La Boîte à Outils RGPD : Tous les Outils pour Arrêter de Violer la Loi Européenne
Les bannières cookies ne sont que le début. Voici la stack complète pour gérer un site web sans risquer une amende de 20 millions d'euros.
Laissez-moi deviner : Vous avez ajouté une bannière cookies, vous avez considéré l’affaire réglée, et vous avez espéré que personne ne remarquerait le script Google Analytics qui se déclenche avant le consentement.
Mauvaise nouvelle : Les régulateurs l’ont remarqué. 2024 a eu des amendes RGPD record. 2025 était pire. 2026 s’annonce brutal.
Bonne nouvelle : La conformité n’est pas si difficile une fois qu’on sait quels outils utiliser.
Le calcul inconfortable : Les amendes RGPD peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial - le montant le plus élevé des deux. Ce n’est pas une faute de frappe. Cette clause “le plus élevé des deux” a ruiné des entreprises.
Ceci n’est pas un conseil juridique. C’est une boîte à outils pratique de quelqu’un qui a aidé plus de 30 sites web à devenir conformes sans perdre la tête.
La Stack Conformité RGPD
Voici tout ce dont vous avez besoin, organisé par fonction :
| Catégorie | Ce Que Ça Fait | Top Choix | Coût |
|---|---|---|---|
| Gestion Consentement | Bannières cookies, registres | Cookiebot | 9-108€/an |
| Analytics | Suivre les visiteurs légalement | Plausible | 9-69€/mois |
| Email Marketing | Newsletters conformes RGPD | Mailjet | Gratuit-15€/mois |
| Formulaires & Données | Collecter correctement | Tally | Gratuit-29€/mois |
| Politique Confidentialité | Générer les docs légaux | iubenda | 27-99€/an |
| Demandes de Données | Gérer les DSAR | OneTrust | Tier gratuit |
| Hébergement | Résidence données UE | Hetzner | 4-20€/mois |
| CDN | Livraison conforme UE | Bunny CDN | 0,01€/Go |
Détaillons chaque catégorie.
Consentement Cookies : La Partie Visible du RGPD
C’est ce que les utilisateurs voient. C’est aussi ce que les régulateurs vérifient en premier.
Ce Dont Vous Avez Vraiment Besoin
L’exigence légale : Obtenir un consentement explicite et éclairé AVANT de placer des cookies non essentiels. Pas un “consentement implicite.” Pas “en utilisant ce site vous acceptez.” Un vrai consentement affirmatif et révocable.
Les Outils
Cookiebot - Le Standard de l’Industrie
Cookiebot est ce que recommandent la plupart des consultants en conformité. Il scanne automatiquement votre site, catégorise les cookies, bloque les scripts jusqu’au consentement, et garde des logs d’audit.
La magie : Il bloque vraiment Google Analytics, Facebook Pixel et autres scripts avant le consentement. Pas avec des demandes “s’il vous plaît ne trackez pas” sur l’honneur - avec un vrai blocage JavaScript.
Tier gratuit : Fonctionne pour les sites de moins de 50 pages. Au-delà, 108€/an.
Consent Manager (Usercentrics) - Pour les Plus Gros Sites
Plus personnalisable que Cookiebot. Mieux pour les sites complexes avec plusieurs domaines, intégrations personnalisées ou exigences de conformité entreprise.
Prix : Commence autour de 50€/mois. L’entreprise devient vite cher.
L’Option DIY - Osano Open Source
Si vous êtes technique et économe, le gestionnaire de consentement open-source d’Osano fonctionne. Vous l’hébergez. Vous le maintenez. Vous acceptez que le support soit “lisez les issues GitHub.”
Prix : Gratuit pour toujours. Votre temps est le coût.
Erreur courante : Ajouter une bannière cookies qui ne fait rien. La bannière doit vraiment bloquer les scripts de tracking jusqu’au consentement. Une notification décorative “nous utilisons des cookies” est pire que rien - c’est la preuve que vous connaissiez la loi et avez choisi l’esthétique plutôt que la conformité.
