RGPD et site internet d'avocat : mentions légales, politique de confidentialité, cookies, formulaires… Découvrez la checklist complète pour mettre votre site en conformité et éviter les sanctions de la CNIL.
Beaucoup d'avocats considèrent encore la conformité RGPD comme un sujet qui concerne leurs clients, les entreprises qu'ils accompagnent dans leur mise en conformité, plutôt que leur propre cabinet. C'est une erreur fréquente, et potentiellement coûteuse. Dès lors qu'un site internet collecte des données personnelles, et tout site qui dispose d'un formulaire de contact, d'un outil de statistiques ou d'un système de cookies le fait, son éditeur est soumis aux obligations du Règlement Général sur la Protection des Données.
Pour un cabinet d'avocats, la sensibilité de cette question est double. D'un côté, l'obligation légale : le RGPD, applicable depuis mai 2018 dans toute l'Union européenne, impose des exigences précises en matière de transparence, de consentement et de sécurité des données. La CNIL dispose de pouvoirs de contrôle et de sanction qui s'appliquent à toute entité traitant des données de résidents européens, quelle que soit sa taille. De l'autre côté, l'enjeu de crédibilité : un cabinet d'avocats qui conseille ses clients sur la conformité RGPD et qui n'est pas lui-même en règle envoie un signal contradictoire particulièrement dommageable à son image professionnelle.
Les données collectées sur un site de cabinet d'avocats présentent par ailleurs un niveau de sensibilité élevé. Un particulier qui remplit un formulaire de contact pour exposer sa situation de divorce, de licenciement ou de litige fiscal transmet des informations personnelles à caractère souvent sensible. La responsabilité du cabinet dans la protection de ces données commence dès le premier clic sur "Envoyer".
Oui, et la confusion entre les deux est l'une des erreurs les plus fréquentes. Les mentions légales sont une obligation issue de la loi pour la Confiance dans l'Économie Numérique (LCEN) de 2004, elles identifient l'éditeur du site, l'hébergeur, et permettent à tout internaute de savoir à qui il a affaire. Elles sont obligatoires pour tout site professionnel, indépendamment du RGPD.
La politique de confidentialité, elle, est une obligation spécifiquement RGPD. Elle détaille comment le site collecte, utilise, conserve et protège les données personnelles de ses visiteurs. Ces deux documents doivent être distincts, accessibles depuis toutes les pages du site (généralement depuis le pied de page), et rédigés en français clair et compréhensible, as en jargon juridique incompréhensible pour le visiteur moyen.
Pour un cabinet d'avocats, les mentions légales doivent a minima indiquer : le nom et prénom ou la dénomination sociale du cabinet, l'adresse professionnelle, le numéro de téléphone, l'adresse email, le numéro d'inscription au barreau, le nom de l'hébergeur du site et ses coordonnées. La politique de confidentialité doit quant à elle répondre à toutes les questions que se poserait un visiteur sur l'utilisation de ses données.
La politique de confidentialité d'un site d'avocat doit répondre à sept questions fondamentales imposées par l'article 13 du RGPD. Qui est responsable du traitement des données ? Quelles données sont collectées et par quels moyens ? Pour quelle finalité ces données sont-elles utilisées ? Sur quelle base légale repose chaque traitement ? Combien de temps les données sont-elles conservées ? Qui peut y accéder ? Quels sont les droits de la personne concernée et comment les exercer ?
Pour un cabinet d'avocats, les bases légales les plus couramment invoquées sont l'intérêt légitime (pour le suivi des statistiques de navigation, par exemple) et le consentement (pour l'envoi de newsletters ou l'utilisation de cookies non essentiels). La base légale de l'exécution d'un contrat peut s'appliquer aux données collectées dans le cadre d'une relation client établie. La contrainte légale peut être invoquée pour certaines obligations de conservation propres à la profession.
La politique de confidentialité doit également mentionner l'existence d'un droit de réclamation auprès de la CNIL, et indiquer si des données sont susceptibles d'être transférées hors de l'Union européenne, ce qui est le cas si vous utilisez des services comme Google Analytics, Mailchimp ou certains hébergeurs américains.
