RGPD 2024 : Amazon 746M€, Meta 1,2Md€ d'amende — votre site est-il conforme ?

Les chiffres qui font peur : le RGPD est désormais appliqué avec rigueur

Si vous pensiez que le RGPD restait une formalité administrative que personne ne vérifiait vraiment, 2024 a définitivement enterré cette illusion. Voici les sanctions marquantes :

• Amazon : 746 millions d'euros d'amende infligés par l'autorité luxembourgeoise pour non-conformité dans la publicité ciblée
• Meta (Facebook/Instagram) : 1,2 milliard d'euros, la plus lourde amende RGPD jamais prononcée, pour transfert illégal de données vers les États-Unis
• TikTok : 345 millions d'euros pour traitement des données des mineurs
• CNIL France : 42 sanctions prononcées en 2024 pour un total de 55,2 millions d'euros

Ces montants concernent de grandes entreprises, mais les PME ne sont pas à l'abri. La CNIL reçoit chaque année plus de 14 000 plaintes de particuliers et peut sanctionner toute organisation traitant des données personnelles de résidents européens, quelle que soit sa taille.

Comprendre le RGPD en 2 minutes

Le Règlement Général sur la Protection des Données (entré en vigueur le 25 mai 2018) impose à toute organisation collectant des données personnelles de résidents de l'UE de respecter 6 principes fondamentaux : licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité.

En pratique pour un site web de PME, cela se traduit par une liste de points concrets. Voici notre checklist opérationnelle.

Notre checklist RGPD — 15 points vérifiés sur chaque projet ADRD

Mentions légales et politique de confidentialité

1. Page mentions légales complète : éditeur (nom, adresse, SIRET), hébergeur (nom, adresse, numéro de téléphone), directeur de publication
2. Politique de confidentialité dédiée : liste exhaustive des données collectées, base légale de chaque traitement, durée de conservation, droits des utilisateurs
3. Lien dans le footer de chaque page : visible, accessible, sans avoir à défiler
4. Coordonnées du DPO (si applicable) ou contact privacy dédié

Gestion des cookies

5. Bandeau cookie conforme CNIL : bouton "Accepter" ET bouton "Refuser" de même taille et visibilité (la CNIL est intransigeante sur ce point)
6. Pas de cookies analytics avant consentement : Google Analytics, Facebook Pixel, etc. ne doivent pas se charger avant que l'utilisateur ait accepté
7. Catégories de cookies documentées : nécessaires (exemptés), préférences, statistiques, marketing
8. Révocation facile du consentement : lien "Gérer mes cookies" accessible à tout moment

Formulaires et collecte de données

9. Mention d'information sur chaque formulaire : qui traite les données, pourquoi, combien de temps, et le lien vers la politique complète
10. Pas de case pré-cochée pour le consentement marketing — le consentement doit être un acte positif explicite
11. Finalité unique : les données collectées pour le contact ne peuvent pas être utilisées pour la prospection commerciale sans consentement séparé

Sécurité des données

12. HTTPS obligatoire : toutes les pages, pas uniquement les formulaires
13. Mots de passe hashés (bcrypt, coût minimum 10) — jamais en clair ni en MD5
14. Durée de conservation définie : purge automatique des données inactives (ex : formulaires de contact supprimés après 3 ans)

Droits des utilisateurs

15. Procédure de réponse aux demandes d'exercice des droits : droit d'accès, rectification, effacement, portabilité — répondre dans les 30 jours

Les 3 erreurs les plus fréquentes que nous corrigeons

En auditant les sites de nos prospects, nous retrouvons systématiquement les mêmes non-conformités :

• Google Analytics chargé sans consentement : c'est l'infraction numéro 1 en France. La CNIL a mis en demeure plusieurs dizaines d'entreprises pour ce seul motif
• Bandeau cookie avec seulement "Accepter" : l'absence de bouton "Refuser" équivalent est illégale depuis les guidelines CNIL de 2022
• Politique de confidentialité copiée-collée générique : si votre politique mentionne des finalités ou des données que vous ne collectez pas réellement (ou l'inverse), c'est une non-conformité

Comment se mettre en conformité sans se ruiner

La conformité RGPD n'est pas un projet à 50 000 €. Pour une PME avec un site vitrine et un formulaire de contact, un audit + mise en conformité complet représente 1 à 3 jours de travail. Chez ADRD, nous intégrons systématiquement la conformité RGPD dans chaque livraison — mentions légales sur mesure, bandeau cookie conforme, politique de confidentialité rédigée pour votre activité réelle.

Votre site est-il conforme ? Demandez un audit RGPD gratuit — nous analysons votre site et vous remettons un rapport détaillé sous 48 heures.