Comment Faire un Audit RGPD de Son Site Web ?

Réaliser un audit RGPD de votre site web est essentiel pour identifier les non-conformités et éviter les sanctions de la CNIL. Ce guide vous présente une méthodologie complète en 7 étapes, applicable que vous soyez un professionnel du web ou un chef d'entreprise sans compétences techniques.

Temps estimé : 1 à 2 heures pour un audit manuel complet. 2 minutes avec un outil automatisé comme RGPD Checker.

Gagnez du Temps avec l'Audit Automatique

Notre outil analyse 127 points en 2 minutes

Lancer le Diagnostic Gratuit

Pourquoi Faire un Audit RGPD ?

Un audit RGPD permet de :

Chiffre clé : En 2024, la CNIL a infligé plus de 300 millions d'euros d'amendes. 68% des sanctions concernaient des problèmes de cookies - facilement détectables lors d'un audit.

Les 7 Étapes de l'Audit RGPD

1

Inventorier les Données Collectées

La première étape consiste à lister tous les points de collecte de données sur votre site :

Formulaires : contact, inscription, commande, newsletter, commentaires
Cookies : analytiques (Google Analytics), publicitaires (Facebook Pixel), fonctionnels
Comptes utilisateurs : données de profil, historique d'achats
Chat en ligne : conversations enregistrées
Fichiers uploadés : CV, pièces d'identité, documents

Pour chaque collecte, notez :

  • Quelles données sont collectées (nom, email, téléphone, IP...)
  • Pourquoi elles sont collectées (finalité)
  • Combien de temps elles sont conservées
  • Qui y a accès (vous, prestataires, partenaires)
2

Analyser le Bandeau Cookies

Les cookies représentent 68% des sanctions CNIL. Votre bandeau doit respecter ces règles :

Aucun cookie avant consentement : les scripts ne doivent pas se charger à l'arrivée sur le site
Bouton "Refuser" visible : aussi visible et accessible que "Accepter"
Paramétrage granulaire : possibilité de choisir par catégorie
Information claire : finalités des cookies expliquées
Pas de cases pré-cochées : sauf cookies strictement nécessaires
Possibilité de retirer son consentement : accès facile aux paramètres

Comment vérifier techniquement ?

  1. Ouvrez votre site en navigation privée
  2. Ouvrez les outils développeur (F12) > onglet "Réseau"
  3. Rechargez la page SANS cliquer sur le bandeau
  4. Vérifiez qu'aucun script Google Analytics, Facebook, etc. n'est chargé
3

Auditer la Politique de Confidentialité

Votre politique de confidentialité doit contenir 12 mentions obligatoires (article 13 RGPD) :

Mention Contenu Attendu
1. Identité du responsable Nom de l'entreprise, adresse, contact
2. Contact DPO Email du délégué à la protection des données (si applicable)
3. Finalités Pourquoi les données sont collectées
4. Base légale Consentement, contrat, intérêt légitime, obligation légale...
5. Destinataires Qui reçoit les données (sous-traitants, partenaires)
6. Transferts hors UE Pays concernés et garanties (clauses contractuelles...)
7. Durée de conservation Combien de temps chaque donnée est gardée
8. Droits des personnes Accès, rectification, suppression, portabilité, opposition
9. Comment exercer ses droits Procédure claire (email, formulaire)
10. Droit de réclamation Possibilité de saisir la CNIL
11. Caractère obligatoire Données obligatoires vs facultatives
12. Décisions automatisées Si profilage ou décision automatique (si applicable)

Vérifiez également :

  • Accessible en 1 clic depuis toutes les pages (footer)
  • Rédigée en français clair et compréhensible
  • Date de dernière mise à jour affichée
4

Vérifier les Formulaires

Chaque formulaire collectant des données doit :

