RGPD & Hébergement Web : Guide Conformité 2026
- Hébergeur = sous-traitant RGPD — DPA (Data Processing Agreement) obligatoire signé entre vous et lui.
- Transferts hors UE risqués : Schrems II (2020) invalide Privacy Shield. AWS/Azure/GCP exigent clauses contractuelles types + mesures supplémentaires.
- Sanctions 2026 : jusqu'à 4 % CA annuel ou 20 M€. Notification violations en 24 h (nouvelle obligation 2025).
- Solution simple : hébergeur 100 % France/UE — RGPD natif, pas de CLOUD Act, juridiction protectrice.
Références officielles : CNIL — RGPD complet, EDPB — lignes directrices, texte intégral RGPD (EUR-Lex). Pour les évolutions 2025/2026, voir notre article RGPD nouvelles obligations.
Pourquoi le RGPD Concerne-t-il votre Hébergement ?
Votre hébergeur traite techniquement vos données et celles de vos utilisateurs (logs, IP, cookies, contenu uploadé). À ce titre, il est qualifié de sous-traitant au sens du RGPD (article 28). Vous, propriétaire du site, êtes le responsable de traitement — donc juridiquement responsable.
Conséquence : le choix de l'hébergeur engage votre conformité.
DPA — Le Document Obligatoire
Le Data Processing Agreement (Accord de traitement de données) est un contrat obligatoire entre vous et votre hébergeur. Il doit préciser :
- Nature et finalité du traitement (hébergement, sauvegardes, support)
- Catégories de données traitées (logs, IP, contenu utilisateurs)
- Durée du traitement (durée du contrat)
- Obligations du sous-traitant (sécurité, confidentialité, retour/destruction données)
- Sous-traitants ultérieurs (CDN, monitoring) avec autorisation préalable
- Mesures techniques (chiffrement, contrôle d'accès, sauvegardes)
- Coopération en cas de contrôle CNIL ou demande utilisateur
Localisation des Données : Le Critère #1
| Localisation | Risque RGPD | Détails |
|---|---|---|
| France | ✅ Aucun | Droit français RGPD natif |
| UE | ✅ Aucun | RGPD uniforme |
| Suisse | ✅ Faible | Décision d'adéquation européenne |
| Royaume-Uni | ⚠️ Modéré | Adéquation actuelle, à surveiller post-Brexit |
| Canada (commercial) | ⚠️ Modéré | Adéquation partielle (PIPEDA) |
| USA | ❌ Élevé | CLOUD Act, Schrems II, Privacy Framework fragile |
| Chine, Russie | ❌ Très élevé | Pas d'adéquation, risque juridique fort |
Le Cas CLOUD Act US
Le CLOUD Act (2018) permet aux autorités américaines d'exiger l'accès aux données détenues par toute entreprise sous juridiction US, où que soient stockés physiquement les serveurs — y compris une filiale française d'un groupe US.
Concrètement : héberger chez AWS, Azure, Google Cloud, Cloudflare = exposé au CLOUD Act, même si datacenter Paris.
La décision Schrems II (CJUE, juillet 2020) confirme ce risque et exige des "mesures supplémentaires" (chiffrement clés détenues en UE, pseudonymisation). Voir notre guide souveraineté numérique.
Sanctions RGPD 2026
| Manquement | Sanction max |
|---|---|
| Défaut DPA, registre, DPO | 2 % CA / 10 M€ |
| Violation consentement, droits utilisateurs | 4 % CA / 20 M€ |
| Récidive, refus coopérer | Interdiction d'exercer |
| Notification > 24 h pour violation grave | Sanction administrative |
Les sanctions sont publiées par la CNIL — risque réputationnel majeur.
Checklist Conformité RGPD Hébergement
Côté hébergeur (à vérifier avant souscription)
- Datacenter France ou UE (vérifier adresse postale exacte)
- Société immatriculée France/UE (vérifier SIREN/registre commerce)
- DPA téléchargeable et signé
- Certifications sécurité (ISO 27001, HDS si données santé, SecNumCloud si critique)
- Audit de sécurité annuel public
- DPO désigné et joignable (obligatoire depuis 2025 si > 10 000 données/an)
- Chiffrement données au repos + en transit (TLS 1.3 minimum)
- Politique de rétention et destruction des données documentée
Côté votre site (à mettre en place)
- Bandeau cookies CNIL-conforme (Complianz, Axeptio, Tarteaucitron)
- Politique de confidentialité accessible (lien footer)
- Mentions légales conformes
- Registre des traitements (simplifié pour TPE/PME)
- Procédure droits utilisateurs (accès, rectification, suppression, portabilité)
- Procédure violations (qui notifier sous 24 h, comment)
- Cookies tiers analysés (Google Analytics 4 paramétré ou Matomo souverain)
- Fonts locales (pas Google Fonts distants — CNIL juin 2022)
Hébergeurs RGPD-Natifs Recommandés
| Hébergeur | Pays | DPA | Certifications | Notre score Sovereign |
|---|---|---|---|---|
| o2switch | France | ✅ | ISO 27001 | 95/100 |
| OVHcloud | France | ✅ | HDS, ISO 27001, SecNumCloud (partiel) | 94/100 |
| Infomaniak | Suisse | ✅ | ISO 27001, ISO 14001 | 88/100 |
| PlanetHoster | France/Canada | ✅ | ISO 27001 (FR datacenter) | 85/100 |
| LWS | France | ✅ | ISO 27001 | 82/100 |
Détails complets sur le comparateur.
Questions Fréquentes
Mon hébergement chez OVH est-il automatiquement conforme RGPD ?
Partiellement. OVHcloud fournit l'infrastructure RGPD-compatible (datacenter France, DPA), mais la conformité globale dépend de votre configuration : DPA signé, bandeau cookies, politique de confidentialité, traçabilité des accès. L'hébergeur est conforme — votre site doit l'être aussi.
Puis-je utiliser AWS pour un site RGPD français ?
Techniquement possible avec datacenter UE + clauses contractuelles types + chiffrement clés détenues UE + audit Schrems II. Mais complexe et risqué juridiquement (CLOUD Act). La CNIL recommande de privilégier les acteurs souverains UE. Pour les données sensibles (santé, finance, public), AWS est à éviter.
Quel est le délai de notification d'une violation de données en 2026 ?
24 heures à la CNIL pour les violations graves (depuis 1ᵉʳ janvier 2025). Auparavant 72 h. Le délai court à partir de la prise de conscience, pas de la détection technique. Notification utilisateurs sans délai si risque élevé.
Faut-il un DPO pour un petit site ?
Un DPO n'est obligatoire que si vous traitez plus de 10 000 données personnelles/an ou des données sensibles (santé, judiciaire, biométrie) à grande échelle. Pour un petit site vitrine, registre simplifié + responsable RGPD interne suffisent.
Google Analytics est-il conforme RGPD en 2026 ?
GA4 est utilisable en France sous conditions strictes (consentement explicite, anonymisation IP, paramétrage server-side recommandé). La CNIL a sanctionné GA3 en 2022. Alternative souveraine recommandée : Matomo auto-hébergé chez votre hébergeur français.