La liste de contrôle en 15 étapes

1. Installer une CMP certifiée

Votre plateforme de gestion du consentement doit être certifiée Google et enregistrée auprès d'IAB Europe. Cela garantit la conformité avec Consent Mode V2 et TCF 2.3.

2. Auditer tous les cookies et traceurs

Analysez votre site pour chaque cookie, pixel, SDK et élément de stockage local. Classez-les en strictement nécessaires, analytiques ou publicitaires. Supprimez tout ce que vous ne pouvez pas justifier.

3. Configurer votre bannière de consentement

Assurez-vous que les boutons Accepter/Refuser sont équivalents, que le langage est clair dans la langue maternelle du visiteur, et qu'aucune case n'est pré-cochée. La bannière doit apparaître avant tout suivi non essentiel.

4. Définir le consentement par défaut sur refusé

Pour les visiteurs de l'EEE, toutes les catégories de consentement non essentielles doivent être refusées par défaut. Seuls les cookies strictement nécessaires peuvent se déclencher sans consentement.

5. Publier une politique de confidentialité

Votre politique de confidentialité doit expliquer quelles données vous collectez, pourquoi, la base légale, qui les reçoit, les durées de conservation et comment les utilisateurs peuvent exercer leurs droits.

6. Publier une politique de cookies

Listez chaque cookie, son objectif, sa durée et s'il est de première ou de tierce partie. Créez un lien vers celle-ci depuis votre bannière de consentement.

7. Activer Google Consent Mode V2

Configurez le mode Avancé pour que les balises Google se déclenchent en mode restreint avant le consentement, puis basculent vers le suivi complet après le consentement.

8. Activer IAB TCF 2.3

Si vous diffusez de la publicité programmatique, votre CMP doit générer des TC Strings valides. Vérifiez avec l'outil de validation TCF de l'IAB.

9. Signer des accords de traitement des données

Chaque tiers qui reçoit des données personnelles de votre site a besoin d'un DPA. Google, Meta, fournisseurs d'analyses, plateformes d'e-mail — tous sans exception.

10. Tenir un registre des activités de traitement

Documentez chaque opération de traitement des données : quelles données, quel objectif, quelle base légale, quels destinataires, quelle durée de conservation.

11. Mettre en œuvre les droits des personnes concernées

Établissez des processus pour les demandes d'accès, les demandes de suppression, la portabilité des données et les objections. Répondez dans les 30 jours.

12. Configurer la rétention des données

Ne conservez pas les données personnelles plus longtemps que nécessaire. Définissez des durées de rétention dans Google Analytics, votre CRM, votre plateforme d'e-mail et vos bases de données.

13. Sécuriser vos données

HTTPS partout, bases de données chiffrées, contrôles d'accès, audits de sécurité réguliers. Les violations de données doivent être signalées à votre autorité de contrôle dans les 72 heures.

14. Former votre équipe

Toute personne traitant des données personnelles doit recevoir une formation RGPD — marketing, ventes, support, ingénierie. Documentez la formation.

15. Planifier des audits réguliers

Révisez votre conformité trimestriellement. De nouveaux cookies apparaissent lorsque vous ajoutez des outils. Les politiques doivent être mises à jour. Les taux de consentement doivent être surveillés.

Le coût de la non-conformité

FlexyConsent couvre automatiquement les étapes 1 à 8