EquitIA
Le Journal
Conformité18 Février 2026Temps de lecture : 15 min

RGPD : Le guide de survie ultime pour les agences web.

Vous développez des sites et des apps pour vos clients. Mais qui est responsable du RGPD ? Vous, votre client, les deux ? Ce guide clarifie tout — avec les clauses exactes à inclure dans vos contrats, les erreurs à éviter et les bonnes pratiques 2026.

01

Le RGPD, 8 ans plus tard : où en sont les agences ?

Près de 8 ans après son entrée en application (25 mai 2018), le RGPD reste le sujet juridique le plus mal maîtrisé par les agences web françaises. Selon l'Observatoire du Numérique, 68 % des agences de moins de 20 salariés présentent au moins une non-conformité majeure.

1,5 Md€

Total cumulé des amendes RGPD prononcées par la CNIL depuis 2018

Avec une nette accélération en 2023-2025 (plus de 50 % du total sur cette période).

Un mythe tenace

"Le RGPD, c'est pour les gros." Faux. Le règlement s'applique dès le premier traitement de données personnelles, quelle que soit la taille de l'entreprise. Un auto-entrepreneur avec un formulaire de contact est concerné.

02

Responsable de traitement vs Sous-traitant : la distinction cruciale

C'est la question que la plupart des agences web ignorent — à leurs risques et périls.

Deux rôles, deux régimes juridiques

Responsable de traitement

  • Détermine les finalités du traitement
  • Choisit les moyens techniques
  • C'est en général votre client
  • Responsabilité principale vis-à-vis des personnes
  • Tient le registre principal

Sous-traitant

  • Traite les données pour le compte du responsable
  • C'est vous, l'agence web
  • Agit sur instructions documentées
  • Responsabilité propre depuis 2018 (art. 28)
  • Tient son propre registre de sous-traitance

Pourquoi c'est important ? Parce que l'article 28 du RGPD impose un contrat écrit entre le responsable et le sous-traitant. Sans ce contrat, les deux sont en infraction. Et depuis 2022, la CNIL vérifie systématiquement l'existence et la qualité de ce contrat lors de ses contrôles.

Sanctions

L'amende peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu). Pour une agence de 500 K€ de CA, c'est donc 20 000 € d'amende potentielle par manquement — et plus pour les infractions graves.

03

Les clauses RGPD obligatoires dans vos contrats

L'article 28 du RGPD liste explicitement ce que votre contrat de prestation doit contenir lorsque vous êtes sous-traitant. Ces mentions ne sont pas facultatives — leur absence entraîne la nullité de la prestation au regard du RGPD.

Les 8 mentions obligatoires de l'article 28

  1. 1L'objet et la durée du traitement (qu'est-ce que vous traitez, et pendant combien de temps ?)
  2. 2La nature et la finalité du traitement (hébergement, envoi d'emails, analyse de trafic...)
  3. 3Les catégories de données traitées (noms, emails, adresses IP, données de paiement...)
  4. 4Les catégories de personnes concernées (clients, prospects, salariés du client...)
  5. 5Les mesures techniques et organisationnelles de sécurité (chiffrement, sauvegardes, contrôle d'accès)
  6. 6Le sort des données en fin de contrat (restitution ou suppression, délai, preuve)
  7. 7Les sous-traitants ultérieurs (liste et autorisation du responsable)
  8. 8L'obligation de notification en cas de violation (délai, contenu, procédure)

Clause de sous-traitant ultérieur — modèle

Le Sous-traitant est autorisé à faire appel aux sous-traitants ultérieurs suivants :

  • Amazon Web Services (hébergement — UE, région eu-west-3)
  • SendGrid / Twilio (envoi d'emails transactionnels — DPF certifié)
  • Stripe Payments (traitement des paiements — UE + DPF)

Toute modification de cette liste sera notifiée au Responsable de traitement avec un préavis de 30 jours, avec droit d'objection.
04

Le DPA : le document que personne ne rédige

Le DPA (Data Processing Agreement), ou accord de traitement des données, est l'annexe RGPD de votre contrat de prestation. C'est le document qui formalise votre relation de sous-traitance au sens du RGPD.

80 %

Des agences web françaises n'ont pas de DPA digne de ce nom

Elles se contentent souvent d'une vague mention "conforme RGPD" dans leurs CGV — ce qui est juridiquement insuffisant.

