Check-list conformité RGPD d'un site web (2026)

Vous voulez savoir si votre site est en règle sans lire 40 pages de réglementation ? Voici la check-list opérationnelle, point par point. Cochez ce qui est fait, identifiez ce qui manque, traitez par ordre de priorité. Pour le détail de chaque point, suivez les liens vers nos guides ; pour la partie technique (cookies, traceurs), notre scanner RGPD gratuit vous donne un état des lieux en quelques secondes.

📄 Vous préférez une version à imprimer ? Téléchargez gratuitement cette checklist en PDF pour la cocher au fil de votre mise en conformité.

1. Cookies et traceurs (priorité haute)

• [ ] Une bannière de consentement s'affiche à la première visite
• [ ] « Refuser » est aussi simple et visible que « Accepter »
• [ ] Aucun cookie non essentiel n'est déposé avant le choix de l'utilisateur
• [ ] Les scripts tiers (Analytics, pixels, chat, vidéos) sont réellement bloqués tant qu'il n'y a pas de consentement
• [ ] Le consentement est révocable facilement (lien permanent)
• [ ] La preuve du consentement est conservée

C'est le point le plus sanctionné par la CNIL. Détails techniques dans notre guide bannière cookie conforme et le cas spécifique de Google Analytics.

2. Documents juridiques

• [ ] Une page mentions légales complète existe et est liée en pied de page (guide)
• [ ] Une page politique de confidentialité fidèle à vos traitements réels (modèle)
• [ ] Si vente en ligne : des CGV accessibles avant le paiement
• [ ] Ces pages sont accessibles depuis toutes les pages du site

3. Formulaires

• [ ] Chaque formulaire indique la finalité (à quoi servent les données)
• [ ] Une case de consentement non précochée quand c'est requis
• [ ] Lien vers la politique de confidentialité à proximité du formulaire
• [ ] Aucun champ inutile collecté (principe de minimisation)
• [ ] Les données du formulaire ont une durée de conservation définie

4. Droits des personnes

• [ ] Une adresse de contact dédiée aux demandes (rgpd@, privacy@…)
• [ ] Un processus pour répondre dans le délai d'un mois
• [ ] Possibilité de demander accès, rectification, suppression
• [ ] Suppression de compte possible sans obstacle disproportionné

5. Sécurité

• [ ] HTTPS forcé sur tout le site
• [ ] Mots de passe hachés (bcrypt / argon2), jamais en clair
• [ ] CMS, plugins et dépendances à jour
• [ ] Sauvegardes régulières et testées
• [ ] Accès aux données restreint au strict nécessaire

6. Organisation et sous-traitance

• [ ] Un registre des traitements à jour (guide et modèle)
• [ ] Des contrats / DPA avec vos sous-traitants (hébergeur, outil email, analytics)
• [ ] Les transferts hors UE identifiés et encadrés
• [ ] Une procédure en cas de violation de données (notification CNIL sous 72 h)

7. Selon votre cas

Adaptez selon votre activité — chaque profil a ses points sensibles :

• Auto-entrepreneur et freelance / consultant : prospection, fichier clients, site vitrine
• Agence web : conformité de tous les sites clients
• E-commerce, Shopify, WordPress, Wix
• Newsletter / email marketing et prospection / cold email

Par où commencer ?

Si tout n'est pas coché, traitez dans cet ordre :

1. Cookies : bloquer les scripts avant consentement (risque de sanction le plus élevé)
2. Documents juridiques : politique de confidentialité + mentions légales
3. Formulaires : finalité, consentement, minimisation
4. Registre + DPA : documenter et contractualiser
5. Sécurité et droits : processus continu

La conformité n'est pas un état figé mais une démarche. Le plus important est de commencer. Pour situer votre site en quelques secondes, lancez un scan gratuit ci-dessous, puis revenez cocher cette liste.