La transparence est le premier pilier du RGPD. Un visiteur qui arrive sur votre site doit pouvoir comprendre facilement, sans effort de recherche, comment ses données sont traitées. Voici les éléments à vérifier sur ce point.
Les mentions légales sont présentes, complètes et accessibles depuis le pied de page de toutes les pages du site. Elles mentionnent le nom de l'éditeur, ses coordonnées complètes, son barreau d'inscription et les informations de l'hébergeur.
La politique de confidentialité est distincte des mentions légales, accessible depuis toutes les pages, rédigée en français clair, et couvre l'ensemble des traitements de données réalisés via le site : formulaire de contact, statistiques de visite, cookies, newsletter éventuelle.
Les finalités de chaque traitement sont explicitement mentionnées, à quoi servent les données collectées via le formulaire de contact, combien de temps elles sont conservées, qui y a accès.
Les droits des personnes (accès, rectification, effacement, portabilité, opposition, limitation) sont clairement énoncés, avec les modalités concrètes pour les exercer : une adresse email dédiée ou un formulaire spécifique.
Un contact DPO ou référent RGPD est mentionné si applicable, pour les cabinets dont les traitements dépassent les seuils ou présentent des risques élevés, la désignation d'un délégué à la protection des données peut être obligatoire.
La gestion des cookies est le point de conformité le plus visible et le plus souvent mal traité. Les recommandations de la CNIL, clarifiées dans ses lignes directrices de 2020 et leur mise à jour de 2022, imposent un consentement préalable et éclairé avant le dépôt de tout cookie non strictement nécessaire au fonctionnement du site.
Un bandeau d'information affiché au bas de la page, sans bouton "Refuser" clairement visible, n'est pas conforme. Le refus doit être aussi simple à exprimer que l'acceptation, un bouton "Refuser" doit être accessible en un clic, au même niveau de visibilité que le bouton "Accepter". La CNIL a prononcé plusieurs sanctions importantes contre des organisations qui ne respectaient pas cette symétrie, et les contrôles ont été étendus aux professionnels libéraux.
Les cookies strictement nécessaires, ceux qui permettent la navigation sur le site, la mémorisation du panier (pour un site e-commerce) ou la session de connexion, ne nécessitent pas de consentement. Mais les cookies analytiques (Google Analytics, Matomo non configuré en mode exempté), les cookies de réseaux sociaux (boutons de partage) et les cookies publicitaires requièrent un consentement explicite et préalable.
La durée de conservation du consentement donné (ou refusé) ne peut excéder treize mois. À l'issue de cette période, le consentement doit être renouvelé. Cette information doit figurer dans votre politique de cookies.
Pour vérifier la présence des cookies déposés sur votre site, utilisez l'outil de diagnostic de la CNIL (accessible sur leur site) ou un outil comme Cookiebot en mode analyse. Vous serez souvent surpris du nombre de cookies déposés par des plugins, des widgets ou des intégrations tiers que vous aviez oubliés.
Le formulaire de contact est souvent le point de collecte de données le plus sensible sur un site d'avocat. C'est là que les visiteurs exposent pour la première fois leur situation, et la nature des informations partagées peut être particulièrement personnelle.
Plusieurs éléments de conformité doivent être vérifiés sur chaque formulaire. Une mention d'information doit apparaître directement sous le formulaire (ou via un lien vers la politique de confidentialité clairement libellé), expliquant pourquoi ces données sont collectées, par qui, pour quelle durée et selon quelle base légale.
Seuls les champs strictement nécessaires à la finalité du formulaire doivent être requis. Demander la date de naissance, le numéro de sécurité sociale ou des informations de santé sur un formulaire de contact généraliste constitue une violation du principe de minimisation des données.
Si le formulaire inclut une case à cocher pour l'inscription à une newsletter ou pour autoriser un usage commercial des données, cette case ne doit jamais être pré-cochée, le consentement doit être un acte positif et délibéré.
Les données soumises via le formulaire doivent être transmises de manière sécurisée (votre site doit être en HTTPS, ce qui est vérifiable par la présence du cadenas dans la barre d'adresse du navigateur) et stockées dans un environnement sécurisé, votre outil de messagerie, votre CRM ou votre plateforme de gestion des contacts.
