Blog

10 manquements courants à la conformité RGPD des sites web (et comment les prévenir)

Les manquements courants à la conformité RGPD des sites web, pourquoi votre équipe ne les remarque pas, et comment prévenir la collecte illicite de données.

Dec 30, 2025 • 15 min read

Juan Combariza Growth Marketer

Common-gdpr-failures-and-how-to-prevent-them

Les quatre principales raisons des manquements au RGPD, décrivant les lacunes de conformité les plus courantes qui conduisent à des problèmes réglementaires — Infographie : Les quatre principales raisons des manquements au RGPD, d'après une base de données d'amendes recensées.

Le Règlement général sur la protection des données (RGPD) est une loi européenne sur la vie privée. Entré en vigueur en 2018, il encadre la façon dont vous collectez, stockez et utilisez les données personnelles sur votre site web.

Si vous étudiez les amendes RGPD les plus courantes que les autorités de contrôle prononcent chaque mois, vous constaterez que la plupart d'entre elles découlent d'erreurs basiques. Des flux de consentement défaillants, des mentions cachées et des traceurs qui se chargent trop tôt constituent un schéma récurrent.

Dans cet article, nous allons passer en revue ces manquements courants à la conformité RGPD des sites web et vous expliquer comment y remédier.

En résumé

Le RGPD s'applique à votre site web si vous ciblez ou surveillez des résidents de l'UE, même si votre entreprise n'est pas établie dans l'UE.
La majorité des amendes citent l'un de ces manquements : traitement illicite des données, transparence insuffisante, collecte excessive de données et mesures de sécurité inadéquates.
En cas de violation du RGPD, vous risquez jusqu'à 20 millions d'euros ou 4 % de votre chiffre d'affaires mondial.
De nombreuses violations débutent discrètement côté client, là où des scripts et traceurs tiers collectent des données sans que personne dans votre équipe ne s'en aperçoive.
Les autorités de contrôle attendent des preuves : journaux d'activité, justificatifs des mesures de sécurité en place, et démarche claire d'intégration de la protection de la vie privée dans votre architecture.
cside Privacy Watch aide les équipes à détecter les risques de confidentialité côté client et à contrôler la collecte de données du site web avant qu'elle ne devienne un problème réglementaire.

Tableau : Répartition des amendes RGPD par type de violation (sur la base de 2 817 amendes au total)

Catégorie de violation	Nombre d'amendes	Pourcentage de toutes les amendes
Base légale insuffisante pour le traitement des données	797	28,29 %
Non-conformité aux principes généraux de traitement des données	737	26,16 %
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information	523	18,57 %
Respect insuffisant des droits des personnes concernées	284	10,08 %
Respect insuffisant des obligations d'information	202	7,17 %
Coopération insuffisante avec l'autorité de contrôle	157	5,57 %
Respect insuffisant des obligations de notification des violations de données	51	1,81 %
Implication insuffisante du délégué à la protection des données	25	0,89 %
Inconnu	19	0,67 %
Accord de traitement des données insuffisant	15	0,53 %
Absence de désignation d'un délégué à la protection des données	7	0,25 %

Le RGPD s'applique-t-il à votre site web ?

Les exigences de conformité au RGPD s'appliquent à votre site web dans plusieurs cas :

Si vous proposez des biens ou des services à des personnes situées dans l'UE ou au Royaume-Uni, même si ces services sont gratuits.
Si vous surveillez le comportement des utilisateurs de l'UE sur votre site. Cela inclut les cookies, les outils d'analyse, les cartes de chaleur, la publicité ou le profilage des utilisateurs.

Il n'est pas nécessaire d'avoir un bureau ou une équipe dans l'UE pour que le règlement s'applique. Si votre site cible des utilisateurs de l'UE via la langue, les prix, les options de livraison ou les outils de suivi, le RGPD s'applique.

10 manquements courants à la conformité RGPD des sites web

Les sanctions RGPD peuvent atteindre 20 millions d'euros, ou 4 % du chiffre d'affaires mondial total de votre entreprise pour l'exercice précédent, selon le montant le plus élevé.

C'est une somme considérable, et votre réputation sera également en jeu.

Pour éviter cela, voici 10 manquements courants à la conformité RGPD des sites web que vous devriez corriger avant qu'ils ne se transforment en litiges coûteux.