Checklist d’Implémentation
- La bannière apparaît avant que les cookies non essentiels ne se chargent
- “Tout accepter” et “Tout refuser” sont également visibles
- Les utilisateurs peuvent changer leurs préférences plus tard
- Le consentement est enregistré avec horodatage
- Les scripts ne se déclenchent qu’après consentement explicite
Alternatives à Google Analytics : Voir Votre Trafic Légalement
Google Analytics est le plus gros casse-tête RGPD pour la plupart des sites. Les données vont en Amérique. Google les utilise pour la publicité. La base légale est… discutable au mieux.
Les Options Conformes UE
Plausible - Le Choix Recommandé
Pas de cookies. Pas besoin de bannière de consentement pour l’analytics. Serveurs UE uniquement. Open source. Vous montre tout ce dont vous avez vraiment besoin - pages vues, sources, géographie - sans l’invasion de la vie privée.
Idéal pour : 90% des sites web qui ont juste besoin de données de trafic basiques.
Matomo - Le Remplaçant de GA
Vous voulez les fonctionnalités de Google Analytics sans Google ? Matomo est équivalent en fonctionnalités. Heatmaps, funnels, parcours utilisateur - tout y est.
Le compromis : Plus complexe. Peut nécessiter des cookies (configurable). Option auto-hébergée disponible.
Prix : Le cloud commence à 19€/mois. L’auto-hébergé est gratuit (vous payez l’hébergement).
Fathom - Le Premium Simple
Comme Plausible mais légèrement plus cher et plus établi. Entreprise canadienne avec serveurs UE.
Prix : Commence à 15$/mois.
Arbre de Décision Analytics
Besoin de fonctionnalités avancées (funnels, heatmaps) ? → Matomo
Juste besoin des basiques du trafic ? → Plausible
Voulez la simplicité maximale ? → Fathom
Budget zéro ? → Umami (auto-hébergé)Newsletters Qui Ne Vous Feront Pas Avoir d’Amende
L’email marketing sous RGPD nécessite :
- Opt-in explicite (pas de cases pré-cochées)
- Désabonnement facile
- Registres de consentement
- Données stockées dans des endroits conformes
Les Options Sûres UE
Mailjet - Meilleur Tier Gratuit
Propriété de Sinch (entreprise suédoise). Traitement des données UE. Bonnes fonctionnalités d’automatisation. Le tier gratuit est vraiment utilisable.
Brevo (ex-Sendinblue) - Tout-en-Un
Entreprise française. CRM, email, SMS, chat tout en une plateforme. Bien pour les entreprises voulant une communication client unifiée.
Prix : Gratuit à 25€/mois selon le volume.
Mailchimp - Avec Précautions
Oui, c’est américain. Oui, ça peut être conforme RGPD. Vous devez :
- Activer le data center UE
- Signer leur DPA
- Utiliser le double opt-in
- Vraiment lire leur documentation de conformité
Pour les petites listes, les alternatives UE sont plus simples. Pour les entreprises établies déjà sur Mailchimp, la migration pourrait ne pas en valoir la peine.
Double opt-in : L’utilisateur s’inscrit → reçoit un email → clique sur le lien de confirmation → alors seulement ajouté à la liste. Obligatoire en Allemagne, fortement recommandé partout. Mailjet et Brevo rendent ça facile.
Collecter des Données Sans Collecter des Procès
Chaque formulaire sur votre site est un point de collecte de données. Chaque point de collecte de données nécessite une réflexion RGPD.
Les Constructeurs de Formulaires Conformes
Tally - Simple, Hébergé en UE
Le Notion des constructeurs de formulaires. Interface propre, fonctionnalités puissantes, respecte vraiment la vie privée. Pas de trackers externes. Résidence des données UE.
Le tier gratuit est dingue : Tout illimité. Ils gagnent de l’argent sur les fonctionnalités premium, pas en vendant les données de vos répondants.
Typeform - Avec Configuration
Entreprise espagnole, mais utilise AWS (y compris régions US). Peut être configuré pour un traitement UE uniquement. Beaux formulaires, bonne UX, nécessite de lire leur documentation vie privée.
Prix : 25-83€/mois.
FormKeep - Pour les Développeurs
Reçoit les soumissions de formulaires, les stocke en sécurité, transfère vers votre email/webhook. Pas de constructeur fancy - juste un traitement sécurisé des données.
