02 / Conformité technique RGPD

Être en règle avant le
premier contrôle — pas après.

Vous collectez des emails, des comptes, des paiements. Vous avez peut-être un bandeau cookies. Vous avez peut-être une politique de confidentialité. Mais côté technique, vous ne savez pas vraiment si vous êtes en règle. Et la CNIL, elle, ne prévient pas avant de regarder.

Le contexte

La conformité RGPD côté tech
est souvent oubliée.

Vous avez un bandeau cookies. Très bien. Mais est-ce qu'il bloque réellement Google Analytics avant consentement ? Est-ce que le bouton « Refuser » est aussi visible que « Accepter » (obligation CNIL depuis 2024) ? Est-ce que vous avez un registre des traitements ? Est-ce que vous savez qui sont vos sous-traitants — Stripe, Brevo, Resend, OpenAI — et où sont vos données ?

La conformité RGPD n'est pas un document à signer une fois. C'est une cohérence entre ce que disent vos pages légales, ce que fait votre code, et ce que stockent vos prestataires. Quand ces trois choses divergent, le contrôle CNIL devient un problème — pas une formalité.

Ce qui est couvert

Audit des traceurs (cookies & pixels)

  • Inventaire complet des cookies et pixels (Analytics, Ads, pixels sociaux, AB testing).
  • Vérification du déclenchement par rapport au consentement.
  • Identification des fuites côté serveur (server-side tracking non déclaré).

Implémentation CMP conforme CNIL

  • Bannière conforme aux lignes directrices CNIL 2024 (« Refuser » aussi visible que « Accepter »).
  • Consentement granulaire par finalité.
  • Intégration technique avec votre stack (Next.js, Vue, WordPress, Webflow).
  • Historique du consentement pour preuves de conformité.

Registre des traitements (article 30 RGPD)

  • Cartographie des données personnelles collectées.
  • Finalité, base légale, durée de conservation par traitement.
  • Document prêt à présenter en cas de contrôle.

Mesures techniques côté code

  • Droits d'accès, de portabilité et d'effacement (implémentation technique).
  • Politique de durée de conservation, suppression automatique.
  • Chiffrement, pseudonymisation, contrôles d'accès aux PII.

Vérification des sous-traitants

  • Liste des prestataires traitant des données (Stripe, Brevo, OpenAI, Vercel…).
  • Vérification des DPA / clauses contractuelles types.
  • Localisation des données (UE / hors UE) et garanties.
Hors périmètre : rédaction des CGU, de la politique de confidentialité, et des mentions légales. Ces documents nécessitent un avocat — je ne les rédige pas. Je peux vous orienter vers un cabinet partenaire si nécessaire.

Ce que vous recevez

Un rapport de conformité — état des lieux précis, liste des écarts par rapport au cadre légal, niveau de risque associé.

Un plan d'actions priorisé — ce qu'il faut corriger en urgence, ce qui peut attendre, et l'effort estimé pour chaque action.

L'implémentation technique — CMP installée et configurée, registre rédigé, mesures techniques en place. Pas juste un audit qui finit en tiroir.

Cette prestation est facturée à partir de 1 500 € HT, en forfait fixe. Voir le détail de toutes les offres sur la page Tarifs.

FAQ — Conformité RGPD

Les questions qu'on me pose
avant de signer.

Vous rédigez la politique de confidentialité ?
Non. La rédaction de CGU, politique de confidentialité et mentions légales relève d'un avocat. Je couvre exclusivement le périmètre technique. Je peux vous orienter vers un cabinet de confiance si vous n'en avez pas.
Quelle CMP recommandez-vous ?
Selon le contexte — Tarteaucitron (open source, gratuit), Axeptio (freemium, UX soignée), Didomi (entreprise). Le choix dépend du volume de trafic, du budget et de l'intégration au stack.
Mon site n'a que Google Analytics, suis-je concerné ?
Oui. Google Analytics dépose des traceurs soumis au consentement préalable selon la CNIL. Sans CMP conforme bloquant le script avant consentement, vous êtes en infraction — même si le bandeau cookies existe.
Quel délai pour être conforme ?
Audit en environ 5 jours ouvrés. Implémentation en 5 à 10 jours selon la complexité. Total : 2 à 3 semaines pour passer d'un site non conforme à un site conforme.
Mes données sont chez Supabase / Vercel / aux États-Unis. C'est légal ?
C'est encadré, pas interdit. Il faut un DPA signé, des clauses contractuelles types ou une certification Data Privacy Framework, et l'information dans votre politique. Je vérifie tout ça lors de l'audit sous-traitants.
Que se passe-t-il en cas de contrôle CNIL ?
Avec un registre des traitements, une CMP fonctionnelle et des DPA signés, vous démontrez votre bonne foi. La CNIL est sensible à la démarche — la sanction immédiate est rare quand on peut prouver qu'on s'est mis en règle.

Mieux vaut un audit
qu'une mise en demeure.

30 minutes pour cartographier votre situation côté RGPD. Vous repartez avec une vision claire — gratuit, sans engagement.

→ Demander un devis
Avisers
Conseil indépendant en audit de code,
sécurité et conformité RGPD.
→ Formulaire de contact