Le Règlement Général sur la Protection des Données s'applique à tout site qui collecte ou traite des données personnelles de résidents européens, quelle que soit la taille de l'organisation. Un site Drupal n'échappe pas à cette règle, même s'il s'agit d'un simple site vitrine avec un formulaire de contact.

Les données collectées sans y penser

Un site vitrine standard collecte des données personnelles à plusieurs endroits : le formulaire de contact (nom, email, message), les cookies analytics (GA4, Matomo), les logs serveur (adresses IP), et parfois les cookies de session ou de préférences utilisateur. Chaque point de collecte implique une obligation d'information et, selon les cas, de consentement préalable.

Formulaire de contact : les règles essentielles

Un formulaire de contact doit respecter plusieurs exigences : informer l'utilisateur de la finalité du traitement et de la durée de conservation, indiquer qui est le responsable du traitement, et ne pas stocker de données en base sans base légale valide. Sur Drupal, le module Webform permet de configurer ces éléments via l'interface d'administration, sans code custom.

La base légale pour un formulaire de contact est généralement l'intérêt légitime (répondre à une demande entrante) ou le consentement explicite. Dans les deux cas, la mention RGPD doit être visible avant la soumission, avec un lien vers la politique de confidentialité.

Analytics : consentement préalable obligatoire

Google Analytics 4, comme tout outil de mesure d'audience qui dépose des cookies ou utilise des identifiants persistants, nécessite le consentement préalable de l'utilisateur en France (recommandation CNIL 2020). Cela signifie que le script GA4 ne doit pas se charger avant que l'utilisateur ait accepté. Un simple bandeau « en continuant à naviguer vous acceptez » ne suffit pas.

Sur Drupal, plusieurs approches sont possibles : le module eu_cookie_compliance (open source), Tarteaucitron (script léger), ou un développement sur mesure. L'essentiel est que le refus soit aussi simple que l'acceptation (symétrie CNIL) et que le choix soit mémorisé.

Droits des utilisateurs : comment les exercer ?

Le RGPD donne plusieurs droits aux personnes dont les données sont traitées : droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité. La politique de confidentialité doit indiquer comment exercer ces droits et le délai de réponse (1 mois maximum).

Pour un site vitrine avec peu de traitements, une adresse email dédiée (contact@domaine.fr avec mention de la finalité) suffit généralement à couvrir l'exercice des droits.

Les trois documents obligatoires

  • Mentions légales : identité de l'éditeur, de l'hébergeur, des responsables de la publication.
  • Politique de confidentialité : données collectées, finalités, durées de conservation, droits des utilisateurs, coordonnées du responsable de traitement.
  • Registre des activités de traitement : document interne obligatoire pour les responsables de traitement, même pour les petites structures.

Drupal et la conformité : un bon socle de départ

Drupal offre plusieurs avantages pour la conformité RGPD : gestion fine des permissions, modules contrib éprouvés pour le consentement et les formulaires, architecture CMI qui permet de versionner les configurations de conformité comme n'importe quel code. À condition de configurer correctement ces outils et de ne pas laisser les réglages par défaut.

La conformité RGPD n'est pas un état qu'on atteint une fois pour toutes : elle doit être maintenue à chaque évolution du site (nouveau formulaire, nouvel outil analytics, nouveau prestataire). Intégrer ce réflexe dès la conception évite les corrections coûteuses.

Consultez nos prestations de mise en conformité RGPD ou notre grille tarifaire.