1. Collecte illicite de données avant le consentement

Si vous utilisez des outils tiers sur votre site web, ils peuvent contenir des scripts malveillants. Ceux-ci peuvent extraire des données sans toucher à votre backend. Même dans le cas de scripts non malveillants, les fournisseurs tiers peuvent modifier du code ou étendre des scripts pour collecter des données à votre insu.

Des scripts mal configurés aggravent le problème. Ils peuvent se déclencher avant le consentement et s'exécuter sur chaque page. Dans ce cas, votre site collecte des données personnelles sans autorisation, et vous restez responsable de ce flux de données, et non le fournisseur.

Pour résoudre ce problème :

Utilisez un logiciel de conformité RGPD pour auditer chaque script tiers
Documentez les données qu'il collecte
Limitez les pages sur lesquelles les scripts peuvent s'exécuter et supprimez les outils dont vous n'avez plus besoin
Examinez régulièrement les mises à jour et les modifications des fournisseurs

2. Scripts et traceurs tiers non surveillés

À mesure que votre site web grandit, votre liste de scripts s'allonge.

Les anciens outils restent actifs longtemps après que vous avez cessé de les utiliser. De nouveaux traceurs sont ajoutés pour des tests, des campagnes et des plugins. Personne ne vérifie ce qu'ils collectent ni où vont les données. Les données quittent votre site sans aucun contrôle. Cela met en danger la vie privée des utilisateurs et rend la certification de conformité RGPD très difficile.

La solution est la suivante :

Attribuez la responsabilité des outils tiers et des flux de données
Définissez des règles d'approbation avant qu'un nouveau script ne soit mis en ligne
Vérifiez la collecte de données après les modifications du site ou le lancement de nouvelles fonctionnalités
Suivez le comportement des scripts en temps réel plutôt que par des vérifications manuelles

3. Mentions de confidentialité inexactes et obsolètes

Votre politique de confidentialité semble souvent correcte à première vue. Le problème se cache dans les détails.

À chaque mise à jour, les flux de données évoluent : de nouveaux formulaires, pixels et intégrations sont mis en ligne. En pratique, les équipes déploient souvent des fonctionnalités sans signaler les changements de données. Et lorsque les mentions ne correspondent plus à ce que fait réellement votre site, vous induisez les utilisateurs en erreur.

Les autorités de contrôle RGPD considèrent cela comme une véritable violation. La bonne intention ne suffit pas si les informations sont erronées.

Pour un site web conforme au RGPD, vous devez :

Mettre à jour les mentions lorsque la collecte de données change
Faire correspondre le libellé de la politique au comportement réel du site
Rédiger dans un langage clair que les gens peuvent comprendre d'un coup d'œil
Placer les mentions à proximité des formulaires et des points de consentement

4. Collecte excessive de données au niveau des scripts

De nombreux sites web collectent plus de données qu'ils n'en ont besoin. Les scripts récupèrent des adresses IP complètes, des données détaillées sur les appareils et de longs journaux d'événements pour des cas d'usage basiques. Personne ne remet en question les paramètres par défaut. Cela va à l'encontre de la conformité RGPD.

La loi exige que vous ne collectiez que ce qui répond à une finalité précise. Les données superflues augmentent les risques et l'exposition sans apporter de réel bénéfice.

Pour y remédier :

Désactivez les champs de données optionnels dans les outils de suivi
Anonymisez ou masquez les données personnelles dans la mesure du possible
Limitez les événements à ceux qui servent de véritables décisions
Vérifiez les paramètres des scripts après les mises à jour

5. Incapacité à détecter les modifications ou injections de scripts

Les scripts présents sur votre site web ne restent pas statiques. Les fournisseurs publient des mises à jour. Les plugins changent de comportement. Du nouveau code peut apparaître sans ticket ni note de version. Ces changements sont faciles à manquer, créant un risque invisible.

Votre site peut commencer à collecter et à partager des données personnelles que vous n'avez jamais approuvées. Prouver la conformité face à tout signalement de violation du RGPD devient alors délicat.

Suivez ces conseils pour éviter de tels problèmes :

Surveillez les scripts du site web pour détecter les modifications inattendues
Configurez des alertes pour tout code nouveau ou modifié affectant le traitement des données
Suivez le comportement des scripts, pas seulement leurs noms de domaine
Intégrez la vérification des modifications dans les contrôles réguliers du site

6. Mécanismes de consentement invalides ou non conformes

De nombreuses bannières de consentement semblent correctes mais échouent en pratique. Elles dissimulent les options de refus et incitent les utilisateurs à accepter. Certaines chargent des traceurs même après qu'un utilisateur a refusé les cookies. D'autres regroupent le consentement dans un langage vague. Tout cela enfreint les règles du RGPD.