Afficher une mention d'information : finalité, droits, lien vers politique
Ne pas pré-cocher les cases : newsletter, partenaires, etc.
Séparer les consentements : un consentement ≠ un usage
Minimiser les données : ne demander que le nécessaire
Distinguer obligatoire/facultatif : astérisque ou mention claire

Exemple de mention conforme :

"Les informations recueillies font l'objet d'un traitement par [Entreprise] pour [finalité]. Vous disposez d'un droit d'accès, de rectification et de suppression. En savoir plus"

5

Contrôler la Sécurité

La sécurité des données est une obligation RGPD (article 32). Vérifiez :

HTTPS sur toutes les pages : pas seulement la page de paiement
Certificat SSL valide : pas d'avertissement navigateur
Pas de contenu mixte : images/scripts HTTP sur page HTTPS
Redirection HTTP → HTTPS : automatique
Headers de sécurité : HSTS, X-Frame-Options, CSP (optionnel mais recommandé)

Pour les sites e-commerce, vérifiez aussi :

  • Paiement via prestataire certifié PCI-DSS
  • Mots de passe stockés de manière sécurisée (hashés)
  • Authentification forte pour les comptes admin
6

Identifier les Transferts Hors UE

Les transferts de données vers des pays hors Union Européenne nécessitent des garanties appropriées. Identifiez vos outils américains :

Service Données Transférées Garantie Requise
Google Analytics IP, comportement navigation Clauses contractuelles types + mesures supplémentaires
Facebook Pixel IP, comportement, identifiants Clauses contractuelles types
Mailchimp Emails, noms Clauses contractuelles types
AWS / Cloudflare Données hébergées Serveurs UE de préférence
Stripe Données de paiement Certification PCI-DSS + clauses

Attention : Depuis l'arrêt Schrems II (2020), le Privacy Shield n'est plus valide. Vous devez vérifier que vos prestataires US ont mis en place des clauses contractuelles types (CCT) et des mesures techniques supplémentaires.

7

Établir un Plan d'Action

À l'issue de l'audit, classez les non-conformités par niveau de priorité :

Priorité Type de Non-Conformité Délai de Correction
CRITIQUE Cookies sans consentement, absence HTTPS, fuite de données Immédiat (< 1 semaine)
IMPORTANT Politique incomplète, formulaires sans mentions, bouton Refuser caché Court terme (< 1 mois)
RECOMMANDÉ Optimisation des durées de conservation, documentation interne Moyen terme (< 3 mois)

Simplifiez Votre Audit avec Notre Outil

Diagnostic automatique de 127 points en 2 minutes

Lancer le Diagnostic Gratuit

Les Outils Pour Faire un Audit RGPD

Outils Automatisés (Gratuits)

Outils Manuels

Erreurs Fréquentes à Éviter

Les 5 erreurs les plus courantes :

  1. Penser que le bandeau suffit : Il faut aussi bloquer les scripts avant consentement
  2. Copier-coller une politique générique : Elle doit être personnalisée à vos traitements
  3. Oublier les formulaires de contact : Ils collectent des données personnelles
  4. Ignorer les plugins et widgets : Ils peuvent déposer des cookies tiers
  5. Ne faire l'audit qu'une fois : La conformité doit être vérifiée régulièrement

Questions Fréquentes

Combien de temps prend un audit RGPD ?

Un audit manuel complet prend 1 à 2 heures pour un site simple. Un outil automatisé comme RGPD Checker analyse les points techniques en 2 minutes. L'audit organisationnel (registre, contrats) peut prendre plusieurs jours.

Faut-il faire appel à un professionnel ?

Pour un site vitrine ou e-commerce standard, un audit automatisé suffit généralement. Faites appel à un DPO si vous traitez des données sensibles (santé, opinions) ou si vous êtes dans un secteur réglementé.

À quelle fréquence faire un audit ?

Nous recommandons un audit au moins une fois par an, et après chaque modification majeure du site (nouveau formulaire, changement de CMS, ajout de trackers).

Ressources Complémentaires