Le principe de limitation de la conservation est l'un des piliers du RGPD : les données ne peuvent être conservées que le temps nécessaire à la finalité pour laquelle elles ont été collectées. Passé ce délai, elles doivent être supprimées ou anonymisées.
Pour un cabinet d'avocats, les durées de conservation recommandées varient selon la nature des données. Les données d'un prospect (formulaire de contact qui n'a pas donné lieu à une relation client) : trois ans à compter du dernier contact, selon les recommandations de la CNIL pour la gestion de la relation commerciale. Les données d'un client dans le cadre d'une relation contractuelle : cinq ans après la fin de la relation, en cohérence avec la prescription de droit commun. Les données de navigation collectées via des cookies analytiques : treize mois maximum.
Ces durées doivent être formalisées dans votre registre des traitements, un document interne que toute entité réalisant des traitements de données personnelles doit tenir à jour. Ce registre n'a pas à être publié, mais il doit être disponible en cas de contrôle de la CNIL.
La sécurité technique des données est une obligation du RGPD (article 32), et elle commence par les fondamentaux. Le certificat HTTPS est l'exigence minimale, tout site en HTTP simple n'offre aucun chiffrement des données transmises entre le navigateur du visiteur et le serveur. Si votre site est encore en HTTP, c'est à la fois une non-conformité RGPD et un signal négatif pour le référencement naturel (Google pénalise les sites non sécurisés depuis 2018).
Au-delà du HTTPS, plusieurs mesures techniques relèvent de la responsabilité du cabinet : choisir un hébergeur qui propose des sauvegardes régulières et automatiques, mettre à jour régulièrement le CMS du site (WordPress, Webflow, etc.) et ses plugins pour corriger les failles de sécurité connues, utiliser des mots de passe administrateur robustes et une authentification à deux facteurs pour l'accès au back-office, et s'assurer que les formulaires sont protégés contre les attaques de type injection SQL ou CSRF.
La conformité RGPD n'est pas un état fixe, c'est un processus continu. La réglementation évolue, les recommandations de la CNIL se précisent, les outils utilisés sur le site changent, et les pratiques du cabinet s'adaptent. Maintenir une conformité sérieuse dans le temps implique quelques réflexes organisationnels.
Désigner un référent RGPD au sein du cabinet, même dans une petite structure, est la première mesure. Cette personne n'a pas besoin d'être un expert technique : son rôle est de centraliser les questions, de maintenir le registre des traitements à jour, d'être l'interlocuteur des personnes exerçant leurs droits, et de surveiller les évolutions réglementaires. Pour les cabinets qui ne souhaitent pas internaliser cette fonction, des DPO externalisés proposent des missions à temps partiel adaptées aux structures de taille modeste.
Planifier un audit annuel de conformité du site est une bonne pratique structurante. Cet audit, qui peut prendre deux à trois heures avec un check-list structuré, permet de vérifier que les documents légaux sont toujours à jour, que les outils tiers utilisés n'ont pas introduit de nouveaux cookies non consentis, que les durées de conservation sont respectées, et que les procédures internes sont toujours appliquées.
Tout changement significatif sur le site, refonte graphique, ajout d'un nouveau formulaire, intégration d'un outil tiers, changement d'hébergeur, doit déclencher une revue RGPD spécifique. Ces moments sont les plus propices aux "oublis" de conformité.
Le RGPD accorde aux personnes dont vous traitez les données un ensemble de droits qu'elles peuvent exercer à tout moment : droit d'accès, de rectification, d'effacement ("droit à l'oubli"), de portabilité, d'opposition et de limitation du traitement. En tant que responsable de traitement, le cabinet dispose d'un mois pour répondre à toute demande, délai extensible à trois mois en cas de demande complexe, à condition d'en informer la personne dans le premier mois.
Pour être en mesure de respecter ces délais, il faut anticiper : créer une adresse email dédiée (par exemple, rgpd@votrecabinet.fr) mentionnée dans la politique de confidentialité, et définir en interne qui est responsable de traiter ces demandes et selon quelle procédure. Sans cette organisation préalable, une demande d'effacement ou d'accès peut facilement rester sans réponse dans le flux des emails quotidiens, ce qui constitue un manquement sanctionnable.