L'utilisateur doit consentir après avoir compris comment et pourquoi vous collectez ses données. S'il se sent contraint et confus, le consentement n'est pas valable.

Pour y remédier :

Placez les boutons d'acceptation et de refus côte à côte
Permettez aux utilisateurs de choisir leur consentement par finalité
Respectez les choix sur toutes les pages et sessions
Ne procédez à aucun suivi lorsque le consentement est refusé

7. Responsabilisation insuffisante des fournisseurs tiers

Vos fournisseurs collectent des données en votre nom, et de nombreuses équipes leur font confiance sans les questionner. Lorsque des fournisseurs traitent mal les données, les autorités de contrôle vous tiennent quand même pour responsable. Cette lacune passe souvent inaperçue jusqu'à ce qu'une plainte ou un audit survienne.

La solution est d'être vigilant dans le choix et la mise en œuvre des outils tiers pour votre site web.

Établissez des DPA (accords de traitement des données) avec tous les tiers. Ceux-ci peuvent prendre la forme d'un DPA standardisé ou d'un DPA personnalisé.
Demandez des preuves, pas seulement un logo de conformité RGPD
Fixez des limites claires en matière de données et de responsabilités
Utilisez un outil pour surveiller la façon dont le code des fournisseurs s'exécute sur votre site, afin de vous assurer que la collecte de données est conforme à votre accord.

8. Sécurisation insuffisante des flux de données côté client

Les acteurs malveillants ciblent votre site web car il est souvent la partie la moins surveillée de la posture de sécurité. Le détournement de données sur les sites web continue d'augmenter selon les recherches d'Insikt Group, et une sécurité côté client insuffisante face à ces attaques entraîne des amendes RGPD, comme l'illustre l'amende de 20 millions de livres sterling infligée à British Airways. En vertu de l'article 32 du RGPD, les autorités de contrôle s'attendent à voir des mesures de protection mises en place contre les risques d'exposition des données.

Pour les mesures de protection côté client, vous devez :

Surveiller le formjacking, les injections de JavaScript malveillant et la manipulation du DOM
Vérifier où les données du navigateur sont envoyées. Si des données sont soudainement envoyées vers la Chine ou la Russie, vous êtes peut-être victime d'une attaque d'exfiltration de données.
Fournir aux auditeurs la preuve des mesures de sécurité mises en œuvre, telles que la surveillance côté client.
Déployer un outil qui maintient un flux de menaces en direct pour vous alerter des violations de la chaîne d'approvisionnement affectant les scripts présents sur votre site (chatbots, outils d'analyse).

Méfiez-vous des solutions qui promettent une sécurité côté client via des scanners sans code. Ces outils sont utiles pour auditer la liste des scripts présents sur votre site, mais ils laissent une large porte ouverte aux véritables attaques.

9. Documentation insuffisante pour les audits et les enquêtes

Lorsqu'un audit ou une plainte survient, de nombreuses équipes se retrouvent dans l'impasse. Elles ne peuvent pas expliquer clairement les flux de données. Les registres sont incomplets ou obsolètes. Les autorités de contrôle attendent des réponses claires et des preuves. Si vous ne pouvez pas expliquer quelles données vous collectez, où elles vont et quand le consentement a été donné, des problèmes s'ensuivront. Ainsi :

Tenez des registres simples des flux de données et de leurs finalités
Consignez les choix de consentement et leurs mises à jour
Suivez les rôles des fournisseurs et les accès aux données
Mettez à jour les documents après toute modification du site ou des outils

10. Dépendance excessive aux contrôles de conformité ponctuels

Les entreprises traitent souvent les contrôles RGPD comme une tâche unique. Elles effectuent un scan, corrigent quelques problèmes, puis passent à autre chose. Mais votre site web continue d'évoluer après cela, chaque fois que vous ajoutez un nouvel outil ou qu'un fournisseur effectue une mise à jour.

Vous devez intégrer la vérification de la conformité RGPD dans le flux de travail régulier :

Revérifiez le consentement et le suivi après chaque déploiement
Définissez des points de contrôle clairs pour les révisions de conformité après les changements marketing, produit et fonctionnels
Utilisez une surveillance automatisée pour signaler les nouvelles collectes de données au moment où elles se produisent, et non des semaines plus tard

Manquements au RGPD hors site web

Retards dans le traitement des DSAR

Lorsqu'un consommateur soumet une demande d'accès aux données (DSAR), êtes-vous en mesure de montrer exactement comment ses données sont traitées et conservées ? Pour la plupart des entreprises, c'est une décision éthique facile, mais elles manquent des instruments techniques pour honorer cette demande dans les délais impartis (généralement 30 jours).

