Dans le rapport, chaque problème est présenté ainsi — risque encouru et correction inclus.
Google Analytics déposé avant tout consentement
Le cookie de mesure d'audience (_ga) et le script Google Analytics sont chargés dès l'arrivée sur la page, avant que le visiteur n'ait fait un choix sur les cookies.
Risque encouru —Motif de sanction n°1 de la CNIL en matière de cookies. Un manquement manifeste ou répété expose à une mise en demeure, voire à une amende.
À corriger —Bloquer le chargement d'Analytics tant que le consentement n'est pas donné (mode consentement / gestionnaire de cookies), ou basculer vers une mesure d'audience exemptée de consentement.
Référence : art. 82 loi Informatique et LibertésCatégorie : Cookies & traceurs
En-tête de sécurité HSTS absent
Le site n'envoie pas l'en-tête Strict-Transport-Security : un visiteur peut, dans certaines conditions, être ramené vers une connexion non chiffrée (HTTP).
Risque encouru —Interception possible des données transmises (formulaires, cookies) sur un réseau non sûr — manquement à l'obligation de sécurité (art. 32 RGPD).
À corriger —Ajouter l'en-tête « Strict-Transport-Security: max-age=63072000; includeSubDomains » côté serveur ou CDN.
Référence : art. 32 RGPDCatégorie : Sécurité
Politique de confidentialité incomplète
La politique de confidentialité ne mentionne pas les durées de conservation des données ni la procédure concrète pour exercer ses droits.
Risque encouru —Information insuffisante des personnes (art. 13 RGPD) — l'un des points les plus fréquemment relevés lors des contrôles.
À corriger —Compléter la politique avec les durées de conservation par finalité et la marche à suivre pour exercer ses droits (contact, délai d'un mois).
Référence : art. 13 RGPDCatégorie : Transparence
Formulaire de contact sans mention d'information
Le formulaire de contact collecte nom et e-mail sans indiquer la finalité du traitement ni renvoyer vers la politique de confidentialité.
Risque encouru —Collecte sans information préalable — non-conformité à l'obligation de transparence au moment de la collecte.
À corriger —Ajouter sous le formulaire une phrase précisant la finalité et un lien vers la politique de confidentialité.
Référence : art. 13 RGPDCatégorie : Formulaires
Google Fonts chargé depuis des serveurs hors UE
Les polices d'écriture sont chargées depuis les serveurs de Google, ce qui transmet l'adresse IP des visiteurs hors de l'Union européenne.
Risque encouru —Transfert de données hors UE sans information ni garanties explicites — sujet déjà tranché par plusieurs autorités européennes.
À corriger —Héberger les polices sur votre propre serveur (self-hosting) pour supprimer ce transfert.
Référence : chap. V RGPDCatégorie : Scripts & tiers