NeodigitNeodigit
Retour au blog
Sécurité5 min de lecture

RGPD : ce que 90% des sites font mal (sans le savoir)

Bannières cookies inefficaces, formulaires non conformes, données conservées indéfiniment : les 5 erreurs RGPD les plus fréquentes et comment les corriger.

Rémi

Head of Engineering & Expert Cryptographie

1 mars 2026

À savoir - Selon la CNIL, plus de 90% des sites web français présentent au moins une non-conformité RGPD, exposant leurs propriétaires à des amendes pouvant atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros, sans compter l'atteinte à la réputation en cas de contrôle médiatisé.

Le RGPD n'est pas qu'une histoire de bannière cookies

Vous avez installé une bannière de consentement aux cookies. Vous pensez être en règle avec le RGPD. Mauvaise nouvelle : c'est probablement insuffisant.

Le Règlement Général sur la Protection des Données va bien au-delà des cookies. Il encadre toute collecte, tout traitement, tout stockage de données personnelles. Et les erreurs que nous observons sur la majorité des sites sont souvent les mêmes.

Les 5 erreurs RGPD les plus fréquentes

1. La bannière cookies qui ne bloque rien

Votre bannière s'affiche, l'utilisateur n'a pas encore cliqué, et pourtant Google Analytics tourne déjà. Les pixels Facebook et LinkedIn aussi. C'est illégal.

Le principe : aucun cookie non essentiel ne doit être déposé avant le consentement explicite de l'utilisateur. Le simple affichage d'une bannière ne suffit pas - il faut que les scripts soient techniquement bloqués jusqu'au clic sur "Accepter".

Comment vérifier : ouvrez les outils développeur de votre navigateur, onglet "Application" > "Cookies". Rechargez la page sans cliquer sur la bannière. Si des cookies tiers apparaissent, vous êtes en infraction.

2. Le consentement pré-coché ou forcé

Certaines bannières présentent les cases "cookies marketing" déjà cochées. D'autres rendent le bouton "Tout accepter" bien visible et le "Refuser" microscopique ou inexistant. Ces pratiques constituent des dark patterns sanctionnés par la CNIL.

La règle : le refus doit être aussi simple que l'acceptation. Un seul clic pour accepter = un seul clic pour refuser.

3. Les formulaires sans mentions légales

Votre formulaire de contact collecte nom, email, téléphone. Mais où informez-vous l'utilisateur de l'usage qui sera fait de ses données ? De la durée de conservation ? De ses droits d'accès et de suppression ?

L'obligation : chaque point de collecte doit afficher ou renvoyer vers une information claire sur le traitement des données. Un simple lien vers votre politique de confidentialité peut suffire, à condition qu'elle soit complète et à jour.

4. L'absence de registre des traitements

Le RGPD impose aux entreprises de tenir un registre documentant tous les traitements de données personnelles : quelles données, pour quelles finalités, quelle base légale, quelle durée de conservation, quels destinataires.

La réalité : la majorité des PME n'ont pas ce registre. En cas de contrôle CNIL, c'est pourtant le premier document demandé.

5. Les données conservées indéfiniment

Vous gardez les emails de prospects depuis 2015 "au cas où" ? Les CV des candidats non retenus d'il y a trois ans ? Ces pratiques violent le principe de limitation de conservation du RGPD.

Les durées recommandées : 3 ans pour les données de prospection inactive, 2 ans pour les CV non retenus, 5 ans pour les données clients après la fin de la relation commerciale.

Ce que vous risquez vraiment

Les amendes CNIL ne sont plus théoriques. En 2023, des entreprises françaises de toutes tailles ont été sanctionnées : 180 000 euros pour une PME, plusieurs millions pour des grandes enseignes.

Au-delà de l'amende, c'est la réputation qui souffre. Une mise en demeure publique de la CNIL génère des articles de presse, des commentaires sur les réseaux, une perte de confiance difficile à regagner.

Besoin d'aide sur ce sujet ?

Nos experts peuvent vous accompagner sur la conformité RGPD de votre site.

Ressource gratuite

Checklist conformité RGPD pour sites web

Vérifiez la conformité RGPD de votre site avec cette checklist complète des obligations légales.

Comment se mettre réellement en conformité

La mise en conformité RGPD n'est pas qu'un sujet juridique. C'est aussi - et surtout - un sujet technique. Vos développeurs doivent implémenter correctement le blocage des scripts, le stockage sécurisé des données, les mécanismes de suppression.

Nous intégrons la conformité RGPD dès la conception de chaque projet. Notre approche security by design garantit que la protection des données n'est pas un ajout tardif mais une fondation.

Votre site est-il vraiment conforme ? Échangeons sur vos enjeux. Un audit rapide peut révéler des failles que vous ignorez.

Fait partie du parcours

Sécurité & Conformité

Étape 2/3
PrécédentSécurité by design : intégrer la sécurité dès la conceptionDécouverte
SuivantLes 10 failles de sécurité les plus courantes en application mobileDécision
RGPDGDPRconformitécookiesprotection donnéesCNILvie privée

Partager cet article

Vous avez aimé cet article ?
Inscrivez-vous à notre newsletter pour ne rien manquer.

Articles similaires

Sécurité5 min
Sécurité by design : intégrer la sécurité dès la conception
Corriger une faille en production coûte 6x plus cher qu'en conception selon IBM. Découvrez comment intégrer la sécurité dès les premières spécifications.
22 février 2026Lire
Sécurité12 min
Les 10 failles de sécurité les plus courantes en application mobile
Découvrez les vulnérabilités les plus fréquentes en développement mobile et comment les éviter.
4 janvier 2026Lire

Des questions sur cet article ?

Échangeons pour approfondir le sujet selon votre contexte.