Depuis son entrée en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) a transformé les obligations des entreprises en matière de traitement des données personnelles. Six ans plus tard, la CNIL continue de prononcer des sanctions significatives : 89 millions d'euros d'amendes rien qu'en 2024. Pour les entreprises disposant d'un site web, l'hébergement constitue un maillon critique de la conformité. Voici vos obligations détaillées.
Les principes fondamentaux du RGPD appliqués à l'hébergement
Le RGPD repose sur six principes directeurs que tout responsable de traitement doit respecter. Trois d'entre eux impactent directement le choix de votre hébergeur :
Licéité, loyauté et transparence
Vous devez informer clairement vos visiteurs des données collectées, de leur finalité et de la base juridique du traitement. Votre politique de confidentialité doit mentionner l'identité de l'hébergeur, la localisation des serveurs et les éventuels transferts hors UE.
Minimisation et limitation de la conservation
Ne collectez que les données strictement nécessaires à la finalité déclarée. Un formulaire de contact n'a pas besoin de la date de naissance du visiteur. Côté hébergement, configurez la purge automatique des logs serveur (accès, erreurs) au-delà de 13 mois, conformément aux recommandations de la CNIL.
Intégrité et confidentialité
L'hébergeur doit garantir la sécurité physique et logique des serveurs. Exigez un data center certifié ISO 27001, un chiffrement des données au repos (AES-256) et en transit (TLS 1.3), ainsi qu'un plan de continuité d'activité documenté.
Choisir un hébergeur conforme : les critères essentiels
Tous les hébergeurs ne se valent pas en matière de conformité RGPD. Voici les points à vérifier avant de signer un contrat :
- Localisation des serveurs : privilégiez un hébergement en France ou dans l'Union européenne. Les transferts vers les États-Unis sont encadrés par le Data Privacy Framework, mais restent juridiquement fragiles.
- Contrat de sous-traitance (article 28) : l'hébergeur, en tant que sous-traitant, doit signer un Data Processing Agreement (DPA) détaillant ses obligations, les mesures de sécurité mises en œuvre et les procédures de notification en cas de violation.
- Certifications : ISO 27001 (sécurité de l'information), HDS (Hébergeur de Données de Santé) si vous traitez des données médicales, SecNumCloud pour les données sensibles.
En France, des hébergeurs comme OVHcloud, Scaleway et Infomaniak proposent des offres nativement conformes au RGPD, avec des data centers situés exclusivement sur le territoire européen. La sécurisation de votre hébergement va de pair avec la protection de votre infrastructure contre les cybermenaces.
Cookies et consentement : les règles à respecter
La gestion des cookies est l'un des aspects les plus visibles — et les plus contrôlés — de la conformité RGPD. La directive ePrivacy, transposée en France par l'article 82 de la loi Informatique et Libertés, impose des règles strictes.
Le bandeau de consentement
Votre site doit afficher un bandeau de consentement avant tout dépôt de cookies non essentiels (analytics, publicité, réseaux sociaux). Ce bandeau doit proposer trois options clairement identifiables :
- Accepter tout : déclenche le dépôt de l'ensemble des cookies déclarés.
- Refuser tout : empêche le dépôt de tout cookie non essentiel. Ce bouton doit être aussi visible et accessible que le bouton d'acceptation.
- Personnaliser : permet à l'utilisateur de choisir catégorie par catégorie.
Solutions techniques recommandées
Utilisez une plateforme de gestion du consentement (CMP) conforme aux standards IAB TCF 2.2 : Tarteaucitron.js (open source, français), Axeptio ou Didomi. Configurez votre outil pour bloquer effectivement les scripts avant consentement — un simple bandeau informatif sans blocage technique ne suffit pas et expose à des sanctions.
Registre des traitements et analyse d'impact
Toute entreprise, quelle que soit sa taille, doit tenir un registre des traitements listant l'ensemble des données personnelles collectées, leur finalité, leur durée de conservation et les mesures de sécurité associées. Pour un site web, les traitements courants incluent : formulaires de contact, newsletter, comptes utilisateurs, analytics et journaux de connexion.
Si votre site traite des données sensibles à grande échelle (données de santé, données biométriques), une analyse d'impact relative à la protection des données (AIPD) est obligatoire avant la mise en production. Cette analyse évalue les risques pour les personnes concernées et décrit les mesures prises pour les atténuer. La bonne gestion de vos données implique également une connectivité fiable pour garantir la disponibilité de vos services et le respect des droits des personnes.
Que faire en cas de violation de données ?
L'article 33 du RGPD impose de notifier la CNIL dans les 72 heures suivant la découverte d'une violation de données susceptible d'engendrer un risque pour les personnes concernées. Si le risque est élevé, les personnes doivent également être informées individuellement (article 34).
Votre contrat d'hébergement doit prévoir l'obligation pour l'hébergeur de vous notifier toute violation dans un délai maximal de 24 heures, afin de vous laisser le temps de respecter le délai légal de 72 heures. Documentez chaque incident dans un registre dédié, même si la notification à la CNIL n'est pas nécessaire. La vidéosurveillance de vos locaux est un autre domaine où la conformité RGPD doit être rigoureusement respectée.
ACME propose un accompagnement complet pour la mise en conformité RGPD de votre présence en ligne : audit de votre site, déploiement d'une CMP conforme, rédaction de votre politique de confidentialité et mise en place d'un hébergement souverain sécurisé.
FAQ
Mon site WordPress avec un hébergement mutualisé est-il conforme au RGPD ?
Pas nécessairement. Vérifiez trois points : la localisation des serveurs (UE), l'existence d'un DPA signé avec l'hébergeur et la conformité de votre bandeau de cookies. De plus, auditez vos extensions WordPress : certaines (analytics, formulaires, caching) transfèrent des données vers les États-Unis sans base juridique valide. Privilégiez des alternatives hébergées en Europe.
Les sanctions RGPD concernent-elles aussi les petites entreprises ?
Oui. Si les amendes les plus médiatisées visent les géants du numérique (Meta, Google), la CNIL sanctionne également des TPE et PME. En 2024, plusieurs entreprises de moins de 50 salariés ont reçu des mises en demeure pour des bandeaux de cookies non conformes ou une absence de registre des traitements. Les amendes peuvent atteindre 4 % du chiffre d'affaires annuel mondial, un montant dissuasif même pour une petite structure.
Dois-je nommer un DPO (Délégué à la Protection des Données) ?
La nomination d'un DPO est obligatoire pour les organismes publics et les entreprises dont l'activité principale implique un suivi régulier et systématique de personnes à grande échelle. Pour les autres, c'est recommandé mais facultatif. Une PME peut désigner un référent RGPD interne ou externaliser cette fonction auprès d'un DPO externe mutualisé, dont le coût varie entre 200 et 500 € par mois.