Structure d'un bon DPA

Le DPA doit être un document séparé, annexé au contrat de prestation, et signé par les deux parties. Il doit être mis à jour à chaque changement de sous-traitant ultérieur (migration AWS vers Google Cloud, changement d'outil d'emailing, etc.).

Les composantes standard d'un DPA

  • Définitions (RGPD, RT, ST, données personnelles, violation...)
  • Objet et périmètre du traitement
  • Durée et sort des données
  • Obligations du sous-traitant (sécurité, confidentialité, formation des équipes)
  • Droits des personnes concernées (assistance du ST pour y répondre)
  • Notification des violations (délai, contenu, canaux)
  • Audit et contrôle (droit du RT de contrôler le ST)
  • Transferts internationaux (CCT, DPF, pays adéquats)
  • Liste des sous-traitants ultérieurs autorisés
  • Mesures techniques de sécurité (annexe dédiée)
05

Les 5 erreurs RGPD les plus coûteuses

  1. 1Utiliser Google Analytics sans consentement préalable : la CNIL a mis en demeure plusieurs sites français
  2. 2Formulaires sans base légale claire (consentement, intérêt légitime, exécution contractuelle)
  3. 3Absence de registre des traitements (obligation dès le premier traitement — article 30)
  4. 4Bandeau cookies en "mode décoration" qui ne permet pas de refuser facilement
  5. 5Absence de procédure de notification de violation (72 heures max pour informer la CNIL)

72 h

Délai maximum pour notifier une violation de données à la CNIL

Art. 33 RGPD. Au-delà, la sanction devient quasi-automatique en cas de contrôle.

Les dark patterns sanctionnés

Bouton "Refuser" caché, couleurs trompeuses, continuer la navigation = acceptation. La CNIL a infligé des amendes de 60 à 150 millions d'euros à Google, Amazon et Facebook pour ces pratiques.

À retenir

Les alternatives conformes à Google Analytics existent et fonctionnent très bien : Matomo (auto-hébergé ou cloud européen), Plausible Analytics, Fathom, Simple Analytics. Pas d'excuse pour rester non conforme.

06

Le transfert de données hors UE

Depuis l'invalidation du Privacy Shield par l'arrêt Schrems II (juillet 2020), le transfert de données personnelles vers les États-Unis est encadré par le nouveau cadre de protection des données UE-US Data Privacy Framework (DPF), entré en vigueur en juillet 2023.

Mais attention : ce cadre ne couvre que les entreprises américaines certifiées. Pour votre agence, cela signifie : vérifiez que chaque service américain que vous utilisez (hébergement, email, analytics, CRM) est bien certifié DPF. Si ce n'est pas le cas, vous devez mettre en place des Clauses Contractuelles Types (CCT) ou opter pour un service européen.

Les outils américains les plus utilisés — statut DPF 2026

  • AWS : certifié DPF
  • Google Cloud / Workspace : certifié DPF
  • Microsoft Azure / 365 : certifié DPF
  • Stripe : certifié DPF
  • Mailchimp : certifié DPF
  • Intercom : certifié DPF
  • Zoom : certifié DPF
  • Certains outils de niche : à vérifier sur le site du Department of Commerce

Alternatives européennes recommandées

Hébergeurs : OVH, Scaleway, Hetzner, Infomaniak. Emails : Mailjet, Brevo (ex-Sendinblue). Analytics : Matomo, Plausible. Conferencing : Whereby, LiveStorm. CRM : Sellsy, noCRM.

07

La check-list RGPD 2026 pour votre agence

12 actions prioritaires

  1. 1Cartographier tous vos traitements et ceux de vos clients
  2. 2Tenir un registre des traitements (RT et ST)
  3. 3Signer un DPA avec chaque client pour qui vous traitez des données
  4. 4Lister vos sous-traitants ultérieurs et vérifier leur conformité DPF
  5. 5Mettre à jour votre bandeau cookies (bouton refus = bouton accepter)
  6. 6Désigner un référent RGPD interne (à partir d'environ 10 salariés)
  7. 7Former vos équipes aux bases du RGPD et aux procédures internes
  8. 8Mettre en place une procédure de notification de violation
  9. 9Auditer vos outils tiers (analytics, emailing, CRM, tracking)
  10. 10Préparer les réponses aux demandes d'exercice de droits
  11. 11Rédiger une politique de confidentialité claire et lisible
  12. 12Planifier une revue annuelle de conformité

À retenir

Le RGPD n'est pas un obstacle — c'est un avantage concurrentiel. Les agences qui le maîtrisent rassurent leurs clients et se différencient clairement sur le marché.

