EquitIA
Le Journal
Conformité18 Février 202610 min de lecture

RGPD : Le guide de survie ultime pour les agences web.

Vous développez des sites et des apps pour vos clients. Mais qui est responsable du RGPD ? Vous, votre client, les deux ? Ce guide clarifie tout — avec les clauses exactes à inclure dans vos contrats.

01Responsable de traitement vs Sous-traitant : la distinction cruciale

C'est LA question que la plupart des agences web ignorent — à leurs risques et périls.

Le responsable de traitement est celui qui détermine les finalités et les moyens du traitement des données. En général, c'est votre client — l'entreprise qui possède le site.

Le sous-traitant est celui qui traite les données pour le compte du responsable. C'est vous, l'agence web, quand vous gérez l'hébergement, les newsletters, les analytics, la base de données clients.

Pourquoi c'est important ? Parce que l'article 28 du RGPD impose un contrat écrit entre le responsable et le sous-traitant. Sans ce contrat, les deux sont en infraction. L'amende peut atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial.

02Les clauses RGPD obligatoires dans vos contrats

L'article 28 du RGPD liste explicitement ce que votre contrat de prestation doit contenir :

L'objet et la durée du traitement — Quelles données traitez-vous et pendant combien de temps ? • La nature et la finalité — Hébergement, envoi d'emails, analyse de trafic... • Les catégories de données — Noms, emails, adresses IP, données de paiement... • Les mesures de sécurité — Chiffrement, sauvegardes, contrôle d'accès, procédure en cas de violation. • Le sort des données en fin de contrat — Restitution ou suppression, dans quel délai ? • Les sous-traitants ultérieurs — Si vous utilisez AWS, Mailchimp, ou tout autre service tiers, vous devez le lister et obtenir l'autorisation du client.

03Le DPA : le document que personne ne rédige

Le DPA (Data Processing Agreement) est l'annexe RGPD de votre contrat de prestation. C'est le document qui formalise votre relation de sous-traitance au sens du RGPD.

Dans la pratique, 80% des agences web françaises n'ont pas de DPA. Elles se contentent d'une vague mention "conformité RGPD" dans leurs CGV. C'est insuffisant.

Le DPA doit être un document séparé, annexé au contrat de prestation, et signé par les deux parties. Il doit être mis à jour à chaque changement de sous-traitant ultérieur (par exemple, si vous migrez d'AWS vers Google Cloud).

04Les 5 erreurs RGPD des agences web

1. Utiliser Google Analytics sans consentement — La CNIL a été claire : Google Analytics transfère des données vers les États-Unis. Sans consentement explicite de l'utilisateur, c'est une violation du RGPD. Alternatives conformes : Matomo, Plausible.

2. Les formulaires sans base légale — Chaque formulaire de contact, newsletter, ou devis doit avoir une base légale (consentement, intérêt légitime, exécution d'un contrat). "On collecte et on verra" n'est pas une base légale.

3. Pas de registre des traitements — L'article 30 du RGPD impose de tenir un registre de tous les traitements de données. C'est obligatoire dès le premier employé.

4. Le bandeau cookies en mode décoration — Un bandeau qui ne permet pas de refuser facilement les cookies est non conforme. La CNIL a infligé des amendes de 60 à 150 millions d'euros pour des dark patterns de cookies.

5. Pas de procédure de notification de violation — En cas de fuite de données, vous avez 72 heures pour notifier la CNIL (article 33 du RGPD). Sans procédure préétablie, c'est impossible à respecter.

05Le transfert de données hors UE

Depuis l'invalidation du Privacy Shield (arrêt Schrems II), le transfert de données personnelles vers les États-Unis est encadré par le nouveau cadre de protection des données UE-US (Data Privacy Framework). Mais attention : ce cadre ne couvre que les entreprises américaines certifiées.

Pour votre agence, cela signifie : vérifiez que chaque service américain que vous utilisez (hébergement, email, analytics, CRM) est certifié DPF. Si ce n'est pas le cas, vous devez mettre en place des Clauses Contractuelles Types (CCT) ou opter pour un service européen.