C'est pourquoi il est courant d'utiliser un outil dédié aux DSAR :

Centralisez la réception (formulaire web + e-mail), la vérification d'identité et le suivi des demandes
Maintenez une cartographie des données afin de pouvoir localiser les données personnelles dans l'ensemble des applications et des fournisseurs
Produisez une piste d'audit pour les autorités de contrôle sur ce que vous avez communiqué et les raisons pour lesquelles vous avez retenu certaines informations.

Erreurs des employés

Les manquements au RGPD ne sont pas toujours malveillants. Ils peuvent résulter d'erreurs opérationnelles. Un employé exporte le mauvais rapport, colle des données clients dans le mauvais ticket ou configure incorrectement un lien de partage. Les autorités de contrôle RGPD ont tendance à réduire l'amende lorsqu'elles constatent des preuves claires que des mesures de protection de la vie privée étaient en place, mais ont été enfreintes par une erreur honnête.

Assurez-vous que votre équipe est régulièrement formée sur :

La gestion des données sensibles (données de santé, biométriques et identifiants financiers)
La gestion sécurisée des exports
Les contrôles de sécurité et d'accès

Coût du non-respect du RGPD

Le RGPD définit deux niveaux d'amendes selon le type de violation.

Les amendes de niveau inférieur s'appliquent aux manquements procéduraux. Ceux-ci comprennent une tenue de registres insuffisante, des mesures de sécurité insuffisantes ou une documentation manquante. Elles peuvent atteindre 10 millions d'euros ou 2 % de votre chiffre d'affaires annuel mondial.

Les amendes de niveau supérieur s'appliquent aux violations graves des droits. Celles-ci comprennent la collecte illicite de données, le consentement invalide et l'utilisation abusive de données personnelles. Elles peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Les autorités de contrôle évaluent également la portée, la durée, l'intention et les comportements répétés. Les amendes sont donc proportionnelles à l'impact, et pas seulement à la taille de votre entreprise.

Assurez la conformité RGPD de votre site web avec cside Privacy Watch

Avec Privacy Watch, vous bénéficiez d'une visibilité sur le côté client, là où les problèmes de confidentialité commencent et passent discrètement inaperçus.

Contrairement aux audits périodiques ou aux scanners statiques, cside surveille votre site web 24h/24, 7j/7 et maintient des pistes d'audit claires montrant comment les scripts tiers se comportent sur votre site. Les rapports automatisés sont spécialement conçus pour les formats requis par le RGPD, le CCPA et l'HIPAA.

cside :

Détecte les violations potentielles de la vie privée dans les scripts tiers et quarts (sous-traitants).
Utilise des couches de sécurité configurables pour protéger votre site web, avec la couverture côté client la plus approfondie grâce à Gatekeeper
Analyse le potentiel de menace des scripts tiers sur votre site web grâce à un scoring de risque amélioré par l'IA
Accélère le travail de conformité grâce à une documentation auto-générée par l'IA couvrant plusieurs référentiels de confidentialité
Envoie des alertes instantanées lorsque les schémas de collecte de données changent
Verrouille les versions de scripts approuvées afin que vous puissiez revenir à une version sûre
Surveille les données auxquelles les scripts accèdent et l'endroit où ces données sont envoyées

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Prévenir les violations du RGPD exige une posture de conformité globale. Le point de départ est de collecter le strict minimum de données nécessaires sur votre site web. Une conformité complète implique de respecter les exigences du RGPD en matière de base légale de collecte, de transparence envers les utilisateurs, de sécurité des données et de respect des droits à la vie privée.

Pour gérer une violation de données dans le cadre du RGPD, vous devez identifier l'incident rapidement, évaluer l'impact sur les utilisateurs concernés et documenter tous les détails. Les autorités de contrôle doivent être notifiées dans les 72 heures suivant la prise de connaissance de la violation, et les utilisateurs concernés doivent être informés en cas de risque élevé, comme l'exposition de données de paiement ou d'identité.

Les violations courantes du RGPD se répartissent en quatre grandes catégories, qui représentent environ 83 % des mesures d'exécution : base légale insuffisante pour le traitement des données, non-conformité aux principes généraux de traitement des données tels que l'absence de limitation des finalités, sécurité technique insuffisante, et non-respect des droits des personnes concernées.