En résumé

Le RGPD n'est pas un obstacle — c'est un avantage compétitif. Les agences web qui maîtrisent le sujet rassurent leurs clients, se différencient et évitent les amendes. EquitIA vous aide à générer des contrats de prestation avec DPA intégré, conformes à l'article 28 du RGPD, en quelques minutes — avec un suivi automatique des évolutions réglementaires.

Questions fréquentes

Le RGPD s'applique-t-il aux auto-entrepreneurs ?

+

Oui, le RGPD s'applique à tous les professionnels qui traitent des données personnelles, y compris les auto-entrepreneurs, et ce dès le premier traitement de données. Que vous collectiez des adresses email pour une newsletter, des noms pour de la facturation, ou des données de navigation via votre site web, vous êtes soumis au RGPD. Il n'existe aucun seuil minimum de chiffre d'affaires, de nombre d'employés ou de volume de données qui exempterait un professionnel. L'auto-entrepreneur doit donc tenir un registre des traitements, informer les personnes concernées, sécuriser les données et être en mesure de répondre aux demandes d'exercice de droits (accès, suppression, portabilité).

Qu'est-ce qu'un DPA et est-il obligatoire ?

+

Un DPA (Data Processing Agreement), ou accord de traitement des données, est un contrat obligatoire imposé par l'article 28 du RGPD entre le responsable de traitement (celui qui détermine les finalités du traitement) et le sous-traitant (celui qui traite les données pour son compte). Pour une agence web, le DPA formalise les obligations de chaque partie concernant la protection des données personnelles : types de données traitées, mesures de sécurité, sort des données en fin de contrat, notification des violations. Son absence constitue une infraction au RGPD passible de sanctions par la CNIL. En pratique, le DPA prend la forme d'une annexe au contrat de prestation principal et doit être signé par les deux parties avant le début du traitement.

Quelle est l'amende maximale pour non-conformité RGPD ?

+

L'article 83 du RGPD prévoit deux niveaux de sanctions administratives. Pour les infractions les plus graves (violation des principes de base du traitement, des droits des personnes concernées ou des règles de transfert hors UE), l'amende peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu. Pour les infractions moins graves (manquements aux obligations du responsable de traitement ou du sous-traitant), l'amende peut aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. La CNIL a déjà prononcé des amendes significatives en France, notamment à l'encontre de grandes entreprises technologiques, démontrant que ces sanctions ne sont pas théoriques.

Google Analytics est-il conforme au RGPD ?

+

L'utilisation de Google Analytics pose de sérieux problèmes de conformité au RGPD en raison du transfert de données personnelles (adresses IP, identifiants de cookies) vers les serveurs de Google aux États-Unis. La CNIL a mis en demeure plusieurs sites français utilisant Google Analytics, estimant que les garanties de protection des données étaient insuffisantes malgré le Data Privacy Framework UE-US. Pour les agences web soucieuses de la conformité, les alternatives européennes comme Matomo (auto-hébergé ou en cloud européen) ou Plausible Analytics offrent des fonctionnalités d'analyse de trafic sans transfert de données hors UE. Si vous maintenez Google Analytics, un consentement explicite de l'utilisateur via un bandeau cookies conforme est indispensable.

Combien de temps peut-on conserver les données clients ?

+

Le RGPD impose le principe de limitation de la conservation : les données personnelles ne doivent pas être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées. La CNIL recommande une durée maximale de 3 ans après le dernier contact actif (dernier achat, dernière connexion, dernier clic dans un email) pour les données de prospection commerciale. Pour les données liées à un contrat, elles peuvent être conservées pendant la durée de la relation contractuelle, puis archivées pendant les délais de prescription légaux (5 ans en matière civile, 10 ans en matière comptable). Au-delà de ces durées, les données doivent être supprimées ou anonymisées de manière irréversible.

Continuer la lecture

Freelance

12 Avril 2026

Contrat de prestation : les 5 pièges qui ruinent les freelances.

Propriété Intellectuelle

05 Avril 2026

Comment un simple NDA peut protéger l'avenir de votre startup.