Conformité RGPD & cookies des sites Joomla en Europe

Le Règlement général sur la protection des données n'a rien d'optionnel pour un site qui s'adresse à des visiteurs européens. Pourtant, la plupart des sites Joomla sont loin d'une conformité réelle : ils se contentent d'un simple bandeau de cookies tout en ignorant la journalisation du consentement, la classification des cookies, les droits des personnes concernées et les mesures techniques que le règlement exige effectivement.

Installer un plugin de cookies gratuit, ce n'est pas être conforme au RGPD. C'est le début de la conformité, et souvent un début insuffisant. Une véritable conformité suppose un blocage effectif des cookies avant consentement, des catégories de consentement granulaires, un registre des consentements, l'intégration de Google Consent Mode v2, une politique de confidentialité complète, le traitement des demandes d'accès des personnes concernées, et un suivi continu à mesure que votre site et le cadre réglementaire évoluent.

Nous mettons en place et surveillons la conformité RGPD spécifiquement pour les sites Joomla, afin que votre site respecte ses obligations légales dans l'ensemble des États membres de l'UE.

Obtenez un diagnostic RGPD gratuit →

RGPD et ePrivacy : deux textes, un seul site

Les propriétaires de sites parlent souvent de « cookies RGPD », mais le consentement aux cookies se situe en réalité à la croisée de deux textes européens distincts. Saisir la différence a son importance, car chacun impose des obligations différentes à votre site Joomla.

La directive ePrivacy (transposée en droit national dans chaque État membre) régit le fait de stocker ou de lire une information sur l'appareil d'un visiteur. C'est elle qui impose un consentement avant le dépôt de cookies non essentiels, que ces cookies contiennent ou non des données personnelles. Elle s'applique aussi bien aux cookies qu'au localStorage, aux techniques d'empreinte numérique (fingerprinting) et aux pixels de suivi.

Le RGPD, lui, encadre ce qu'il advient des données personnelles une fois collectées : la base légale du traitement, la durée de conservation, les destinataires, la sécurité et les droits des personnes auxquelles ces données appartiennent. Dès qu'un cookie, un formulaire ou un script d'analytics traite un élément permettant d'identifier une personne (y compris une adresse IP ou un identifiant unique), le RGPD vient s'ajouter aux règles ePrivacy.

Un site Joomla conforme doit donc gérer les deux couches : le consentement avant tout stockage (ePrivacy) et un traitement licite, transparent et documenté ensuite (RGPD). Un bandeau de cookies seul ne couvre, au mieux, que la moitié de la première couche.

Ce que la conformité RGPD exige réellement

Un consentement aux cookies qui fonctionne vraiment

En vertu du RGPD et de la directive ePrivacy, votre site doit bloquer les cookies non essentiels (analytics, marketing et cookies tiers compris) tant que le visiteur n'a pas donné un consentement explicite. Beaucoup de bandeaux installés sur des sites Joomla échouent à ce test élémentaire : ils affichent un avis mais n'empêchent pas réellement le dépôt des cookies. Ce n'est pas un consentement, c'est une simple information, et cela ne satisfait pas l'exigence légale.

Nous déployons des solutions de gestion du consentement qui bloquent réellement les cookies et les scripts de suivi avant tout consentement, classent les cookies en catégories clairement définies (nécessaires, fonctionnels, analytics, marketing), permettent au visiteur d'accepter ou de refuser chaque catégorie avec la même facilité, et libèrent les ressources sans recharger toute la page une fois le consentement donné.

Point tout aussi essentiel : refuser doit être aussi simple qu'accepter. Les autorités de contrôle dans toute l'UE l'ont clairement établi : un bandeau doté d'un bouton « Tout accepter » bien visible et d'une option « Refuser » reléguée derrière un lien de paramètres ne produit pas un consentement valable. Un consentement obtenu par des artifices d'interface n'est pas un consentement.

