RGPD
Définition
Règlement Général sur la Protection des Données. Réglementation européenne qui encadre la collecte et l'usage des données personnelles. Conformité obligatoire pour tout site avec utilisateurs européens.
Comment ça marche
Le RGPD (Règlement Général sur la Protection des Données), entré en vigueur en 2018, encadre la collecte, le traitement et la conservation des données personnelles des résidents européens. Il s'applique dès qu'une entreprise traite ces données, quel que soit son pays d'établissement : un SaaS californien qui a un seul utilisateur français doit être conforme. Les principes fondamentaux : licéité (base légale pour chaque traitement), minimisation (ne collecter que le nécessaire), transparence (informer l'utilisateur), conservation limitée (effacer ce qui n'est plus utile), sécurité (mesures techniques et organisationnelles). La CNIL est l'autorité de contrôle française.
Les obligations concrètes
Concrètement, pour un site ou un produit, ça se traduit par : un bandeau de consentement aux cookies avec accept/refuser de même importance visuelle, une politique de confidentialité claire et accessible, une mention légale, un registre des traitements (qui collecte quoi, où, combien de temps, sur quelle base légale), un DPA (Data Processing Agreement) signé avec chaque sous-traitant (Vercel, Supabase, Stripe, OpenAI), des mesures de sécurité documentées (chiffrement, sauvegardes, contrôles d'accès), un mécanisme pour les droits d'accès, rectification et suppression. Pour les grandes structures, un DPO (Délégué à la Protection des Données) est obligatoire.
Les bases légales
Chaque traitement de données personnelles doit reposer sur une des six bases légales du RGPD. Le consentement (l'utilisateur a explicitement accepté), utilisé pour le marketing email et les cookies non essentiels. L'exécution d'un contrat (nécessaire pour livrer le service), utilisé pour les données de commande. L'obligation légale (compta, fiscalité). L'intérêt légitime (sécurité, anti-fraude), avec un test de balance des intérêts à documenter. La sauvegarde des intérêts vitaux (cas exceptionnels). La mission d'intérêt public. Confondre ces bases ou s'appuyer mal sur l'une est une erreur courante qui fragilise tout le dispositif RGPD.
Les droits utilisateurs
Le RGPD donne aux utilisateurs européens plusieurs droits : accès (savoir quelles données sont collectées), rectification (corriger), suppression (effacement, dans certaines limites), limitation du traitement, portabilité (recevoir ses données dans un format machine-readable), opposition (refuser un traitement basé sur l'intérêt légitime), retrait du consentement. On a 30 jours pour répondre. Concrètement, on prévoit un mécanisme en self-service quand c'est possible (téléchargement de ses données dans le profil), et un canal email pour les demandes complexes. Une demande RGPD non traitée peut déclencher une plainte CNIL et un audit.
Les sanctions
Le RGPD prévoit des sanctions massives : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel, le plus élevé des deux. En pratique, la CNIL prononce d'abord des mises en demeure et des avertissements, puis des amendes calibrées sur la gravité et la coopération. Les sanctions les plus médiatiques (Meta 1,2 milliard, Amazon 746 millions, Google 90 millions) concernent les géants du numérique. Pour une PME française, on parle de quelques milliers à quelques dizaines de milliers d'euros en cas de manquement. Le coût réputationnel est souvent supérieur au coût financier.
Les pratiques pour rester conforme
On audit régulièrement les traitements : tous les six mois, on revoit le registre, on vérifie les DPA, on update la politique de confidentialité. On limite la collecte au strict nécessaire dès la conception (privacy by design). On chiffre les données sensibles au repos et en transit. On configure des durées de conservation explicites par type de donnée. On documente les sous-traitants et leurs localisations (Vercel = USA, Supabase EU = OK, Supabase US = à arbitrer). Pour les transferts hors UE, on s'appuie sur le Data Privacy Framework (USA depuis 2023) ou des clauses contractuelles types. On forme régulièrement les équipes aux bons réflexes.
Les pièges à éviter
Le piège du "on copie la politique de confidentialité d'un autre site" : c'est souvent illégal, le contenu doit refléter VOS traitements réels. Le piège du "dark pattern" sur le bandeau cookies (refuser caché, accepter en grand) : la CNIL sanctionne explicitement ces pratiques. Le piège du DPA non signé avec un sous-traitant : si OpenAI traite des données personnelles pour vous et qu'il n'y a pas de DPA, vous êtes en infraction. Le piège des analytics non conformes : Google Analytics 4 reste contesté juridiquement, on préfère Plausible, Matomo (auto-hébergé) ou Posthog en région EU. Et le piège de la fuite non déclarée : un incident doit être notifié à la CNIL sous 72h, sinon c'est une circonstance aggravante.