Loi 25 pour PME : 10 erreurs courantes
Voici un checklist rapide pour sécuriser votre site (bannière cookies, politique FR/EN, registre des sous-traitants) et gagner en crédibilité…
1) Pas de bannière cookie fonctionnelle
Beaucoup de PME ont une bannière cookie qui s'affiche mais qui ne bloque pas réellement les scripts tiers avant consentement. La Loi 25 exige un consentement explicite et granulaire. Vérifiez que Google Analytics, les pixels publicitaires et autres outils de tracking ne se chargent qu'après acceptation.
2) Politique de confidentialité absente ou incomplète
Votre politique doit être accessible, en français (et en anglais si vous servez des clients anglophones), et mentionner tous les sous-traitants qui traitent des données (Vercel, Google Analytics, Cal.com, etc.). Incluez aussi un mécanisme de demande d'accès/suppression sous 30 jours.
3) Pas de registre des sous-traitants
La Loi 25 exige de documenter tous les tiers qui accèdent à vos données. Créez une liste claire avec le nom du service, la finalité, les données traitées et la localisation des serveurs.
4) Consentement non documenté
Vous devez pouvoir prouver quand et comment un utilisateur a consenti. Conservez les logs de consentement avec timestamp et préférences choisies.
5) Pas de mécanisme de suppression
Les utilisateurs doivent pouvoir demander l'accès, la rectification ou la suppression de leurs données sous 30 jours. Créez un formulaire simple accessible depuis votre politique de confidentialité.
6) Données collectées sans finalité claire
Chaque donnée collectée doit avoir une finalité légitime et documentée. Évitez de collecter des informations "au cas où" sans justification.
7) Transferts internationaux non documentés
Si vous utilisez des services hébergés aux États-Unis ou en Europe, documentez ces transferts et assurez-vous que les contrats incluent des clauses de protection des données.
8) Pas de politique de conservation
Définissez combien de temps vous conservez les données et pourquoi. La Loi 25 exige de ne garder que ce qui est nécessaire.
9) Absence de responsable de la protection des données
Désignez une personne responsable (RPD) et affichez ses coordonnées dans votre politique. Pour les PME, c'est souvent le fondateur ou le responsable IT.
10) Pas de formation de l'équipe
Assurez-vous que votre équipe comprend les enjeux de la Loi 25 et sait comment gérer les demandes d'accès/suppression. Documentez vos procédures internes.
Besoin d'aide pour rendre votre site conforme ?
Contactez-nous pour un diagnostic gratuit et découvrez comment nous pouvons vous aider à sécuriser votre site tout en améliorant votre visibilité.