Google Consent Mode v2

Google impose aux sites qui utilisent Google Ads ou Google Analytics de mettre en œuvre Consent Mode v2. Ce dispositif transmet aux services Google le statut de consentement de vos visiteurs et adapte en conséquence la collecte de données. Sans une implémentation correcte de Consent Mode v2, la mesure de conversion de vos campagnes Google Ads et vos données Analytics peuvent être lourdement affectées, et les fonctionnalités d'audience pour le trafic de l'EEE cessent purement et simplement de fonctionner.

Nous configurons Consent Mode v2 dans le cadre de chaque mise en conformité RGPD, afin que vos services Google fonctionnent correctement à l'intérieur du dispositif de consentement : les signaux de consentement se déclenchent avant le chargement des balises Google, l'état par défaut est « refusé » pour les visiteurs de l'EEE, et les mises à jour se propagent correctement quand un visiteur modifie ses préférences.

Une base légale pour chaque traitement

Chaque donnée personnelle traitée par votre site doit reposer sur une base légale documentée au titre de l'article 6 : consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public ou intérêt légitime. En pratique, pour la plupart des sites Joomla professionnels, cela signifie : le consentement pour les cookies d'analytics et de marketing, le contrat ou l'intérêt légitime pour les formulaires de contact et la création de compte, et l'obligation légale pour les données de facturation.

« On n'y avait jamais pensé » est la base légale la plus fréquente que nous rencontrons lors des audits, et elle ne fait pas partie des six. Notre intervention comprend un inventaire des traitements tout simple : quelles données le site collecte, où, pourquoi, sur quelle base et pour combien de temps. Pour la plupart des PME, ce document constitue aussi le socle du registre des activités de traitement prévu à l'article 30.

Registre des consentements

Le RGPD exige que vous puissiez démontrer que le consentement a bien été recueilli. Cela suppose de conserver un journal indiquant quand chaque visiteur a consenti, à quoi il a consenti, et quelle version de votre texte de consentement et de votre politique de confidentialité était en vigueur à ce moment-là. Si une autorité de protection des données demande une preuve du consentement, vous devez pouvoir la fournir. Un bandeau sans journal de consentement vous laisse incapable de prouver la seule chose que le règlement vous demande de prouver.

Politique de confidentialité

Votre politique de confidentialité doit décrire avec exactitude chaque type de données personnelles collectées par votre site, la base légale du traitement, la durée de conservation, les destinataires (y compris les sous-traitants tels que votre hébergeur, votre service de messagerie et votre prestataire d'analytics), le fait que les données quittent ou non l'UE, et la manière dont les personnes concernées peuvent exercer leurs droits. Un modèle générique ne suffit pas : votre politique de confidentialité doit refléter vos traitements réels, et être mise à jour dès que ces traitements changent.

Demandes d'accès des personnes concernées

En vertu du RGPD, toute personne a le droit de demander l'accès à ses données personnelles, leur effacement (le « droit à l'oubli »), ainsi que leur rectification ou leur portabilité. Vous disposez en général d'un mois pour répondre. Votre site Joomla doit disposer de mécanismes pour traiter ces demandes : Joomla 5 et 6 intègrent des outils de confidentialité natifs qui le permettent, mais ils doivent être correctement configurés et peuvent nécessiter des extensions selon votre installation, en particulier lorsque des composants tiers stockent des données utilisateur dans leurs propres tables.

Préparation à la notification de violation

Si des données personnelles présentes sur votre site sont compromises — par un piratage, une fuite de base de données ou un formulaire mal configuré — l'article 33 vous accorde 72 heures pour notifier votre autorité de contrôle à compter du moment où vous en avez connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les personnes concernées. Soixante-douze heures, c'est très peu si vous n'avez ni plan, ni journaux, ni la moindre idée des données détenues par le site. La conformité, c'est aussi être prêt pour le mauvais jour : savoir ce que vous stockez, conserver des journaux permettant de reconstituer les événements, et disposer d'un contact compétent. (Si vous lisez ces lignes parce que le mauvais jour est déjà arrivé, notre service d'urgence de récupération de site piraté inclut l'évaluation de la violation et l'aide à sa documentation.)

