Votre site web comporte 4 pages qui pourraient vous coûter cher. Ont-elles déjà été vérifiées ?

Introduction

Il existe quatre pages sur presque tous les sites web d'entreprise que personne ne vérifie sérieusement : les mentions légales, la politique de confidentialité, la politique de cookies et la configuration du consentement. Elles sont publiées en fin de projet, placées dans le pied de page et rarement retouchées. Dans de nombreuses entreprises, le décideur ne les a même jamais relues. Elles ont été copiées d'un autre site, proviennent d'un modèle ou ont été générées par un outil automatique sans vérifier si elles reflètent ce que le site fait réellement.

Le problème, c'est qu'il ne s'agit pas de remplissage. En 2024, l'AEPD (Agence espagnole de protection des données) a imposé 281 amendes pour un montant total de 35 592 200 €. Le nombre de sanctions a diminué par rapport à 2023, mais le montant total a augmenté de 19 %. Il ne s'agit pas d'une menace théorique réservée aux grandes entreprises technologiques : il s'agit d'un cadre de sanctions actif, stable et de plus en plus technique.

La plupart du temps, le risque ne provient pas d'une infraction majeure exotique. Il provient de quelque chose de beaucoup plus simple : un formulaire qui envoie des données à des tiers sans que la politique ne l'explique, une bannière qui promet le refus mais ne bloque rien, un outil d'analyse installé avant que l'utilisateur ne consente, ou des mentions légales qui identifient mal le véritable titulaire du site.

Le problème n'est pas d'« avoir des textes juridiques ». Le problème, c'est qu'ils correspondent au site réel.

Un site web peut avoir ses pages juridiques publiées et être malgré tout en infraction. C'est d'ailleurs le cas le plus fréquent. Le texte indique que seuls des cookies techniques sont utilisés ; l'implémentation charge des outils d'analyse et des scripts tiers dès la première visite. Le texte indique que les données ne sont pas partagées avec des tiers ; le formulaire déclenche des e-mails, un CRM, des cartes, des polices ou des services externes qui impliquent un traitement. Le texte indique que l'utilisateur peut refuser ; l'interface visuelle le suggère, mais le code ne bloque rien.

Cet écart entre ce que le site déclare et ce qu'il fait réellement est la source du risque. Car la responsabilité ne se mesure pas à la bonne intention du prestataire, mais à la réalité technique du site et à la capacité de l'entreprise à justifier ce qu'elle fait des données de ses utilisateurs.

Mentions légales : ce n'est pas une formalité, c'est une identification obligatoire

Les mentions légales ne sont pas là pour « rassurer ». Elles servent à identifier correctement le prestataire de services. L'article 10 de la LSSI exige que le site web permette un accès permanent, facile, direct et gratuit à des informations telles que le nom ou la dénomination sociale, l'adresse, l'e-mail, les données d'immatriculation, le numéro d'identification fiscale et, le cas échéant, les informations propres aux activités soumises à autorisation ou aux professions réglementées.

Cela importe bien plus qu'il n'y paraît. Dans les groupes d'entreprises, les marques commerciales ou les sites multi-entités, l'une des défaillances les plus courantes est que le site commercialise, capte des prospects ou représente plusieurs entités, mais les mentions légales n'en identifient qu'une seule — de manière confuse ou incomplète. À ce stade, il ne s'agit plus de style ni de rédaction : il s'agit de traçabilité juridique.

De plus, la LSSI ne prévoit pas de sanctions mineures. Les infractions légères peuvent être sanctionnées jusqu'à 30 000 €, les graves de 30 001 à 150 000 € et les très graves de 150 001 à 600 000 €. La loi prévoit même l'interdiction d'activité en Espagne pendant un maximum de deux ans en cas de récidive d'infractions très graves.

Politique de confidentialité : le document qui ne reflète presque jamais la réalité du traitement

La politique de confidentialité ne devrait pas être un texte générique sur « la façon dont nous protégeons vos données ». Elle devrait être une description précise de ce qui se passe sur ce site spécifique. L'article 13 du RGPD impose d'informer, entre autres, de l'identité et des coordonnées du responsable du traitement, des finalités du traitement, de sa base juridique, des destinataires ou catégories de destinataires, des durées de conservation et des droits de la personne concernée.

