Le RGPD (Règlement Général sur la Protection des Données) s'applique à toute entreprise qui collecte des données personnelles, quelle que soit sa taille. Si vous avez un site web avec un formulaire de contact, vous êtes déjà concerné. Voici ce que vous devez savoir en pratique.
Qu'est-ce qu'une « donnée personnelle » ?
Toute information permettant d'identifier directement ou indirectement une personne physique :
- Nom, prénom, email, téléphone
- Adresse IP, identifiants de connexion
- Données de géolocalisation
- Historique de commandes, préférences
Même un simple formulaire de contact qui collecte un nom et un email est soumis au RGPD.
Les 6 principes du RGPD à respecter
1. Finalité
Vous devez collecter des données pour un objectif précis et légitime. Pas de « on collecte au cas où ». Exemple : « Nous collectons votre email pour répondre à votre demande de contact. »
2. Minimisation
Ne collectez que les données strictement nécessaires. Si vous avez un formulaire de contact, demander la date de naissance n'est pas justifié.
3. Durée de conservation
Vous ne pouvez pas conserver les données indéfiniment. Définissez une durée raisonnable (ex : 12 mois pour les messages de contact, durée légale pour les factures).
4. Sécurité
Les données doivent être protégées : HTTPS obligatoire, mots de passe hashés (bcrypt), accès restreint, sauvegardes chiffrées.
5. Droits des personnes
Chaque personne a le droit de :
- Accéder à ses données
- Rectifier des informations incorrectes
- Supprimer ses données (droit à l'oubli)
- S'opposer au traitement
- Exporter ses données (portabilité)
Votre application doit permettre d'exercer ces droits facilement.
6. Transparence
Vous devez informer les utilisateurs : quelles données sont collectées, pourquoi, combien de temps, par qui. C'est le rôle de la politique de confidentialité.
En pratique : que faire sur votre site/application ?
Pages légales obligatoires
- Mentions légales : identité de l'éditeur, hébergeur, coordonnées (obligatoire pour tout site professionnel)
- Politique de confidentialité : détail complet du traitement des données
Formulaires de contact
- Ajoutez une mention sous le formulaire : « En soumettant ce formulaire, vous acceptez que vos données soient traitées conformément à notre politique de confidentialité. »
- Lien vers la politique de confidentialité
- Ne collectez pas plus que nécessaire
Cookies
- Les cookies strictement nécessaires (session, sécurité) n'ont pas besoin de consentement
- Les cookies de tracking (Google Analytics, Facebook Pixel) nécessitent un consentement explicite avant dépôt
- Si vous n'utilisez aucun cookie de tracking, un simple bandeau informatif suffit (ou rien du tout si aucun cookie n'est déposé)
Hébergement des données
- Privilégiez un hébergeur français ou européen (Scaleway, OVH, Infomaniak)
- Évitez les transferts hors UE (Cloud Act américain = risque)
- Documentez dans votre politique de confidentialité où les données sont hébergées
Les erreurs les plus courantes
- Pas de politique de confidentialité (ou une copie trouvée sur internet, pas adaptée)
- Google Analytics installé sans consentement cookie
- Formulaire sans mention RGPD
- Données conservées sans limite de durée
- Mots de passe stockés en clair (oui, ça existe encore)
- Aucun processus pour répondre aux demandes de suppression
Les sanctions
La CNIL peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires. En pratique, les PME reçoivent d'abord un avertissement et une mise en demeure. Mais avec le renforcement des contrôles, mieux vaut être en conformité dès le départ.
Conclusion
Le RGPD n'est pas une contrainte bureaucratique — c'est un argument commercial. Vos clients et partenaires sont de plus en plus sensibles à la protection de leurs données. Une entreprise conforme inspire confiance.
Chez NexaFlow, toutes nos applications intègrent la conformité RGPD dès la conception : mentions légales, politique de confidentialité, chiffrement, droits utilisateurs, hébergement en France chez Scaleway.
Besoin de mettre votre site en conformité ?
Réserver mon audit gratuit →