Le site internet : canal de contrôle privilégié de la CNIL
Le site internet constitue aujourd’hui un élément central de la stratégie d’une entreprise. Il représente bien plus qu’une simple vitrine : c’est un outil de communication, de visibilité et de crédibilité accessible en permanence.
À travers son site, l’entreprise présente son identité, ses valeurs, ses produits ou services, et crée un premier point de contact avec ses clients, partenaires ou prospects. Cela représente également pour l’entreprise l’opportunité de renforcer sa notoriété, d’élargir sa clientèle et de se démarquer de la concurrence.
Ainsi, en s’adaptant aux besoins des utilisateurs et aux évolutions technologiques, le site internet devient un levier essentiel de développement et de croissance pour toute entreprise, quelle que soit sa taille ou son secteur d’activité.
Cependant, ce dernier doit impérativement être conforme à la réglementation en vigueur. Il est en particulier tenu de respecter les obligations légales liées à la protection des données personnelles, à la transparence des informations et aux droits des utilisateurs. Cela inclut la présence de mentions légales, d’une politique de confidentialité, ainsi que le respect des règles relatives aux cookies et au traitement des données, conformément en particulier au Règlement européen n°2016/679/UE du 27 avril 2016 sur la protection des données personnelles (RGPD) et aux lignes directrices de la CNIL relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou d’écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs »).
Facilement accessible et concentrant de nombreuses obligations RGPD, le site internet constitue aujourd’hui un point d’entrée privilégié des contrôles de la CNIL, exposant les organismes à un risque de sanction accru en cas de non-conformité.
A travers le présent article, nous vous donnerons les clés principales pour comprendre la réglementation RGPD ainsi que les bonnes pratiques de mise en conformité et de sécurisation de données sur votre site internet.
Nous reviendrons tout d’abord sur le pouvoir de sanction de la CNIL (I), avant de détailler les trois volets essentiels de la mise en conformité du site internet : le recueil d’un consentement conforme (II), la fourniture complète des informations aux utilisateurs (III) et la sécurité ainsi que la confidentialité des données (IV).
Une procédure de sanction peut être engagée à la suite d’une plainte, d’un signalement ou d’un contrôle de la CNIL, laquelle dispose de pouvoirs étendus pouvant aller du simple rappel à l’ordre à des injonctions sous astreinte et à des amendes administratives pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Ce risque a été renforcé depuis le 8 avril 2022 avec la mise en place d’une procédure de sanction simplifiée, destinée aux manquements peu complexes ou de gravité limitée, particulièrement adaptée aux non-conformités constatables sur un site internet. Cette procédure, plus rapide et allégée, permet à la CNIL de prononcer seule un rappel à l’ordre, une amende pouvant aller jusqu’à 20 000 euros et une injonction assortie d’astreinte, sans audience publique, ce qui facilite et accélère les sanctions.
Les exemples récents démontrent qu’aucun organisme n’est épargné, qu’il s’agisse de grandes entreprises ou de structures de très petite taille, comme en témoigne la sanction infligée le 1er septembre 2025 à INFINITE STYLES SERVICES CO. LIMITED, filiale irlandaise du groupe SHEIN, d’une amende de 150 millions d’euros pour non-respect des règles relatives aux cookies sur le site shein.com, ainsi que la sanction du 18 juin 2025 infligée à une petite société de vente à distance sur catalogue général, pour un manquement similaire, ayant donné lieu à une amende de 3 000 euros dans le cadre de la procédure simplifiée.
Dès lors, la mise en conformité du site internet apparaît comme un enjeu prioritaire et stratégique, à la fois pour limiter le risque juridique et financier et pour démontrer une démarche proactive de conformité au RGPD.
Le RGPD définit le consentement comme toute manifestation de volonté libre, spécifique, éclairée et univoque, exprimée par une déclaration ou un acte positif clair (article 4 § 11 du RGPD). Ce consentement doit être recueilli de manière préalable à tout traitement de données à caractère personnel, conformément à la directive e-privacy du 12 juillet 2002.