Pour la gestion du consentement aux cookies, des plateformes de gestion du consentement (CMP) permettent de déployer en quelques clics un bandeau conforme aux recommandations de la CNIL. Parmi les solutions les plus adaptées aux cabinets : Axeptio (solution française, interface soignée, tarification accessible), Cookiebot (international, très complet, propose un audit automatique des cookies présents sur le site), et Tarteaucitron (solution open source gratuite, populaire en France).
Ces CMP s'intègrent généralement via un simple script à coller dans le code du site, sans compétence technique avancée. Elles génèrent automatiquement les journaux de consentement (proof of consent), ce qui permet de justifier en cas de contrôle que les consentements ont bien été collectés conformément aux règles.
Des générateurs de politique de confidentialité sont disponibles en ligne et peuvent constituer un point de départ utile, à condition de les personnaliser soigneusement pour refléter les traitements réels de votre cabinet. Iubenda, Legifrance et des services spécialisés en droit des données proposent des modèles adaptables. Mais une politique de confidentialité générique, non personnalisée, ne satisfait pas aux exigences de précision et de transparence du RGPD.
La meilleure approche reste de faire rédiger ou valider sa politique de confidentialité par un professionnel du droit des données, un DPO externe, un avocat spécialisé en droit numérique, ou un cabinet de conseil en conformité. Cet investissement ponctuel est bien inférieur au risque financier et réputationnel d'une non-conformité constatée par la CNIL.
Pour le registre des traitements, un simple tableur structuré suffit pour les cabinets de taille modeste. La CNIL met à disposition un modèle de registre téléchargeable sur son site, que vous pouvez adapter à votre activité. Des outils plus élaborés comme Dastra, OneTrust ou Privacy Bee permettent de gérer le registre de manière plus industrielle pour les structures qui en ont besoin.
Plusieurs outils permettent d'effectuer un diagnostic rapide de la conformité technique du site. Le diagnostic de la CNIL, accessible directement sur leur site web, vérifie la présence et la conformité du bandeau cookies. Google Search Console signale les problèmes HTTPS et les erreurs techniques susceptibles d'affecter la sécurité du site. GTmetrix et Google PageSpeed Insights évaluent les performances et la sécurité générale du site, utiles pour s'assurer que les mises à jour de sécurité sont bien appliquées.
Pour un audit plus complet, des outils comme Screaming Frog permettent de crawler l'ensemble des pages du site et d'identifier les pages manquantes, les liens brisés ou les éléments non conformes. Un professionnel du web ou un consultant RGPD peut réaliser un audit approfondi en quelques heures.
La conformité RGPD d'un site d'avocat n'est ni un chantier insurmontable ni un sujet purement théorique. C'est une série de mesures concrètes, pour la plupart accessibles sans compétence technique avancée, qui protègent à la fois les visiteurs du site et le cabinet lui-même contre des risques réels, sanctions de la CNIL, perte de confiance, et mise en cause de la responsabilité professionnelle dans les cas les plus graves.
Les cinq actions à prioriser si vous n'avez pas encore structuré votre conformité : vérifier que votre site est en HTTPS, déployer un bandeau cookies conforme avec possibilité de refus en un clic, rédiger une politique de confidentialité spécifique à votre cabinet, ajouter une mention d'information sous chaque formulaire de contact, et créer un registre des traitements même minimal pour les données collectées via le site.
Ces cinq mesures, mises en place dans les prochaines semaines, éliminent les risques les plus immédiats et posent les bases d'une conformité durable. Le reste, durées de conservation, procédures de réponse aux droits, audit annuel, peut être structuré progressivement.
Chez OURAMA, nous accompagnons les cabinets d'avocats dans la mise en conformité digitale de leur présence en ligne, de la refonte du site à l'intégration des éléments RGPD obligatoires, en passant par l'optimisation des pages de service et des parcours de conversion. Si vous souhaitez évaluer la conformité de votre site et identifier les actions prioritaires, contactez-nous pour un premier échange.