Idéal pour : Les sites statiques qui ont juste besoin d’un backend de formulaires.
Checklist Conformité Formulaires
- Politique de confidentialité liée depuis chaque formulaire
- Explication claire de pourquoi vous collectez les données
- Case séparée pour le consentement marketing (pas groupé avec la soumission)
- Données stockées en juridiction UE
- Processus pour supprimer les données sur demande
Politiques de Confidentialité Qui Fonctionnent Vraiment
“Nous respectons votre vie privée” n’est pas une politique de confidentialité. Vous avez besoin d’une documentation spécifique et précise sur quelles données vous collectez et pourquoi.
Générateurs de Politique de Confidentialité
iubenda - Le Standard
Générateur basé sur questionnaire. Répondez aux questions sur votre site, obtenez des documents juridiquement validés. Se met à jour automatiquement quand les lois changent.
La valeur : Des politiques rédigées par un avocat coûtent 500-2000€. iubenda coûte 27€/an.
Termageddon - Mises à Jour Auto
Concept similaire, entreprise américaine avec conformité RGPD. Les politiques se mettent à jour automatiquement quand les réglementations changent.
Prix : 99$/an pour tous les documents.
Avertissement DIY
Pouvez-vous écrire votre propre politique de confidentialité ? Techniquement oui. Devriez-vous ? Seulement si vous êtes avocat en protection des données ou si vous aimez les drames de tribunal.
Une politique de confidentialité écrite par une IA ou copiée d’un template est une politique de confidentialité qui attend d’être testée en justice. Template plus révision par un avocat est le minimum pour tout site sérieux.
Gérer les Demandes “Supprimez Mes Données”
Le RGPD donne des droits aux utilisateurs : accès, suppression, portabilité. Quand ils exercent ces droits, vous avez 30 jours pour répondre.
Outils DSAR (Demande d’Accès aux Données)
OneTrust - Tier Gratuit Disponible
Leader de l’industrie pour la gestion de la vie privée en entreprise. Leur tier gratuit gère la réception et le suivi basiques des DSAR.
Cas d’usage : Vous recevez des demandes de suppression occasionnelles et avez besoin de les suivre.
Mine - Orienté Consommateur
Aide les individus à demander leurs données aux entreprises. Si vous êtes une entreprise, vous recevrez des demandes via leur plateforme.
Que faire : Mettez en place un processus pour gérer les demandes de Mine et services similaires.
L’Approche Manuelle
Pour les petits sites :
- Créez une adresse email : [email protected]
- Documentez votre inventaire de données (ce que vous collectez, où c’est stocké)
- Créez un tableur pour suivre les demandes
- Répondez sous 30 jours
Astuce pro : La plupart des petits sites peuvent gérer les DSAR manuellement. Vous n’avez besoin d’outils d’automatisation que quand vous recevez plus de quelques demandes par mois.
Où Vos Données Vivent Physiquement Compte
La résidence des données ne concerne pas juste où votre hébergeur est incorporé - c’est où les serveurs sont physiquement situés.
Hébergement Basé UE
Hetzner - Le Favori des Développeurs
Excellent rapport qualité-prix, ingénierie allemande, infrastructure vraiment bonne. Utilisé par des projets soucieux de la vie privée dans toute l’Europe.
Scaleway - L’Option Française
Data centers Paris et Amsterdam. Bon support Kubernetes. Tarifs compétitifs.
Prix : Commence à 7€/mois pour le compute.
OVHcloud - Le Géant Européen
Entreprise française, data centers à travers l’Europe. Plus orienté entreprise mais a des tiers abordables.
CDN : Bunny vs Cloudflare
Bunny CDN : Entreprise slovène. Vous pouvez choisir des localisations edge UE uniquement. Tarif 0,01€/Go.
Cloudflare : Entreprise américaine. A des options UE uniquement mais nécessite le plan Enterprise pour un traitement garanti UE uniquement. Le tier gratuit traite les données globalement.
Pour une conformité RGPD stricte : Bunny CDN avec localisations edge UE. Pour “assez bien” avec de meilleures fonctionnalités : Cloudflare avec leur suite de localisation de données UE.