Notre recommandation : privilégiez les hébergeurs européens (OVH, Scaleway, Hetzner) et les outils conformes RGPD par design.

En résumé

Le RGPD n'est pas un obstacle — c'est un avantage compétitif. Les agences web qui maîtrisent le sujet rassurent leurs clients et se différencient. EquitIA vous aide à générer des contrats de prestation avec DPA intégré, conformes à l'article 28 du RGPD, en quelques minutes.

Questions fréquentes

Le RGPD s'applique-t-il aux auto-entrepreneurs ?

+

Oui, le RGPD s'applique à tous les professionnels qui traitent des données personnelles, y compris les auto-entrepreneurs, et ce dès le premier traitement de données. Que vous collectiez des adresses email pour une newsletter, des noms pour de la facturation, ou des données de navigation via votre site web, vous êtes soumis au RGPD. Il n'existe aucun seuil minimum de chiffre d'affaires, de nombre d'employés ou de volume de données qui exempterait un professionnel. L'auto-entrepreneur doit donc tenir un registre des traitements, informer les personnes concernées, sécuriser les données et être en mesure de répondre aux demandes d'exercice de droits (accès, suppression, portabilité).

Qu'est-ce qu'un DPA et est-il obligatoire ?

+

Un DPA (Data Processing Agreement), ou accord de traitement des données, est un contrat obligatoire imposé par l'article 28 du RGPD entre le responsable de traitement (celui qui détermine les finalités du traitement) et le sous-traitant (celui qui traite les données pour son compte). Pour une agence web, le DPA formalise les obligations de chaque partie concernant la protection des données personnelles : types de données traitées, mesures de sécurité, sort des données en fin de contrat, notification des violations. Son absence constitue une infraction au RGPD passible de sanctions par la CNIL. En pratique, le DPA prend la forme d'une annexe au contrat de prestation principal et doit être signé par les deux parties avant le début du traitement.

Quelle est l'amende maximale pour non-conformité RGPD ?

+

L'article 83 du RGPD prévoit deux niveaux de sanctions administratives. Pour les infractions les plus graves (violation des principes de base du traitement, des droits des personnes concernées ou des règles de transfert hors UE), l'amende peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu. Pour les infractions moins graves (manquements aux obligations du responsable de traitement ou du sous-traitant), l'amende peut aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. La CNIL a déjà prononcé des amendes significatives en France, notamment à l'encontre de grandes entreprises technologiques, démontrant que ces sanctions ne sont pas théoriques.

Google Analytics est-il conforme au RGPD ?

+

L'utilisation de Google Analytics pose de sérieux problèmes de conformité au RGPD en raison du transfert de données personnelles (adresses IP, identifiants de cookies) vers les serveurs de Google aux États-Unis. La CNIL a mis en demeure plusieurs sites français utilisant Google Analytics, estimant que les garanties de protection des données étaient insuffisantes malgré le Data Privacy Framework UE-US. Pour les agences web soucieuses de la conformité, les alternatives européennes comme Matomo (auto-hébergé ou en cloud européen) ou Plausible Analytics offrent des fonctionnalités d'analyse de trafic sans transfert de données hors UE. Si vous maintenez Google Analytics, un consentement explicite de l'utilisateur via un bandeau cookies conforme est indispensable.

Combien de temps peut-on conserver les données clients ?

+

Le RGPD impose le principe de limitation de la conservation : les données personnelles ne doivent pas être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées. La CNIL recommande une durée maximale de 3 ans après le dernier contact actif (dernier achat, dernière connexion, dernier clic dans un email) pour les données de prospection commerciale. Pour les données liées à un contrat, elles peuvent être conservées pendant la durée de la relation contractuelle, puis archivées pendant les délais de prescription légaux (5 ans en matière civile, 10 ans en matière comptable). Au-delà de ces durées, les données doivent être supprimées ou anonymisées de manière irréversible.

Continuer la lecture

Freelance

12 Avril 2026

Contrat de prestation : les 5 pièges qui ruinent les freelances.

Propriété Intellectuelle

05 Avril 2026

Comment un simple NDA peut protéger l'avenir de votre startup.