15 Exemples de Violations RGPD Détectées en Audit

Voici 15 cas réels de non-conformité RGPD fréquemment détectés lors d'audits de sites web. Pour chaque violation, nous expliquons le problème, l'impact juridique, et la correction à appliquer.

68%
Sites avec violations cookies
45%
Politiques incomplètes
82%
Formulaires non conformes
300M€
Amendes CNIL 2024

Vérifiez Votre Site Maintenant

Détectez automatiquement ces violations en 2 minutes

Lancer le Diagnostic Gratuit

Violations Liées aux Cookies (68% des sanctions)

1
Google Analytics chargé avant consentement
Cookies - CRITIQUE

Le problème

Le script Google Analytics se charge dès l'arrivée sur le site, avant que l'utilisateur n'ait cliqué sur "Accepter" dans le bandeau cookies. Les données de navigation sont donc collectées sans consentement.

<!-- Dans le <head> - MAUVAIS --> <script async src="https://www.googletagmanager.com/gtag/js?id=GA_ID"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'GA_ID'); </script>

⚖️ Impact juridique

Amende potentielle : 20 000€ à 90 000 000€ (voir Google 90M€ en 2020). C'est la violation la plus sanctionnée par la CNIL.

La correction

Utiliser un gestionnaire de consentement (Axeptio, Tarteaucitron, Cookiebot) qui bloque le script jusqu'au clic sur "Accepter".

<!-- Script conditionnel - BON --> <script> // Ne charger GA que si consentement donné if (cookieConsent.analytics === true) { // Charger Google Analytics ici } </script>
2
Bouton "Refuser" caché ou absent
Cookies - CRITIQUE

Le problème

Le bandeau propose un gros bouton "Accepter" coloré, mais le bouton "Refuser" est soit absent, soit caché dans "Paramétrer", soit en texte grisé peu visible.

⚖️ Impact juridique

La CNIL exige que refuser soit "aussi simple qu'accepter". Facebook a été sanctionné de 60M€ pour ce motif.

La correction

Afficher deux boutons de même taille et visibilité : "Accepter" et "Refuser" (ou "Continuer sans accepter").

3
Cases cookies pré-cochées
Cookies - CRITIQUE

Le problème

Dans les paramètres du bandeau, les cases "Cookies analytiques" et "Cookies publicitaires" sont pré-cochées. L'utilisateur doit les décocher manuellement.

⚖️ Impact juridique

Le consentement doit être le résultat d'une action positive. Les cases pré-cochées ne constituent pas un consentement valide (CJUE, Planet49).

La correction

Toutes les cases doivent être décochées par défaut, sauf les cookies strictement nécessaires au fonctionnement du site.

4
Facebook Pixel actif par défaut
Cookies - CRITIQUE

Le problème

Le pixel Facebook (fbq) est installé directement dans le code et s'active sans attendre le consentement, permettant le tracking publicitaire immédiat.

<!-- Pixel installé sans condition - MAUVAIS --> <script> !function(f,b,e,v,n,t,s){...}(window,document,'script', 'https://connect.facebook.net/en_US/fbevents.js'); fbq('init', 'PIXEL_ID'); fbq('track', 'PageView'); </script>

⚖️ Impact juridique

Même risque que Google Analytics. Le tracking publicitaire sans consentement est particulièrement surveillé par la CNIL.

La correction

Conditionner le chargement du pixel au consentement "marketing" ou "publicité" dans votre CMP.

5
Scroll = Consentement (Cookie Wall implicite)
Cookies - IMPORTANT

Le problème

Le bandeau indique "En continuant votre navigation, vous acceptez les cookies" et disparaît après un scroll ou une navigation.

⚖️ Impact juridique

Le scroll ou la poursuite de navigation ne constituent pas un consentement valide. Le consentement doit être explicite.

La correction

Le bandeau doit rester visible jusqu'à une action explicite : clic sur "Accepter", "Refuser" ou fermeture volontaire.

Violations de la Politique de Confidentialité

6
Politique de confidentialité absente
Transparence - CRITIQUE

Le problème

Le site collecte des données (formulaires, cookies, comptes) mais aucune politique de confidentialité n'est accessible.

⚖️ Impact juridique

Violation de l'article 13 du RGPD : obligation d'information. Amende potentielle significative + mise en demeure.

La correction

Créer une page politique de confidentialité avec les 12 mentions obligatoires, accessible depuis le footer de toutes les pages.

7
Droits des personnes non mentionnés
Transparence - CRITIQUE

Le problème

La politique de confidentialité existe mais n'indique pas les droits des personnes (accès, rectification, suppression, portabilité, opposition) ni comment les exercer.

⚖️ Impact juridique

Les utilisateurs doivent être informés de leurs droits et des moyens de les exercer. Mention obligatoire article 13.

La correction

Ajouter une section "Vos droits" listant : droit d'accès, rectification, effacement, portabilité, opposition, limitation, + procédure pour les exercer (email, formulaire).

