Conformité RGPD site web : ce qu'un audit technique révèle vraiment

CEF 2026, cookies avant consentement, Google Fonts, en-têtes HTTP, politique de confidentialité : ce qu'un scan externe détecte, ce qu'il ne détecte pas, et comment transformer ces signaux en prestation vendable.

En avril 2026, la CNIL a annoncé sa participation à l'action coordonnée européenne (CEF) pilotée par le Comité européen de la protection des données, consacrée cette année aux obligations de transparence et d'information. Vingt-cinq autorités européennes y prennent part. Pour un site web, cela signifie un contrôle possible sur la politique de confidentialité, la clarté de l'information au visiteur et la conformité réelle des bannières cookies.

Pour un freelance ou une agence qui audite des sites clients, le sujet change d'échelle. Ce n'est plus un article théorique que l'on met dans ses mentions légales, c'est un point de vigilance qui apparaît concrètement dans un rapport d'audit et qui peut justifier une prestation de mise en conformité.

Cet article explique ce qu'un audit technique détecte réellement en matière de conformité RGPD d'un site web, ce qu'il ne peut pas détecter, et comment transformer ces observations en plan d'action clair pour un client non technique. Le périmètre reste volontairement technique, pas juridique : ce dernier relève d'un DPO ou d'un avocat.

Ce qu'un audit RGPD technique couvre, et ce qu'il ne couvre pas

Avant de parler de cookies ou d'en-têtes HTTP, il faut poser le périmètre exact d'un audit RGPD technique. La frontière avec le travail juridique est ce qui distingue une prestation honnête d'un discours marketing.

Le périmètre technique observable de l'extérieur

Un audit technique RGPD externe, mené sans accès au back-office du site, repose sur l'analyse de ce qu'un visiteur voit et de ce que le navigateur charge. Le périmètre est clair et limité aux signaux techniques observables.

Sont analysables depuis l'extérieur les cookies déposés avant et après consentement, les ressources tierces chargées (polices, scripts, pixels, iframes), les en-têtes HTTP liés à la sécurité et à la confidentialité, la présence et l'accessibilité d'une politique de confidentialité, la bannière de consentement et son paramétrage réel, et l'usage ou non de HTTPS forcé.

Ces éléments représentent la surface la plus visible de la conformité. Ils sont aussi ceux qui remontent en premier lors d'un contrôle CNIL en ligne, puisque l'autorité inspecte ce que tout internaute voit depuis son navigateur.

Ce qui reste hors du périmètre technique

Un audit externe ne peut pas évaluer le registre des traitements, la base légale réelle de chaque collecte, la nomination ou non d'un DPO, les contrats de sous-traitance, les durées de conservation paramétrées côté base de données, les procédures internes de violation de données ou l'analyse d'impact (AIPD) pour les traitements à risque.

Ces sujets relèvent du juridique et de l'organisationnel. Un freelance ou une agence qui audite un site client doit rester honnête sur cette frontière : un rapport technique identifie des signaux faibles ou forts, il ne délivre pas un certificat de conformité global.

Dans les audits réalisés avec Orilyt, je formule systématiquement ce point dans la synthèse client : « le présent rapport couvre les aspects techniques observables, il ne se substitue pas à une analyse juridique par un DPO ou un avocat spécialisé ». C'est une précaution qui protège le prestataire et qui évite au client de croire qu'un bon score technique signifie « tout va bien côté RGPD ».

Les cookies et le consentement

Le cookie reste le point le plus visible de la conformité RGPD d'un site web. Sa détection est simple, sa correction est rapide, et l'enjeu pour le client est immédiatement compréhensible.

La règle actualisée en 2026

La règle reste celle posée par la CNIL en 2020 et confirmée depuis : les cookies qui ne sont pas strictement nécessaires au fonctionnement du site (mesure d'audience exemptée, panier, authentification, préférence de langue) doivent faire l'objet d'un consentement préalable, libre, éclairé, spécifique et univoque.

Concrètement, aucun cookie publicitaire, aucun pixel Facebook, aucun tag Google Ads ne doit être déposé avant le clic du visiteur sur « accepter ». Refuser doit être aussi simple qu'accepter, avec un bouton de même importance visuelle. Le site doit également permettre à tout moment de retirer son consentement aussi facilement qu'il a été donné.

Les erreurs récurrentes détectées en audit

Dans les audits RGPD menés sur des sites WordPress, trois erreurs reviennent massivement. La première est le dépôt de cookies avant consentement : Google Analytics, Meta Pixel, Hotjar ou Linkedin Insight Tag continuent à tracer alors que la bannière affiche « accepter ou refuser ». C'est techniquement détectable en chargeant la page avec un navigateur neutre et en inspectant les cookies présents.