Où les sites Joomla collectent réellement des données personnelles

Lors des audits, les propriétaires de sites sont régulièrement surpris par le nombre d'endroits où leur « simple site vitrine » traite des données personnelles. Les suspects habituels sur un site Joomla :

  • Formulaires de contact et de devis — noms, e-mails, numéros de téléphone, et souvent des champs libres où les visiteurs en disent bien plus. Où vont ces messages, qui les reçoit, et combien de temps restent-ils dans la base de données et dans les boîtes mail ?
  • Inscription et connexion des utilisateurs — comptes, profils et mots de passe, plus tout ce qu'ajoutent par-dessus les extensions tierces de communauté ou d'adhésion.
  • Inscriptions à la newsletter — généralement synchronisées avec une plateforme d'e-mailing externe, ce qui en fait un sous-traitant à mentionner dans votre politique de confidentialité et à encadrer par un contrat de sous-traitance.
  • Analytics et gestionnaires de balises — Google Analytics, Matomo, outils de heatmap, pixels de conversion. Les adresses IP et les identifiants en ligne sont des données personnelles.
  • Contenus tiers intégrés — vidéos YouTube, Google Maps, widgets de réseaux sociaux et polices hébergées à l'extérieur peuvent transmettre l'adresse IP du visiteur à des tiers dès le chargement de la page, avant tout consentement. Chaque intégration doit être soit conditionnée au consentement, soit remplacée par une alternative respectueuse de la vie privée (polices locales, façades de vidéo en click-to-load).
  • Journaux serveur et extensions de sécurité — journaux d'accès, enregistrements de connexions échouées et journaux de pare-feu contiennent tous des adresses IP. Leur conservation est légitime, mais elle suppose une durée de conservation et une mention dans votre politique.
  • E-commerce et paiements — données de commande, adresses et intégrations de prestataires de paiement entraînent des obligations et des contrats supplémentaires.

Joomla lui-même est livré avec des briques utiles : le composant de confidentialité (com_privacy) pour gérer les demandes d'accès et d'effacement, le journal des actions utilisateur, et des champs de consentement à l'inscription. Ces outils natifs constituent un véritable atout par rapport à beaucoup d'autres plateformes, mais ils couvrent le cœur de Joomla, pas les extensions tierces où se déroule l'essentiel des traitements réels. Notre intervention cartographie chaque extension de votre site qui touche à des données personnelles et s'assure que chacune est soit couverte, soit conditionnée au consentement, soit supprimée.

Pourquoi les plugins gratuits ne suffisent pas

Les plugins gratuits de consentement aux cookies pour Joomla traitent la couche visible : le bandeau que voient les visiteurs. En règle générale, ils n'offrent ni une classification et un blocage adéquats des cookies, ni la journalisation du consentement à valeur de preuve, ni l'intégration de Consent Mode v2, ni des règles de consentement basées sur la géolocalisation (les exigences varient d'un pays de l'UE à l'autre), ni un suivi continu au fil des évolutions de votre site, ni des mises à jour quand la réglementation change.

La conformité n'est pas une installation ponctuelle. C'est un processus continu. Votre site évolue : de nouvelles extensions sont ajoutées, des scripts tiers sont intégrés, des formulaires sont créés. Chaque changement peut introduire un nouveau traitement qui doit se refléter dans votre mécanisme de consentement et votre politique de confidentialité. Un bandeau configuré une fois en 2023 et jamais revu est presque certainement en décalage avec ce que le site fait réellement aujourd'hui.

Hébergement, transferts de données et pourquoi l'emplacement du serveur compte

Le RGPD encadre strictement les transferts de données personnelles en dehors de l'Espace économique européen. Depuis l'arrêt Schrems II qui a invalidé l'ancien cadre du Privacy Shield, les transferts vers des prestataires établis aux États-Unis exigent des garanties supplémentaires, et le terrain juridique n'a cessé de bouger à chaque cadre successif et à chaque contestation. Pour un site professionnel, le moyen le plus simple d'écarter tout ce problème est de garder les données en Europe dès le départ.