Ces exigences impliquent que la personne concernée dispose d’un choix réel, sans contrainte ni conséquence négative en cas de refus, que le consentement soit donné pour une finalité déterminée et qu’il ne puisse exister aucune ambiguïté quant à son expression.
En matière de cookies, seuls les cookies techniques sont exemptés de consentement : pour les autres, un bandeau d’information doit être affiché dès la première visite de l’utilisateur, lui permettant d’accepter, de refuser ou de personnaliser son choix par finalité. Les cookies non techniques doivent être désactivés par défaut. De plus, le consentement ne peut être déduit du silence, celui-ci valant refus, et l’utilisateur doit pouvoir retirer son consentement à tout moment via un dispositif facilement accessible (article 7 du RGPD). Le choix doit en outre être conservé et redemandé périodiquement, la durée de six mois constituant une bonne pratique selon la CNIL.
Par ailleurs, lorsque des données personnelles sont utilisées à des fins de prospection commerciale, un consentement spécifique est requis en application de la directive e-privacy du 12 juillet 2002 transposée aux articles L34-5 CPCE et L121-20-5 du Code de la consommation : en B2C, le principe est celui de l’opt-in (si la personne concernée n'a pas dit « oui », c'est « non »), impliquant un accord explicite par une case à cocher non pré-cochée, toute présomption de consentement étant interdite, sauf exceptions limitées concernant les clients existants pour des produits ou services analogues ou la prospection non commerciale, sous réserve de l’existence d’un droit d’opposition. En B2B, le mécanisme de l’opt-out (s'il n'a pas dit « non », c'est « oui ») est toléré à condition que la prospection soit en lien avec l’activité professionnelle du destinataire, bien que l’opt-in demeure recommandé. Enfin, le consentement doit également être recueilli de manière distincte lorsque la prospection est effectuée par des partenaires tiers. Pour finir, le responsable de traitement doit être en mesure d’apporter la preuve du consentement (article 7 du RGPD), notamment par le biais du mécanisme de l’horodatage (consistant à enregistrer la date et l’heure précises auxquelles une personne a exprimé son consentement) et la documentation des procédures mises en place.
Le RGPD consacre, à travers son article 12, une obligation générale de transparence imposant au responsable de traitement de fournir aux personnes concernées une information complète, accessible et compréhensible sur l’ensemble des traitements de données à caractère personnel, conformément aux articles 13 du RGPD en cas de collecte directe et 14 en cas de collecte indirecte. Cette obligation d’information concerne à la fois l’utilisation des cookies et les autres traitements de données.
S’agissant des cookies, l’exigence de consentement éclairé implique la délivrance d’une information à plusieurs niveaux : par le biais du bandeau, de la page de personnalisation et de la politique de cookies. Le bandeau doit notamment présenter de manière synthétique les finalités des cookies, la durée de conservation du choix de l’utilisateur, l’identité des responsables du traitement et des éventuels responsables conjoints (il s’agit des fournisseurs tiers de cookies, tel que Google par exemple), l’existence du droit de retirer son consentement à tout moment, ainsi qu’un lien vers la politique de cookies ou de confidentialité, tout en précisant clairement que le silence ou la poursuite de la navigation vaut refus. La page de personnalisation doit permettre à l’utilisateur d’accéder à une information plus détaillée sur les catégories de cookies et leurs finalités, tandis que la politique de cookies doit fournir une information exhaustive comprenant la définition des cookies, la liste des cookies utilisés avec leur nom, leur catégorie, leurs finalités, les données collectées et leur durée de conservation, les modalités de gestion et de retrait du consentement, les possibilités de paramétrage via les navigateurs, ainsi que les conséquences attachées au refus des différentes catégories de cookies, en distinguant les cookies strictement nécessaires de ceux qui ne le sont pas.