8
Durées de conservation non indiquées
Transparence - IMPORTANT

Le problème

La politique ne précise pas combien de temps les données sont conservées, ou indique vaguement "aussi longtemps que nécessaire".

⚖️ Impact juridique

Le RGPD exige d'indiquer les durées de conservation ou les critères pour les déterminer.

La correction

Préciser les durées par type de données :
- Données clients : 3 ans après dernière commande
- Prospects : 3 ans après dernier contact
- Cookies : 13 mois maximum

Violations des Formulaires

9
Newsletter : case pré-cochée
Consentement - CRITIQUE

Le problème

Sur le formulaire de commande ou d'inscription, la case "Je souhaite recevoir la newsletter" est pré-cochée.

<!-- Case pré-cochée - MAUVAIS --> <input type="checkbox" name="newsletter" checked> <label>Je souhaite recevoir la newsletter</label>

⚖️ Impact juridique

Le consentement pour la prospection commerciale doit être libre, spécifique et éclairé. Une case pré-cochée n'est pas un consentement valide.

La correction

<!-- Case non cochée - BON --> <input type="checkbox" name="newsletter"> <label>Je souhaite recevoir la newsletter</label>
10
Absence de mention sous le formulaire
Information - IMPORTANT

Le problème

Le formulaire de contact collecte nom, email, téléphone, mais aucune mention n'indique comment ces données seront utilisées.

⚖️ Impact juridique

L'information doit être fournie au moment de la collecte (article 13 RGPD).

La correction

Ajouter sous le formulaire : "Les informations recueillies font l'objet d'un traitement par [Entreprise] pour répondre à votre demande. Vous pouvez exercer vos droits en nous contactant à rgpd@entreprise.fr. En savoir plus"

11
Collecte excessive de données
Minimisation - IMPORTANT

Le problème

Le formulaire de contact demande : nom, prénom, email, téléphone, adresse postale, date de naissance, profession... alors qu'un simple email suffirait.

⚖️ Impact juridique

Principe de minimisation des données (article 5 RGPD) : ne collecter que ce qui est strictement nécessaire à la finalité.

La correction

Réduire les champs au minimum nécessaire. Pour un formulaire de contact : nom + email (+ message) suffisent généralement.

Violations de Sécurité

12
Site non sécurisé (HTTP)
Sécurité - CRITIQUE

Le problème

Le site utilise HTTP au lieu de HTTPS. Les données transitent en clair et peuvent être interceptées.

⚖️ Impact juridique

L'article 32 du RGPD impose des mesures de sécurité appropriées. HTTPS est considéré comme un minimum.

La correction

Installer un certificat SSL (gratuit avec Let's Encrypt) et forcer la redirection HTTP → HTTPS.

13
Certificat SSL expiré
Sécurité - CRITIQUE

Le problème

Le certificat SSL est expiré ou invalide. Le navigateur affiche un avertissement de sécurité.

⚖️ Impact juridique

Au-delà du RGPD, cela impacte la confiance des utilisateurs et le SEO (Google pénalise les sites non sécurisés).

La correction

Renouveler le certificat SSL. Configurer le renouvellement automatique si possible.

Violations des Transferts Hors UE

14
Services US sans garanties
Transferts - IMPORTANT

Le problème

Le site utilise des services américains (Mailchimp, Google Analytics, AWS) sans vérifier qu'ils offrent les garanties requises (clauses contractuelles types).

⚖️ Impact juridique

Depuis l'arrêt Schrems II, le Privacy Shield est invalide. Les transferts vers les US nécessitent des garanties supplémentaires.

La correction

1. Vérifier que vos prestataires ont signé les CCT
2. Documenter ces transferts dans votre politique
3. Envisager des alternatives européennes (Matomo, Brevo...)

15
Transferts non mentionnés dans la politique
Transparence - IMPORTANT

Le problème

La politique de confidentialité ne mentionne pas que des données sont transférées vers les États-Unis (ou autre pays hors UE).

⚖️ Impact juridique

L'article 13 impose d'informer sur les transferts vers des pays tiers et les garanties appropriées.

La correction

Ajouter une section "Transferts hors UE" listant : les pays concernés, les prestataires, et les garanties mises en place (CCT, certifications...).

Votre Site Est-Il Concerné ?

Détectez automatiquement ces violations en 2 minutes

Lancer le Diagnostic Gratuit

Récapitulatif : Les Violations Par Fréquence

Violation Fréquence Risque Amende
Cookies chargés avant consentement 68% Très élevé
Bouton Refuser caché 62% Très élevé
Politique de confidentialité incomplète 45% Élevé
Newsletter pré-cochée 38% Élevé
Absence de mentions sous formulaires 55% Élevé
Site en HTTP 12% Très élevé
Transferts US non documentés 72% Élevé

Ressources Complémentaires