C'est l'une des raisons pour lesquelles notre hébergement Joomla infogéré fonctionne exclusivement sur des serveurs européens, sous juridiction de l'UE, avec des sauvegardes hébergées dans l'UE. Les données de vos visiteurs, les soumissions de formulaires et les journaux de consentement restent au sein de l'EEE. Lorsque votre infrastructure inclut malgré tout des sous-traitants hors UE — une plateforme d'e-mailing américaine, par exemple — nous veillons à ce que le mécanisme de transfert et la mention dans la politique de confidentialité soient bien en place.

Nos services RGPD

Mise en place initiale

Nous auditons les traitements de données actuels de votre site Joomla, déployons une véritable plateforme de gestion du consentement, configurons la classification et le blocage des cookies, mettons en place Google Consent Mode v2, rédigeons ou révisons votre politique de confidentialité et votre politique de cookies, configurons le traitement des demandes des personnes concernées via les outils de confidentialité de Joomla, construisons votre inventaire des traitements, et testons l'ensemble de l'implémentation sur tous les navigateurs et appareils, en vérifiant notamment que rien ne se déclenche avant le consentement.

Suivi continu

Nous surveillons l'apparition de nouveaux cookies ou scripts de suivi introduits par des mises à jour d'extensions ou des changements de contenu, vérifions que les mécanismes de consentement continuent de fonctionner correctement, mettons à jour la configuration du consentement à chaque nouvelle extension installée, révisons et actualisons le texte de la politique de confidentialité à mesure que vos traitements évoluent, vous accompagnons quand les exigences réglementaires changent, et tenons à jour le registre des consentements.

Le suivi continu est disponible comme service indépendant ou intégré à nos offres de maintenance Professional et Enterprise.

Ce que vous recevez

Chaque mise en place s'achève par une documentation que vous pouvez réellement remettre à une autorité, à un client ou à votre propre avocat : l'inventaire des traitements, la configuration du consentement et sa justification, le tableau de classification des cookies, et les documents de politique. Une conformité que vous ne pouvez pas démontrer est une conformité que vous n'avez pas.

Exigences propres à chaque pays

Si le RGPD fournit le cadre commun à toute l'UE, les États membres et leurs autorités de contrôle ont développé des exigences et des priorités d'application supplémentaires qui influent sur la manière dont le consentement doit être recueilli et démontré. Par exemple :

  • Allemagne : le TTDSG (désormais TDDDG) transpose les règles ePrivacy en droit national, et la jurisprudence allemande — notamment l'arrêt Planet49 du Bundesgerichtshof — exige un consentement explicite par opt-in, sans case précochée. L'interprétation allemande du consentement aux cookies est parmi les plus strictes de l'UE, et les concurrents et associations de consommateurs allemands peuvent adresser des mises en demeure formelles (Abmahnungen) à propos de sites non conformes.
  • France : la CNIL a publié des lignes directrices détaillées sur les bandeaux de consentement aux cookies, dont l'exigence que refuser les cookies soit aussi simple que les accepter, et elle l'a appuyée par certaines des plus lourdes amendes liées aux cookies prononcées en Europe.
  • Italie : le Garante per la protezione dei dati personali impose des formats spécifiques de divulgation des cookies et a publié ses propres recommandations sur les outils d'analytics et le consentement.
  • Espagne : l'AEPD est l'une des autorités les plus prolifiques de l'UE par le nombre de décisions, avec des recommandations sur les cookies régulièrement actualisées.
  • Pays-Bas : l'Autoriteit Persoonsgegevens se concentre activement sur la conformité du consentement aux cookies et a annoncé publiquement des campagnes de contrôle des bandeaux de cookies.
  • Irlande : la DPC est l'autorité chef de file pour de nombreuses plateformes technologiques mondiales, et ses décisions façonnent l'interprétation des règles de consentement et de transparence pour tous les autres.

Nous configurons des mises en place du consentement qui satisfont aux exigences des pays de l'UE précisément visés par votre site. Notre Guide de conformité UE détaille davantage les exigences propres à chaque pays.

Le coût d'une erreur

Le RGPD prévoit deux niveaux d'amendes administratives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour des manquements tels que des registres ou des mesures de sécurité insuffisants, et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires pour les violations des principes fondamentaux du traitement, des règles de consentement et des droits des personnes concernées — le montant le plus élevé étant retenu dans chaque cas.