Un site web est conforme au RGPD lorsqu'il ne collecte que les données nécessaires, obtient un consentement valide lorsque cela est requis, et explique clairement le traitement des données aux utilisateurs. Il doit également protéger les données personnelles contre les violations, démontrer un contrôle sur les sous-traitants tiers tels que les scripts, et respecter les droits des utilisateurs, notamment l'accès, la suppression et l'opposition.

Exploiter un site non conforme expose votre entreprise à des amendes, des audits et des avis d'exécution publics, tout en nuisant à la confiance des clients. Les sanctions peuvent aller de petites amendes administratives à plusieurs centaines de millions de dollars. De nombreuses organisations exigent également la conformité au RGPD sur le plan contractuel, de sorte que le non-respect peut entraîner des pertes d'opportunités commerciales.

Un problème de conformité RGPD survient lorsque les pratiques de collecte de données de votre site web, les mécanismes de consentement, les contrôles de sécurité ou la documentation de conformité ne satisfont pas aux exigences du RGPD.

Il s'agit de l'une des catégories de violations du RGPD les plus courantes et elle renvoie généralement à des manquements à l'article 5. Les autorités de contrôle utilisent cette classification lorsque les pratiques globales de traitement des données d'une entreprise sont fondamentalement incompatibles avec les principes du RGPD, même si aucune défaillance technique précise n'est citée.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Meilleures solutions de prévention de la prise de contrôle de compte comparées (2026)

Suites anti-fraude, fingerprinting et MFA comparés par couverture de la chaîne d'attaque ATO. Trouvez la bonne combinaison pour votre profil de risque.

Comment empêcher les agents IA de créer de faux comptes (guide)

Les agents IA créent de faux comptes avec des navigateurs réels, des IP résidentielles et des identités générées. Voici les signaux pour les arrêter.

Comment bloquer les bots de scraping de contenu basés sur des agents IA (Guide)

Les bots de scraping IA utilisent de vrais navigateurs, des IP résidentielles et des LLM pour voler vos données. Voici comment les arrêter.

Bannière sombre cside montrant une attaque de chaîne d'approvisionnement npm de type ver

L'effet boule de neige : comment Mini Shai-Hulud transforme npm en réseau de distribution de ver

Mini Shai-Hulud a transformé des paquets npm en boucle de vol d'identifiants. Voici comment la vague AntV s'est propagée.

Pourquoi les CAPTCHA ne sont plus une défense fiable contre les bots

Les CAPTCHA ne sont plus une défense principale fiable contre les bots. Voyez pourquoi ils échouent et comment augmenter le coût attaquant.

Banniere illustree du blog sur les sanctions contre Funnull, le blanchiment d'infrastructure et le risque de chaine d'approvisionnement dans le navigateur

Funnull sanctionnée : ce que Polyfill[.]io a révélé sur le blanchiment d'infrastructure

Les sanctions visant Funnull montrent que Polyfill relevait d'un risque plus large de blanchiment d'infrastructure.

Illustration du stack de sécurité avec inférence sur appareil

L'inférence sur appareil arrive dans votre stack de sécurité : pour le meilleur et pour le pire

L'IA locale peut protéger les données sensibles et renforcer l'endpoint, mais crée des risques de prompt injection, télémétrie et navigateur.

Couverture sombre cside avec des points sur les outils de détection des agents IA

4 outils pour détecter les agents IA sur votre site web (prévention de la fraude)

Comparaison de cside, HUMAN Security, DataDome et Cloudflare pour la détection des agents IA. Découvrez comment chaque outil gère la prévention de la fraude, les tarifs et l'implémentation.

Couverture sombre cside avec des points sur le blocage des bots de test de carte par IA

Bots de test de carte pilotés par des agents IA | Comment les arrêter

Les agents de test de cartes par IA utilisent de vrais navigateurs pour valider des identifiants volés à grande échelle. Apprenez à les détecter et à les bloquer avant le paiement.

Couverture sombre cside avec des points sur les usages et le blocage des navigateurs furtifs

Qu'est-ce que les navigateurs furtifs (ou « anti-détection ») et quand les bloquer

Les navigateurs furtifs contournent la détection des bots. Les navigateurs anti-détection falsifient les empreintes. Découvrez les signaux qui révèlent les deux, même lorsqu'ils ressemblent à des humains.