RGPD : ce que votre site web doit respecter

Le RGPD. Quatre lettres qui font peur à beaucoup de chefs d’entreprise. Pourtant, derrière ce sigle un peu intimidant se cache une idée très simple : protéger les données personnelles des gens qui visitent votre site web. Le RGPD (Règlement Général sur la Protection des Données) est une loi européenne qui s’applique à tous les sites web, même le petit site vitrine de votre boulangerie. Ce guide vous explique en termes simples ce que vous devez mettre en place sur votre site, sans jargon juridique, avec des actions concrètes.

Le RGPD, c’est quoi exactement ?

Le RGPD, c’est comme les règles d’hygiène pour un restaurant. Quand quelqu’un vous confie ses informations personnelles (nom, email, téléphone, adresse), vous avez la responsabilité de les protéger et de les utiliser correctement. Concrètement, une « donnée personnelle », c’est toute information qui permet d’identifier une personne : son nom, son adresse email, son numéro de téléphone, mais aussi son adresse IP quand elle visite votre site. Le RGPD dit que vous devez prévenir les gens de ce que vous faites avec leurs données, obtenir leur accord avant de les collecter, ne pas les garder plus longtemps que nécessaire, et les protéger contre les piratages. Ce n’est pas compliqué quand on sait quoi faire. Voyons ça point par point.

Les mentions légales : obligatoires sur tout site

Tout site web professionnel doit afficher une page « Mentions légales » accessible depuis n’importe quelle page (généralement en bas de page, dans le pied de site). Cette page doit contenir : votre nom ou raison sociale, votre adresse, votre numéro de téléphone, votre numéro SIRET, le nom de votre hébergeur web (avec son adresse), et si vous êtes immatriculé au RCS ou au RM, le numéro correspondant. Pour les professions réglementées, ajoutez l’autorité qui vous a délivré votre autorisation. C’est un peu la « carte d’identité » de votre site. Sans ces mentions, vous risquez une amende pouvant aller jusqu’à 75 000 euros pour une personne physique. Ce serait dommage pour un oubli aussi facile à corriger.

Le bandeau cookies : demander avant de tracer

Vous avez certainement déjà vu ces bandeaux qui s’affichent quand vous arrivez sur un site : « Ce site utilise des cookies ». Ce n’est pas juste une mode, c’est une obligation légale. Si votre site utilise des outils de statistiques (comme Google Analytics), des boutons de partage vers les réseaux sociaux, ou de la publicité, vous déposez des « cookies » sur l’ordinateur de vos visiteurs. Le RGPD exige que vous demandiez leur accord avant de le faire. Votre bandeau doit proposer au minimum trois options : accepter, refuser, et personnaliser. Attention : la case « accepter » ne doit pas être pré-cochée, et refuser doit être aussi facile qu’accepter. Si votre site n’utilise que des cookies techniques (ceux qui sont nécessaires au fonctionnement du site, comme garder un panier d’achat), vous n’avez pas besoin de bandeau. Mais dès que vous ajoutez Google Analytics ou un pixel Facebook, le bandeau devient obligatoire.

Les formulaires de contact : récolter le consentement

Si votre site a un formulaire de contact (et il devrait), vous récoltez des données personnelles : nom, email, parfois téléphone. Le RGPD vous demande d’ajouter une case à cocher (non pré-cochée) du type : « J’accepte que mes données soient utilisées pour répondre à ma demande. » avec un lien vers votre politique de confidentialité. Vous devez aussi expliquer dans votre politique de confidentialité combien de temps vous conservez ces données et ce que vous en faites. Par exemple : « Les données collectées via le formulaire de contact sont utilisées uniquement pour répondre à votre demande et sont conservées pendant 3 ans. » Si vous utilisez ces emails pour envoyer une newsletter, c’est un autre usage qui demande un consentement séparé. On ne peut pas envoyer de publicité à quelqu’un qui a juste demandé un devis.

La politique de confidentialité : votre document clé

En plus des mentions légales, votre site doit avoir une page « Politique de confidentialité » (ou « Protection des données »). Cette page explique en langage clair quelles données vous collectez, pourquoi, combien de temps vous les gardez, et quels sont les droits de vos visiteurs. Car oui, toute personne peut vous demander de lui communiquer les données que vous avez sur elle, de les corriger, ou de les supprimer. Vous avez un mois pour répondre à ce type de demande. Pas de panique : pour un petit site vitrine avec un formulaire de contact, cela reste très simple. Les données collectées sont généralement limitées au nom, email et message du formulaire, plus les données de navigation via les cookies.

Conclusion

Le RGPD n’est pas un monstre bureaucratique. Pour un site de TPE, il s’agit concrètement de trois choses : une page de mentions légales, un bandeau cookies correctement configuré, et une politique de confidentialité claire. C’est un signe de sérieux qui rassure vos visiteurs et vous protège légalement. Chez Silver Lining, tous les sites que nous créons intègrent ces éléments dès le départ. Vous n’avez pas à vous en soucier, tout est géré pour vous dans les règles de l’art.