En parallèle, l’information relative aux traitements de données à caractère personnel doit être regroupée dans une politique de confidentialité distincte, facilement accessible depuis le site et rédigée de manière claire et intelligible, laquelle doit mentionner l’identité et les coordonnées du responsable de traitement et du DPO, la nature des données collectées, leurs finalités et bases légales, les destinataires des données, l’existence éventuelle de transferts hors de l’Espace économique européen et les garanties mises en place, les durées de conservation ou les critères permettant de les déterminer, l’existence de traitements de profilage ou de décisions automatisées, ainsi que l’ensemble des droits reconnus aux personnes concernées et les modalités pour les exercer, y compris la possibilité de saisir la CNIL.
Enfin, chaque formulaire de collecte de données à caractère personnel doit comporter une mention d’information RGPD visible et adaptée à la collecte directe, précisant a minima le responsable de traitement, les finalités poursuivies, les droits des personnes et un lien vers la politique de confidentialité, avec des mentions spécifiques pour les formulaires de collecte d’adresses électroniques à des fins de newsletter.
L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données à caractère personnel adapté aux risques, en tenant compte de l’état des connaissances, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement.
Ces mesures visent notamment la pseudonymisation et le chiffrement des données, par exemple au moyen du protocole TLS pour sécuriser les échanges entre le site internet et les utilisateurs, ainsi que par le stockage sécurisé des mots de passe sous une forme chiffrée et non réversible. Elles doivent également garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement, notamment grâce à l’utilisation de pare-feu, à la limitation et à la mise à jour régulière des composants applicatifs, à la sécurisation des accès et des interfaces d’administration, et au recours à des protocoles sécurisés pour l’administration du site. En outre, des mesures doivent permettre de rétablir l’accès aux données dans des délais appropriés en cas d’incident, notamment par un hébergement des données au sein de l’Union européenne. Enfin, le RGPD exige la mise en place de procédures régulières de test, d’analyse et d’évaluation de l’efficacité des mesures de sécurité, afin d’identifier et de corriger toute vulnérabilité ou anomalie.
La mise en conformité au RGPD représente certes un investissement, variable selon la taille et l’activité de l’organisme, mais elle constitue avant tout une nécessité au regard du risque de sanction croissant encouru en cas de manquement.
En pratique, le site internet est aujourd’hui un canal de contrôle privilégié pour la CNIL, car il est facilement accessible, directement observable et concentre de nombreuses obligations clés du RGPD (information des personnes, recueil du consentement, cookies, prospection commerciale, sécurité).
To give you 100% control over the design, together with Webflow project, you also get the Figma file. After the purchase, simply send us an email to and we will e happy to forward you the Figma file.
Yes, we know... it's easy to say it, but that's the fact. We did put a lot of thought into the template. Trend Trail was designed by an award-winning designer. Layouts you will find in our template are custom made to fit the industry after carefully made research.
We used our best practices to make sure your new website loads fast. All of the images are compressed to have as little size as possible. Whenever possible we used vector formats - the format made for the web.
Grained is optimized to offer a frictionless experience on every screen. No matter how you combine our sections, they will look good on desktop, tablet, and phone.
Both complex and simple animations are an inseparable element of modern website. We created our animations in a way that can be easily reused, even by Webflow beginners.
Our template is modular, meaning you can combine different sections as well as single elements, like buttons, images, etc. with each other without losing on consistency of the design. Long story short, different elements will always look good together.
On top of being modular, Grained was created using the best Webflow techniques, like: global Color Swatches, reusable classes, symbols and more.
Grained includes a blog, carrers and projects collections that are made on the powerful Webflow CMS. This will let you add new content extremely easily.
Grained Template comes with eCommerce set up, so you can start selling your services straight away.
To give you 100% control over the design, together with Webflow project, you also get the Figma file.
.svg)
.png)
.png)
