé & conforme RGPD : l'essentiel

On confond souvent les deux, alors qu'ils répondent à des questions différentes. La sécurité protège votre site contre les intrusions, les pannes et la perte de données : c'est l'angle technique. Le RGPD, lui, encadre la manière dont vous traitez les données personnelles de vos visiteurs : c'est l'angle juridique. Les deux se croisent toutefois, puisque l'article 32 du règlement européen impose justement des mesures de sécurité « appropriées ».

Concrètement, un site peut être verrouillé techniquement tout en restant hors-la-loi parce qu'il dépose des cookies publicitaires sans demander l'avis du visiteur. À l'inverse, un site irréprochable côté mentions légales reste vulnérable s'il tourne sur un CMS jamais mis à jour. C'est pourquoi je traite toujours les deux ensemble, et c'est l'objet de ce guide.

Pourquoi une PME est une cible, pas une exception

Les attaques sont massivement automatisées : des robots scannent le web en continu à la recherche de versions de WordPress, Drupal ou de plugins connus pour leurs failles. Votre site n'a pas besoin d'être célèbre pour être attaqué, il lui suffit d'être vulnérable. Un site vitrine de TPE piraté sert ensuite à diffuser du spam, à héberger des pages frauduleuses ou à rebondir vers d'autres cibles, le tout à votre insu.

Ce que vous risquez vraiment

Côté sécurité : indisponibilité du site, défiguration, vol de la base de données, blocage par rançongiciel. Côté RGPD : en cas de manquement, la CNIL peut prononcer une mise en demeure puis une sanction financière, et une fuite de données doit être notifiée sous 72 heures. Au-delà de la sanction, c'est la confiance de vos clients qui est en jeu : difficile de récupérer un prospect après lui avoir affiché un cadenas « Non sécurisé » ou une fuite de ses coordonnées.

Dès qu'un site collecte la moindre donnée personnelle, même une simple adresse e-mail via un formulaire, le RGPD s'applique. Pas besoin d'être juriste : pour une PME, la conformité repose sur un petit nombre d'éléments à mettre en place une fois, puis à tenir à jour.

Les éléments incontournables à afficher

• Mentions légales : identité de l'éditeur, SIRET, directeur de la publication, coordonnées de l'hébergeur
• Politique de confidentialité : finalités des traitements, durées de conservation, droits des personnes
• Bannière cookies conforme CNIL : refus aussi simple que l'acceptation, aucun traceur avant le consentement
• Registre des traitements : un tableau listant chaque collecte de données, sa finalité et sa base légale
• Information au point de collecte : une mention claire à côté de chaque formulaire

Cookies et bannière : la règle de la CNIL

Les cookies strictement nécessaires au fonctionnement (panier, session) ne demandent aucun consentement. En revanche, dès qu'il s'agit de mesure d'audience non exemptée, de publicité ou de contenus tiers (vidéo, carte, bouton de partage), le consentement est obligatoire avant tout dépôt. La bannière doit proposer « Tout refuser » au même niveau que « Tout accepter » : un bouton refus caché ou un bandeau qui force l'acceptation est explicitement sanctionné. Si vous tenez à mesurer votre trafic sans bannière, une solution sans cookie comme Plausible ou un Matomo bien réglé fait le travail.

Héberger en Europe pour se simplifier la vie

Choisir un hébergeur dont les serveurs sont en Union européenne (OVHcloud, Scaleway, Infomaniak, o2switch…) évite toute la complexité des transferts de données hors UE. Si vous utilisez un service américain pour l'analytique ou la diffusion de contenus, vérifiez ses garanties et déclarez ces transferts dans votre politique de confidentialité. Pour une PME, partir sur de l'hébergement UE dès le départ est le choix le plus serein, et c'est l'approche que je retiens systématiquement quand je mets en place la sécurisation d'un site ou d'une application.

Les données de vos formulaires

Ne demandez que les champs vraiment utiles, conservez les messages pendant une durée raisonnable, puis supprimez-les. Toute personne doit pouvoir, sur simple demande, accéder à ses données, les corriger ou les faire effacer : prévoyez le canal pour répondre à ces demandes sans délai. Ce sont des gestes simples, mais ce sont précisément ceux que les contrôles de la CNIL examinent en premier.

Voici le point de contrôle que je reprends sur chaque site que j'audite. Passez-le en revue sur le vôtre : si une seule ligne reste sans réponse, c'est déjà un chantier à ouvrir.

Volet sécurité

• Le site est entièrement en HTTPS, sans contenu mixte ni avertissement de navigateur.
• Le CMS, le thème et les extensions sont à jour, et les modules inutilisés ont été supprimés.
• Les comptes administrateurs ont des mots de passe forts et la double authentification activée.
• Des sauvegardes automatiques quotidiennes existent, stockées hors serveur et déjà testées en restauration.
• Un pare-feu applicatif et une surveillance des modifications sont en place.
• Chaque utilisateur dispose du rôle minimal nécessaire, et les accès des anciens prestataires ont été révoqués.

Volet RGPD

• Les mentions légales et la politique de confidentialité sont publiées et accessibles depuis chaque page.
• La bannière cookies propose un refus aussi simple que l'acceptation et ne dépose rien avant le consentement.
• L'hébergement est situé dans l'Union européenne, ou les transferts hors UE sont encadrés et déclarés.
• Un registre des traitements recense chaque collecte de données, sa finalité et sa base légale.
• Chaque formulaire ne demande que le strict nécessaire et affiche une information claire à côté.
• Une procédure permet de répondre rapidement aux demandes d'accès, de rectification ou de suppression.