Les sites web doivent adapter leurs pratiques pour rester alignés sur les attentes de la CNIL et du RGPD, notamment en matière de collecte et de sécurité.
Cette mise à jour pratique met l’accent sur la transparence, le consentement utilisateur et la protection des données, afin d’anticiper des contrôles et des sanctions renforcés.
A retenir :
- Minimisation des données personnelles collectées par défaut sur chaque site
- Consentement utilisateur explicite, granulaire, stocké et refusable facilement
- Transparence des traitements et information claire sur finalités et durées
- Sécurité informatique renforcée, chiffrement des données sensibles et logs conservés
CNIL et conformité des sites web : priorités techniques et organisationnelles
Après la synthèse des points essentiels, il faut prioriser les actions techniques et organisationnelles pour protéger la vie privée des utilisateurs.
Selon la CNIL, la première étape consiste à recenser les traitements et formaliser un plan d’action lié à la sécurité informatique et aux accès.
Risque
Mesure recommandée
Fiche CNIL
Priorité
Accès non autorisé
Gestion stricte des habilitations et MFA
Pilotage et Habilitations
Élevée
Fuites de données
Chiffrement des données sensibles en stockage
Chiffrement, hachage, signature
Élevée
Perte de disponibilité
Sauvegardes isolées et PRA/PCA testés
Sauvegarder; Continuité d’activité
Moyenne
Exposition via web
Protocoles TLS, tests d’intrusion réguliers
Sécuriser les sites web
Élevée
Mesures techniques prioritaires :
- Activer TLS sur l’ensemble des pages collectant des données
- Mettre en œuvre MFA pour accès administrateurs et SSO pour les équipes
- Configurer sauvegardes hors ligne et tests réguliers de restauration
- Appliquer chiffrement des bases contenant données sensibles
« J’ai revu notre registre et cela a réduit les accès inutiles en interne. »
Alice P.
Recenser les traitements et piloter la sécurité
Ce point s’articule directement à la gouvernance et engage la direction sur les risques liés aux données personnelles.
Selon la CNIL, porter ces sujets au comité de direction permet d’assurer un suivi régulier et l’allocation de moyens humains et techniques.
Organiser le contrôle des mesures techniques
Ce volet complète le pilotage en traduisant les décisions en contrôles périodiques et audits internes ciblés.
Programmer des revues trimestrielles et des tests d’intrusion documentés permet de démontrer l’effectivité des actions auprès des contrôleurs.
Consentement utilisateur et trackers : obligations pratiques pour 2026
En continuité avec les priorités techniques, la gestion du consentement reste centrale pour la conformité des sites web et la confiance des internautes.
Selon la CNIL, la mise en place d’un consentement granulaire et réversible sur tous les terminaux est désormais une attente claire pour les contrôles.
Modalités de collecte et preuves :
- Enregistrer horodatage et choix pour chaque appareil et session utilisateur
- Fournir une interface simple de retrait et d’accès aux préférences
- Limiter la durée de conservation des preuves au strict nécessaire
- Documenter les scripts tiers et leurs finalités précises
« Nous avons centralisé les logs de consentement, ce qui a facilité nos réponses aux demandes des personnes. »
Marc L.
Minimisation et information claire
Ce point se rattache aux principes du RGPD et exige des interfaces qui expliquent les finalités sans jargon juridique inutile.
Des mentions courtes, des exemples concrets, et un accès direct aux paramètres améliorent la transparence et réduisent les litiges potentiels.
Preuves et durée de conservation
La conservation des preuves de consentement doit être proportionnée et documentée pour offrir un socle défendable lors d’un contrôle.
Selon la CNIL, documenter la durée de conservation et les motifs de conservation permet de respecter le principe de limitation de la conservation.
Sécurité opérationnelle, incidents et relations avec les sous-traitants
Suite à la gestion du consentement, il est essentiel de renforcer la sécurité opérationnelle et les obligations vis-à-vis des prestataires et de la sous-traitance.
Selon la CNIL, les contrats doivent clarifier les responsabilités et prévoir des moyens de vérification, comme des audits et des indicateurs de sécurité.
Vérifications et procédures :
- Inclure clauses de sécurité et droit d’audit dans les contrats de sous-traitance
- Mettre en place des procédures écrites de gestion des incidents et de notification
- Tester régulièrement PRA/PCA avec les prestataires critiques
- Tenir un registre interne des violations et suivre les actions correctrices
Aspect
Action recommandée
Fiche CNIL
Contrats sous-traitance
Clauses sécurité et audits périodiques
Gérer la sous-traitance
Gestion incidents
Procédure, registres et notifications
Gérer les incidents et violations
PRA/PCA
Plans testés et rôles assignés
Prévoir continuité et reprise
Journalisation
Conserver logs utiles au diagnostic
Tracer les opérations
« Après l’incident, notre PRA a permis de reprendre l’activité en moins d’une journée. »
Claire B.
« À mon avis, la clarté des contrats avec les fournisseurs est devenue incontournable. »
Pauline R.
Source : CNIL, « Guide de la sécurité des données personnelles », CNIL, 2024 ; CNIL, « Plan stratégique 2025-2028 », CNIL, 2025.