Les sanctions les plus médiatisées ont atteint des centaines de millions d'euros à l'encontre de grandes plateformes, et le consentement aux cookies en particulier a donné lieu à des amendes à huit et neuf chiffres infligées par la CNIL française aux plus grandes entreprises technologiques. Les PME ne sont pas sanctionnées à cette échelle, mais elles le sont, sont averties et se voient ordonner de changer leurs pratiques par des autorités partout dans l'UE chaque mois ; et dans plusieurs États membres, un bandeau de cookies non conforme suffit à déclencher la plainte d'un concurrent ou, en Allemagne, une mise en demeure formelle assortie de frais juridiques.

Les coûts commerciaux arrivent avant les coûts réglementaires : les clients grands comptes auditent de plus en plus les sites de leurs fournisseurs avant de signer, les appels d'offres publics exigent une conformité démontrable, et les visiteurs soucieux de leur vie privée s'en vont, tout simplement. Une expérience de consentement visiblement défaillante envoie un signal de négligence précisément aux clients que vous redoutez le plus de perdre.

Une feuille de route concrète vers la conformité

Si vous voulez comprendre à quoi ressemble réellement le travail, voici la séquence que nous suivons sur chaque projet RGPD Joomla :

  1. Inventaire — exploration et audit du site : chaque cookie, script, formulaire, extension et connexion tierce qui touche à des données personnelles.
  2. Décision — pour chaque traitement : le conserver (et sur quelle base légale), le conditionner au consentement, le remplacer par une alternative respectueuse de la vie privée, ou le supprimer.
  3. Mise en place du consentement — déploiement de la plateforme de consentement, classification des cookies, blocage de tout ce qui n'est pas essentiel avant consentement, intégration de Consent Mode v2 et connexion du journal de consentement.
  4. Documentation — politique de confidentialité, politique de cookies, registre des traitements et contrats de sous-traitance mis en cohérence avec la réalité.
  5. Mise en place du traitement des droits — configuration du flux de demandes de confidentialité de Joomla pour que les demandes d'accès et d'effacement puissent être traitées dans les délais.
  6. Tests — vérification, avec des profils de navigateur vierges, que rien ne se déclenche avant le consentement, que le refus refuse réellement, et que les préférences sont correctement conservées.
  7. Surveillance — nouvelle analyse à intervalles réguliers et après chaque changement d'extension ou de contenu susceptible d'introduire un nouveau traitement.

Les étapes une à six constituent le projet de mise en place. L'étape sept explique pourquoi la conformité relève d'une relation de maintenance plutôt que d'une facture unique.

Idées reçues entendues lors des audits

« On a un bandeau de cookies, donc on est conformes. » Le bandeau, c'est les 10 % visibles. Les scripts sont-ils réellement bloqués avant consentement, le consentement est-il journalisé, la politique correspond-elle à la réalité, et les demandes de droits peuvent-elles être traitées ? Voilà les 90 % restants, et c'est là que les audits échouent.

« On est trop petits pour intéresser qui que ce soit. » Les sanctions contre les petites entreprises existent bel et bien et commencent généralement par une plainte — d'un visiteur, d'un ancien salarié ou d'un concurrent. En Allemagne notamment, les concurrents s'appuient activement sur les sites non conformes pour adresser des mises en demeure formelles. Les petites entreprises sont aussi les moins armées pour absorber les frais juridiques quand cela arrive.

« Notre agence web s'en est occupée à la création du site. » Peut-être, pour le site tel qu'il était le jour du lancement. Chaque extension installée, chaque script intégré et chaque formulaire ajouté depuis a modifié le paysage des traitements. La conformité se dégrade ; c'est précisément pour cela que le suivi existe.

« Le RGPD, c'est le problème du navigateur du visiteur : il n'a qu'à bloquer les cookies. » L'obligation légale pèse sur l'exploitant du site, un point c'est tout. Ce que les visiteurs pourraient théoriquement faire pour se protéger n'a aucune incidence sur ce que vous, vous êtes tenu de faire.