La deuxième est la bannière-ornement : un bandeau qui informe mais ne laisse pas réellement refuser, avec un seul bouton « OK » ou avec un lien « refuser » enterré dans un menu. Ce cas est explicitement sanctionné par la CNIL depuis ses recommandations de mars 2021.

La troisième est le défaut de symétrie : un gros bouton vert « tout accepter » et un petit lien gris « paramétrer » en dessous. Le Conseil d'État, dans sa décision du 28 juin 2022, a confirmé que ce déséquilibre visuel pouvait constituer une atteinte à la libre expression du consentement.

Ces trois points sont détectables par un outil d'audit technique qui inspecte la page avant et après interaction avec la bannière. C'est typiquement ce que fait Orilyt dans ses tests RGPD.

Ce qu'il faut documenter côté client

Pour un freelance qui audite un site, le cookie reste le point de friction le plus concret à remonter au client, parce qu'il est visible, vérifiable et corrigeable rapidement via une Consent Management Platform conforme. L'argument commercial tient tout seul : un cookie déposé avant consentement sur le site d'un client, c'est un risque de sanction CNIL qui retombe sur le client, et une mise en conformité qui se facture.

Les polices et ressources externes

Au-delà des cookies, les ressources tierces chargées par un site sont un angle d'audit RGPD souvent ignoré, alors qu'elles transmettent l'adresse IP du visiteur à des serveurs hors UE.

Google Fonts et l'arrêt allemand de 2022

En janvier 2022, le tribunal régional de Munich a condamné un éditeur de site à verser 100 euros à un visiteur pour avoir chargé une police Google Fonts depuis les serveurs de Google, transmettant ainsi son adresse IP aux États-Unis sans base légale. L'arrêt a fait jurisprudence en Allemagne et a été largement repris dans la communauté juridique européenne.

En France, la CNIL n'a pas pris de position aussi frontale, mais le principe de minimisation des transferts hors UE reste applicable. Le règlement européen impose que tout transfert de données personnelles vers un pays tiers repose sur une base légale solide : décision d'adéquation, clauses contractuelles types ou consentement explicite.

Les ressources externes couramment problématiques

Un scan technique détecte facilement les ressources tierces chargées par un site. Les plus problématiques en pratique sont Google Fonts en CDN direct (fonts.googleapis.com), les scripts Google Maps chargés sur toutes les pages alors qu'une seule en a besoin, les iframes YouTube intégrées sans mode « youtube-nocookie », les Gravatars sur un blog WordPress qui remontent l'adresse IP de chaque commentateur, et les pixels publicitaires chargés avant consentement.

Pour chacune, la correction technique existe et elle est accessible. Google Fonts peut être hébergée en local. YouTube propose un mode sans cookie. Gravatar peut être désactivé dans les réglages WordPress. Les pixels publicitaires doivent être gérés par la CMP.

Le signal que cela envoie au client

Avec Orilyt, je vois régulièrement des sites qui ont investi dans une bannière cookies payante et qui restent non conformes parce que Google Fonts charge à chaque page. La bannière devient un faux sentiment de sécurité. Pour un freelance, c'est un angle commercial parfait : « votre outil de cookies ne suffit pas, voici les trois autres points que personne n'a regardés sur votre site ».

Les en-têtes HTTP liés à la confidentialité

Les en-têtes HTTP sont la partie la moins visible d'un audit RGPD, et paradoxalement celle qui différencie le plus une prestation technique sérieuse d'un audit juridique standard.

Ce que les en-têtes révèlent

Les en-têtes HTTP sont envoyés par le serveur à chaque réponse. Plusieurs en-têtes jouent un rôle dans la confidentialité et la sécurité des données, et leur absence est un signal de négligence facilement détectable.

Strict-Transport-Security (HSTS) impose au navigateur d'utiliser HTTPS pour toutes les connexions futures au domaine. Son absence peut permettre à un attaquant d'intercepter une première requête en HTTP et d'injecter du contenu. Content-Security-Policy (CSP) limite les sources depuis lesquelles le navigateur peut charger des scripts, images et polices. Sans CSP, un script injecté par une faille XSS peut exfiltrer des données personnelles vers un serveur tiers. X-Content-Type-Options et X-Frame-Options réduisent d'autres surfaces d'attaque classiques.

Referrer-Policy contrôle ce que le navigateur transmet comme information sur la page d'origine lors d'une navigation vers un autre site. Une politique « no-referrer » ou « strict-origin-when-cross-origin » empêche de fuiter l'URL complète, qui peut contenir des paramètres sensibles.