Le véritable problème est que de nombreux sites possèdent ce document, mais il ne décrit pas ce qui se passe réellement. Il n'explique pas ce qui arrive lorsqu'un utilisateur remplit un formulaire. Il ne mentionne pas si les données transitent par un gestionnaire d'e-mails, un CRM, un outil commercial, un fournisseur d'analyse ou des services tiers impliqués dans le traitement. Il ne précise pas non plus la base juridique de chaque usage ni les durées réelles de conservation.

En pratique, la politique de confidentialité devient souvent un texte décoratif. Et lorsqu'un texte juridique est décoratif, il ne protège plus l'entreprise : il l'expose.

Cookies : là où la plupart des sites échouent, même s'ils pensent que c'est réglé

L'aspect le plus délicat de presque tout site web d'entreprise est la gestion des cookies et du consentement. La LSSI exige d'informer et d'obtenir le consentement pour l'utilisation de dispositifs de stockage et de récupération de données sur les équipements terminaux lorsqu'il ne s'agit pas de cookies exemptés. Et les lignes directrices de l'AEPD sont très claires sur des points qui continuent de poser massivement problème : la simple inactivité ne vaut pas consentement, et l'option de refus doit être proposée sur la même couche, au même niveau et avec la même visibilité que l'option d'acceptation.

Ce n'est pas une question esthétique. Une belle bannière ne suffit pas. Si le bouton de refus est masqué, s'il nécessite davantage de clics, s'il renvoie vers une autre couche, ou si le refus continue de charger des scripts non essentiels, l'implémentation est défaillante même si elle semble visuellement « conforme ».

Et sur ce point, des dossiers très concrets existent déjà. La Mémoire 2024 de l'AEPD met en avant la procédure PS/00524/2023 contre Techpump Solutions, S.L., avec une sanction de 90 000 € pour des déficiences dans la politique de cookies de trois sites web. Dans le même bloc, l'Agence rapporte un autre cas où, bien que l'utilisateur ait tenté de ne pas consentir ou ait retiré son consentement, les cookies continuaient de s'installer.

C'est ce que de nombreuses entreprises ne voient pas : le risque ne réside pas seulement dans le fait d'« avoir des cookies ». Le risque réside dans la façon dont elles se chargent, le moment où elles se chargent et dans le fait que le refus fonctionne réellement.

Toutes les analyses ne relèvent pas de la même catégorie

Il convient ici de faire une nuance importante. Tous les cookies analytiques ne sont pas automatiquement logés à la même enseigne. En janvier 2024, l'AEPD a publié un guide spécifique sur les cookies de mesure d'audience. Elle y admet que certains cookies orientés exclusivement vers la mesure d'audience pourraient être exemptés de consentement, mais uniquement sous des conditions très précises : finalité strictement limitée, utilisation au nom exclusif de l'éditeur, données statistiques anonymes, absence de recoupement avec d'autres traitements, absence de transmission à des tiers et absence de suivi agrégé entre différents sites. Dès que le traitement sort de ce cadre, le consentement redevient nécessaire.

Cela est pertinent car de nombreux sites se retranchent derrière « nous n'utilisons que de l'analyse » sans vérifier ce que fait réellement l'outil configuré. Or, il y a une différence entre une mesure strictement limitée à l'administration du site et une solution qui réutilise les données, croise des identifiants ou participe à des écosystèmes de suivi plus larges.

La défaillance type : le texte promet une chose et le code en exécute une autre

Voici le schéma qui se répète le plus souvent :

• La politique indique qu'il n'y a que des cookies techniques, mais l'en-tête ou le gestionnaire de balises charge des outils d'analyse dès la première visite.
• La politique indique que les données ne sont pas cédées à des tiers, mais le formulaire envoie les informations à des services externes ou les intègre à des outils commerciaux non documentés.
• La bannière indique que l'on peut refuser, mais le refus ne fait que fermer l'interface tandis que les scripts continuent de se déclencher.
• L'entreprise croit que l'hébergement européen résout le problème, mais n'a pas vérifié ce qui se passe avec le CRM, le CDN, les polices, les cartes, les vidéos intégrées ou les fournisseurs externes connectés au site.