« On ne vise que des clients dans notre propre pays, donc les règles des autres pays ne s'appliquent pas. » Le RGPD s'applique de manière uniforme dans tout l'EEE, et votre dispositif de consentement doit satisfaire l'autorité de contrôle du pays où vous êtes établi — plus, en pratique, les attentes de tout État membre que vous ciblez visiblement. Un site disponible en trois langues affirme quelque chose sur ceux qu'il vise.

Questions fréquentes

Dois-je être conforme au RGPD si mon entreprise est hors de l'UE ?

Si votre site est accessible aux résidents de l'UE et que vous leur proposez des biens ou des services, ou que vous suivez leur comportement (par le biais de l'analytics, par exemple), le RGPD s'applique à vous, quel que soit le lieu d'implantation de votre entreprise.

Quelles sont les sanctions en cas de non-conformité ?

Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu, pour les manquements les plus graves, avec un niveau inférieur de 10 millions d'euros ou 2 % pour les autres. En pratique, les amendes pour violation du consentement aux cookies vont de quelques milliers à plusieurs centaines de millions d'euros selon la taille de l'organisation, la gravité et l'approche de chaque État membre en matière d'application.

Combien de temps prend une mise en conformité RGPD ?

La mise en place initiale pour un site Joomla standard prend généralement une à deux semaines, audit, configuration, rédaction des politiques et tests compris. Les sites complexes comportant plusieurs formulaires, des intégrations tierces et l'inscription des utilisateurs peuvent demander davantage de temps.

Puis-je simplement utiliser l'analytics sans bandeau de cookies ?

Parfois. Un outil d'analytics axé sur la vie privée, configuré pour fonctionner sans cookies et sans traiter de données identifiables, peut, dans plusieurs États membres, fonctionner sans bandeau de consentement — même si les recommandations nationales diffèrent. Pour beaucoup de sites de petites entreprises, passer à un analytics sans cookies est le moyen le plus simple d'obtenir un site honnête et quasiment sans bandeau. Nous vous conseillons selon les pays que vous visez et vos besoins de reporting.

Un petit site a-t-il vraiment besoin de tout cela ?

Les obligations s'échelonnent en fonction de vos traitements, pas de votre chiffre d'affaires. Un site de cinq pages avec un seul formulaire de contact et sans analytics a besoin de très peu : une politique exacte, un formulaire sécurisé, et aucun script tiers chargé avant consentement. L'audit vous dit dans quel niveau vous vous situez — beaucoup de petits sites découvrent qu'ils ont besoin de moins qu'ils ne le craignaient, mais à des endroits différents de ceux qu'ils imaginaient.

Pouvez-vous rendre mon site Joomla 3 conforme au RGPD ?

Nous pouvons améliorer la conformité RGPD d'un site Joomla 3, mais une conformité réelle sur une plateforme non maintenue et non corrigée est fondamentalement compromise. Faire tourner un logiciel sans correctifs de sécurité est difficile à défendre comme « mesure technique appropriée » au sens de l'article 32. Nous recommandons de migrer d'abord vers Joomla 5 ou Joomla 6, puis de mettre en place la conformité RGPD sur la plateforme sécurisée et maintenue.

À quelle fréquence faut-il réviser la conformité ?

Chaque fois que le site évolue d'une manière qui affecte les traitements de données — un nouveau formulaire, une extension ou un service intégré — et, à défaut, au moins une fois par an, car les recommandations des autorités de contrôle et les exigences de plateformes comme Google évoluent en permanence. C'est exactement ce que couvre notre suivi continu.

Commencez par un diagnostic de conformité RGPD

Notre audit de site gratuit inclut une évaluation de la conformité RGPD : nous vérifions votre gestion actuelle des cookies, votre mécanisme de consentement, votre politique de confidentialité et les indicateurs de traitement de données. Vous recevez un rapport clair indiquant où en est votre site Joomla et ce qui doit changer.

Obtenez votre diagnostic RGPD gratuit →

Ces sujets peuvent aussi vous intéresser