Pourquoi c'est un angle négligé dans la plupart des audits

La plupart des audits RGPD menés par des avocats ou des DPO ne regardent pas les en-têtes HTTP. Ce n'est pas leur métier et ce n'est pas dans leur outillage. Pourtant, ces en-têtes participent directement aux mesures techniques et organisationnelles imposées par l'article 32 du RGPD.

Pour un freelance qui audite, c'est un angle de différenciation fort. Un rapport qui liste les en-têtes manquants, explique leur rôle en langage accessible et chiffre l'effort de correction apporte une valeur que le client ne trouvera ni chez son avocat, ni chez son DPO externe. Orilyt intègre ces vérifications dans sa catégorie Sécurité, aux côtés du certificat SSL et redirection HTTPS.

Le lien avec les nouveautés 2026

Les guides de conformité 2026 rappellent que la CNIL demande désormais des journaux d'accès plus précis, une authentification forte généralisée et des politiques de destruction des données documentées. Ces exigences dépassent le périmètre d'un scan externe, mais les en-têtes HTTP restent le premier niveau de preuve observable publiquement qu'un site prend la sécurité technique au sérieux.

La politique de confidentialité et l'information du visiteur

C'est le cœur de l'action coordonnée CEF 2026 du CEPD : vérifier que les sites informent réellement leurs visiteurs sur ce qui est collecté, par qui, pour quoi, et comment exercer ses droits.

Ce que l'action CEF 2026 va examiner

L'action coordonnée du CEPD pour 2026 porte spécifiquement sur les articles 12, 13 et 14 du RGPD. Les autorités européennes participantes enverront questionnaires et enquêtes à des responsables de traitement de différents secteurs pour vérifier comment ils respectent leurs obligations de transparence et d'information.

Pour un site web, cela se traduit par des questions très concrètes : la politique de confidentialité est-elle accessible en un clic depuis toutes les pages, mentionne-t-elle la base légale pour chaque traitement, liste-t-elle les destinataires des données, précise-t-elle les durées de conservation, indique-t-elle la possibilité de contacter le DPO et de saisir la CNIL en cas de désaccord.

Ce qu'un audit technique peut vérifier

Un audit technique ne peut pas juger la qualité juridique d'une politique de confidentialité. Il peut en revanche vérifier plusieurs éléments factuels : la page existe-t-elle, est-elle indexable, est-elle liée depuis le footer de toutes les pages, a-t-elle été mise à jour récemment, mentionne-t-elle les éléments minimaux attendus (cookies, finalités, droits des personnes, contact).

Ces vérifications sont automatisables et remontent dans un rapport Orilyt comme des points de vigilance, pas comme des validations juridiques. C'est une nuance importante à transmettre au client pour éviter tout malentendu sur la portée de l'audit.

Le piège du texte copié-collé

Dans les audits menés sur des sites de PME, je croise régulièrement des politiques de confidentialité qui sont des copier-coller d'un modèle générique trouvé en ligne, parfois avec le nom d'une autre entreprise encore visible dans le texte. C'est un signe clair que le sujet n'a pas été travaillé sérieusement et que les autres points de conformité ont de bonnes chances d'être aussi négligés.

Pour un freelance, c'est un angle d'attaque commercial solide : proposer un audit RGPD technique qui remonte ces points, puis orienter le client vers un avocat ou un DPO pour la partie rédactionnelle et organisationnelle. Les deux prestations sont complémentaires et se vendent bien ensemble.

Transformer un audit RGPD en prestation vendable

Détecter, c'est bien. Vendre la correction et la surveillance continue, c'est mieux. La méthode tient en trois principes simples.

La règle d'or : ne pas jouer au juriste

Un freelance ou une agence qui audite techniquement un site client ne doit jamais se positionner comme expert RGPD au sens juridique. Ce n'est pas son métier, cela expose sa responsabilité professionnelle, et cela brouille le message auprès du client.

Le bon positionnement est celui de « détecteur de signaux techniques ». L'audit remonte des indices, les classe par sévérité, propose des corrections techniques réalistes et oriente vers les bons interlocuteurs pour le reste. Cette honnêteté de périmètre est paradoxalement rassurante pour le client : il comprend ce qu'il achète et ce qu'il n'achète pas.

Structurer le rapport pour qu'il fasse décider

Un rapport RGPD technique gagne à suivre une logique simple : sévérité → impact → correction → effort. Pour chaque point remonté, le client doit voir clairement de quoi il s'agit, pourquoi c'est un risque, comment le corriger et combien cela coûte en temps ou en euros. C'est le principe de la méthode FIA pour présenter les résultats que j'applique dans chaque rapport Orilyt.