Ma Stack RGPD Recommandée
Pour un site web d’entreprise typique :
| Couche | Outil | Coût/mois |
|---|---|---|
| Hébergement | Hetzner VPS | 5€ |
| CDN | Bunny CDN | ~2€ |
| Analytics | Plausible | 9€ |
| Consentement | Cookiebot | 9€ |
| Formulaires | Tally | Gratuit |
| Mailjet | Gratuit-15€ | |
| Docs légaux | iubenda | ~3€ |
| Total | ~28-43€/mois |
Comparez à : Une amende RGPD pour une petite entreprise : 5 000-50 000€.
Le calcul est évident.
L’Ordre d’Implémentation
Si vous partez de zéro, faites-le dans cet ordre :
Semaine 1 : Fondations
- Déménagez l’hébergement vers un fournisseur UE
- Remplacez Google Analytics par Plausible
- Ajoutez la gestion du consentement (Cookiebot)
Semaine 2 : Documentation
- Générez la politique de confidentialité (iubenda)
- Auditez tous les formulaires - ajoutez les mentions vie privée
- Mettez en place [email protected]
Semaine 3 : Finitions
- Testez le flux de consentement - vérifiez que les scripts sont vraiment bloqués
- Configurez la résidence de données UE pour le fournisseur email
- Documentez votre inventaire de données
En Continu
- Répondez aux demandes de données sous 30 jours
- Révisez les outils trimestriellement pour les mises à jour de conformité
- Mettez à jour la politique de confidentialité quand vous ajoutez de nouvelles fonctionnalités
Checklist d’Audit Rapide
Passez en revue ceci pour tout site existant :
Consentement
- La bannière cookies apparaît avant les scripts non essentiels
- Peut refuser tous les cookies en 1 clic (pas enterré dans les paramètres)
- Le consentement est enregistré avec horodatage
- Peut retirer le consentement plus tard
Analytics & Tracking
- L’outil analytics stocke les données en UE
- Pas de tracking avant consentement (ou utilisation d’analytics sans cookies)
- Pas de Facebook Pixel sans consentement explicite
- Pas de Google Analytics sans consentement (ou utilisation de GA4 avec mode consentement)
Collecte de Données
- Politique de confidentialité liée depuis tous les formulaires
- L’inscription email utilise le double opt-in
- Objectif clair indiqué pour chaque formulaire
- Consentement marketing séparé du consentement transactionnel
Documentation
- La politique de confidentialité existe et est précise
- La politique cookies liste tous les cookies avec leurs objectifs
- Méthode de contact pour les demandes de données existe
- Les registres d’activités de traitement sont documentés
Infrastructure
- Hébergement en juridiction UE
- CDN utilise des localisations edge UE (ou correctement configuré)
- Sauvegardes stockées en UE
- Outils tiers ont des DPA signés
Erreurs Courantes Qu’on Voit Constamment
“On est trop petits pour avoir une amende” Faux. Les petites entreprises reçoivent des amendes. Les amendes sont plus petites mais toujours douloureuses. Une amende de 10 000€ fait plus mal à une petite entreprise qu’une amende de 10 millions à une multinationale.
“On a ajouté une bannière cookies, on est conformes” Une bannière qui ne bloque pas les scripts est de la décoration, pas de la conformité. Testez-la - désactivez JavaScript et voyez si les pixels de tracking se chargent toujours.
“Notre outil US dit qu’il est conforme RGPD” La conformité n’est pas binaire. Un outil US peut être configuré de manière conforme, mais vous devez vérifier le traitement des données UE, signer leur DPA, et souvent passer au tier payant.
“On ne collecte pas de données personnelles” Les adresses IP sont des données personnelles. Les adresses email sont des données personnelles. Ce formulaire de contact que vous avez oublié ? Données personnelles.
Ressources
- GDPR.eu - Guide en anglais simple sur la réglementation
- ICO (UK) - Meilleurs documents d’orientation même pour l’UE
- CNIL (France) - Interprétations les plus strictes, bon pour comprendre les limites
Voir aussi :
Dernière mise à jour : Janvier 2026. Ceci n’est pas un conseil juridique - consultez un professionnel de la protection des données pour votre situation spécifique.