C'est à ce stade qu'un projet web cesse d'être uniquement du design et du développement. Car la conformité réelle ne se résout pas en rédigeant un joli texte dans le pied de page. Elle se résout en examinant le comportement effectif du site.

Ce qu'une entreprise devrait exiger de celui qui réalise son site web

Une entreprise ne devrait pas se contenter d'un « nous avons mis les mentions légales et la bannière ». Elle devrait exiger un audit technique sérieux de l'implémentation.

Cela implique, au minimum, d'identifier quels scripts se chargent lors de la première visite, quels cookies s'installent avant le consentement, quels tiers participent aux formulaires, quels services externes reçoivent des données, quels événements se déclenchent depuis le gestionnaire de balises, quels contenus intégrés génèrent un traitement, et si la couche de consentement bloque réellement ce qu'elle prétend bloquer.

La rédaction vient ensuite. Mais d'abord, il faut établir la cartographie technique réelle. Car si la cartographie est erronée, les textes le seront aussi.

Ce qui change en Europe : moins de dispersion normative, pas moins d'exigence

Pendant des années, le débat européen sur les cookies et la vie privée électronique est resté bloqué autour du Règlement ePrivacy. La Commission a annoncé dans son programme de travail 2025 son intention de le retirer et, selon le suivi législatif du Parlement européen, le retrait a été approuvé en juillet 2025 et officiellement annoncé en octobre 2025. Puis, le 19 novembre 2025, la Commission a présenté le Digital Omnibus, une proposition visant à simplifier diverses réglementations numériques et qui inclut des modifications concernant les cookies et le RGPD.

Le point essentiel est le suivant : il s'agit d'une proposition, et non d'une réglementation déjà applicable. Mais elle fixe la direction. Le texte propose d'introduire un nouvel article 88a dans le RGPD pour réguler le stockage ou l'accès aux données personnelles sur les équipements terminaux, en maintenant le consentement comme règle générale avec certains fondements de licéité sans consentement pour des cas spécifiques, et en exigeant un refus facile et compréhensible via un bouton unique ou un moyen équivalent lorsque le traitement repose sur le consentement.

Traduit en termes commerciaux : même si le cadre évolue, personne ne devrait interpréter cela comme un assouplissement. L'approche raisonnable est l'inverse : réexaminer les implémentations anciennes, simplifier ce qui est inutile et cesser de dépendre de bannières qui « semblent correctes » mais ne résisteraient pas à un examen sérieux.

Et une autre couche arrive : l'IA

Si un site web intègre des chatbots, des assistants, des automatisations commerciales ou des systèmes d'IA connectés à des données personnelles, le scénario se complique. L'AI Act est entré en vigueur le 1er août 2024 et sera pleinement applicable le 2 août 2026, avec des exceptions : certaines obligations s'appliquent depuis février 2025, celles relatives aux modèles GPAI depuis août 2025, et certains systèmes à haut risque intégrés dans des produits réglementés bénéficient d'une transition jusqu'en août 2027.

De plus, l'AEPD elle-même a signalé l'IA, les espaces de données et les neurodonnées parmi ses défis prioritaires. Non pas parce que tous les sites web traiteront des neurodonnées demain, mais parce que la direction réglementaire est claire : davantage de concentration sur les technologies émergentes, davantage de supervision et davantage d'attention à l'impact réel sur les droits des personnes.

Conclusion

Les pages juridiques d'un site web ne sont pas un appendice. Elles font partie de son architecture réelle. Et lorsqu'elles sont défaillantes, elles ne posent pas seulement un problème juridique : elles posent également un problème technique, réputationnel et opérationnel.

Un site web peut capter des prospects et rester exposé. Il peut paraître impeccable tout en chargeant des outils prématurément, en documentant mal ses traitements ou en promettant des options de refus qui ne fonctionnent pas. C'est le type de problème le plus fréquent : non pas l'absence totale de textes, mais la distance entre ce que les textes disent et ce que le site exécute.

La bonne question n'est pas de savoir si votre entreprise « a une politique de confidentialité » ou « a une bannière de cookies ». La bonne question est tout autre :