Cette structure transforme un diagnostic technique en proposition commerciale. Le client ne reçoit pas une liste d'alertes incompréhensibles, il reçoit un plan d'action hiérarchisé qu'il peut approuver ou découper en lots. Pour aller plus loin, j'ai détaillé dans un guide dédié comment structurer un rapport d'audit pour le client.

La valeur commerciale concrète

Un freelance qui vend un audit RGPD technique à 350 euros ouvre souvent la porte à un contrat de maintenance mensuel. Parce qu'une bannière cookies conforme se reconfigure, parce que les polices Google Fonts demandent à être rapatriées en local, parce que les en-têtes HTTP doivent être ajustés au niveau serveur. Ce sont autant de micro-interventions qui justifient un forfait récurrent.

Orilyt propose des audits illimités à partir de 39 euros par mois sur les plans payants, ce qui rend le modèle rentable même pour un freelance qui audite cinq à dix sites clients par mois. Pour le détail, voir les tarifs d'Orilyt.

Les sanctions concrètes et l'enjeu 2026

Avant de vendre une mise en conformité, il faut connaître les chiffres exacts à transmettre au client et la dynamique réglementaire de l'année.

Les chiffres à connaître

Le RGPD prévoit deux niveaux de sanctions. Les violations considérées comme légères (absence de registre, DPO non désigné, politique de confidentialité insuffisante) peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Les violations graves (traitement illicite, transfert non sécurisé, absence totale de consentement) peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Pour une PME, les sanctions effectives sont proportionnées, mais elles existent. Les guides 2026 rapportent des amendes de quelques milliers à plusieurs centaines de milliers d'euros selon la gravité. Au-delà du montant, la publicité de la sanction et l'injonction de mise en conformité sous délai contraint sont souvent plus dommageables que l'amende elle-même.

Pourquoi 2026 change la donne

Trois dynamiques convergent cette année et justifient que les freelances et agences s'emparent du sujet. L'action coordonnée CEF 2026 du CEPD sur la transparence augmente mécaniquement la probabilité de contrôle sur la politique de confidentialité et la bannière cookies. La directive NIS2, entrée en application en janvier 2026, élargit le périmètre des entités soumises à des obligations de cybersécurité aux PME de plus de cinquante salariés dans les secteurs critiques.

Enfin, la convergence RGPD/AI Act impose une vigilance accrue sur les usages d'intelligence artificielle côté site, notamment pour les chatbots, la personnalisation automatique et le scoring de visiteurs.

Ce que dit le retour d'expérience terrain

Les audits Orilyt qui remontent des problèmes RGPD se rangent presque toujours dans l'un de ces trois scénarios. Les reconnaître permet de calibrer la prestation dès le premier rendez-vous client.

Les trois scénarios types

Le premier est le site WordPress PME classique : bannière cookies installée avec un plugin gratuit mal configuré, Google Analytics qui tourne avant consentement, Google Fonts chargées en CDN, aucun en-tête de sécurité HTTP. Le client a l'impression d'être conforme parce qu'il « a mis une bannière », la réalité technique dit le contraire.

Le deuxième est le site e-commerce : multiplication de pixels publicitaires (Meta, TikTok, Pinterest, Google Ads), consentement pas toujours respecté pour tous, iframes YouTube pleines de cookies sur les fiches produit, Gravatar activé sur les avis. La complexité des flux rend l'audit technique particulièrement utile parce qu'il remonte une cartographie exhaustive.

Le troisième est le site institutionnel bien géré : politique de confidentialité correcte, bannière fonctionnelle, HTTPS forcé, mais un ou deux scripts hérités d'une ancienne version du site continuent à charger et à poser problème. L'audit technique remonte ce que l'humain ne voit plus parce qu'il connaît le site « par cœur ».

La leçon à en tirer

Aucun de ces trois scénarios ne se règle avec un seul outil. La conformité RGPD d'un site est un processus continu qui combine audit technique régulier, vigilance humaine et expertise juridique ponctuelle. Orilyt couvre le premier pilier, les deux autres restent la responsabilité du client ou de son conseil. Cette répartition claire des rôles distingue un bon audit RGPD technique d'un discours vendeur : elle rassure le client, protège le prestataire, et pose les bases d'une relation durable.

Vos questions les plus fréquentes

Sources et références

• CNIL, CEF 2026 : action coordonnée sur la transparence — annonce officielle de l'action européenne 2026 sur les articles 12, 13 et 14 du RGPD.
• CNIL, RGPD par où commencer — plan d'action en 4 étapes et ressources officielles pour la conformité.
• CNIL, cookies et traceurs — cadre officiel sur le consentement aux cookies.
• CNIL, transparence et information — obligations issues des articles 12 à 14 du RGPD.
• CEPD, site officiel du Comité européen de la protection des données — référence européenne sur l'application du RGPD.