Technique

Sauvegarde, sécurité, RGPD : votre check-list 2026

Trois sujets qu'on remet toujours à plus tard — jusqu'à l'incident. Voici la check-list concrète pour mettre votre site à l'abri : sauvegarde, sécurité, conformité RGPD.

Illustration : Sauvegarde, sécurité, RGPD : votre check-list 2026 Un mot technique vous échappe ? Le lexique du web définit chaque terme, simplement. Lexique

Cet article informe sur la sécurité et la conformité. Il ne constitue pas un conseil juridique. Pour votre situation précise, faites valider votre cas par un professionnel.

Sauvegarde, sécurité, RGPD : trois sujets qu’on repousse toujours à « plus tard », parce qu’ils ne rapportent rien tant que tout va bien. Le problème, c’est qu’ils ne coûtent cher que le jour de l’incident — site piraté, données perdues, contrôle CNIL. Voici la check-list pour ne pas en arriver là.

Sauvegarde : la règle qu’on regrette d’avoir ignorée

Un site, ça se perd. Piratage, mauvaise manipulation, panne d’hébergeur, mise à jour qui casse tout. Sans sauvegarde, vous repartez de zéro.

  • Sauvegarde automatique régulière du site et, le cas échéant, de sa base de données.
  • Sauvegarde stockée ailleurs que sur le serveur du site (une sauvegarde au même endroit que le site disparaît avec lui).
  • Une restauration déjà testée au moins une fois : une sauvegarde qu’on ne sait pas restaurer ne sert à rien.

Bonne nouvelle pour les sites statiques (type Astro) : le site étant constitué de fichiers versionnés, il se « reconstruit » et se redéploie facilement. La problématique de sauvegarde est bien plus légère que sur un site dynamique avec base de données.

Sécurité : les bases qui arrêtent 90 % des attaques

La plupart des piratages ne sont pas ciblés : ce sont des robots qui balaient le web à la recherche de failles connues. Les fondamentaux suffisent à les décourager.

  • HTTPS (le cadenas) actif sur tout le site — non négociable en 2026.
  • Mises à jour à jour si vous êtes sur un système type WordPress : c’est la faille n°1. Un site statique réduit drastiquement ce risque (pas d’extensions à pirater).
  • Mots de passe forts et, si possible, double authentification sur les accès d’administration.
  • Accès limités : chaque personne a son compte, on retire les accès des prestataires qui ne travaillent plus avec vous.
  • Formulaires protégés contre le spam et les injections.

Point honnête : un site vitrine statique a une surface d’attaque bien plus faible qu’un site dynamique. Ce n’est pas un détail — c’est souvent la meilleure « sécurité » : moins il y a de portes, moins il y a à surveiller.

RGPD : ce qui s’applique vraiment à un site vitrine

Le RGPD fait peur, souvent à tort. Pour un site vitrine d’indépendant, l’essentiel tient en quelques points concrets.

  • Mentions légales complètes et accessibles (identité, hébergeur, contact).
  • Politique de confidentialité expliquant quelles données vous collectez et pourquoi.
  • Bandeau cookies conforme seulement si vous déposez des cookies non essentiels (mesure d’audience, publicité, réseaux sociaux). Un site sans tracking n’a pas besoin de bandeau — et c’est tout à fait possible.
  • Consentement réel : pas de cases pré-cochées, un refus aussi facile que l’acceptation.
  • Formulaire de contact : ne collecter que le nécessaire, dire à quoi ça sert, ne pas garder les données indéfiniment.
  • Sous-traitants conformes : vos outils (emailing, analytics) doivent être RGPD-compatibles, idéalement avec des données en Europe.

Selon votre pays : RGPD ou nLPD ?

Attention : le RGPD est un texte européen. Il s’applique en France, en Belgique et au Luxembourg — mais pas en Suisse, qui a sa propre loi. Cliquez sur votre pays.

France — RGPD + CNIL

C'est le RGPD (règlement européen) qui s'applique, sous le contrôle de la CNIL. Les règles cookies sont précisées par les lignes directrices de la CNIL : consentement libre et éclairé, refuser doit être aussi simple qu'accepter.

Autorité : CNIL.

Suisse — la nLPD (et pas le RGPD)

Depuis le 1er septembre 2023, c'est la nLPD (nouvelle loi fédérale sur la protection des données) qui s'applique, pas le RGPD. Elle exige une politique de confidentialité claire, un vrai choix sur les cookies (directive du PFPDT de février 2025 : un « tout accepter » sans alternative visible n'est pas conforme), et la notification des violations au PFPDT.

Bonne nouvelle PME : le registre des traitements est exempté si vous avez moins de 250 employés et un traitement à risque limité. Les amendes peuvent atteindre 250 000 CHF et visent les personnes responsables (souvent la direction).

À noter : si vous traitez aussi des données de clients de l'UE, le RGPD peut s'appliquer en plus de la nLPD.

Autorité : PFPDT (Préposé fédéral à la protection des données).

Belgique — RGPD + APD

Le RGPD s'applique, sous le contrôle de l'Autorité de protection des données (APD / GBA). Mêmes principes qu'en France : consentement réel pour les cookies non essentiels, collecte minimale, information claire.

Autorité : Autorité de protection des données (APD).

Luxembourg — RGPD + CNPD

Le RGPD s'applique, sous le contrôle de la CNPD (Commission nationale pour la protection des données). Cadre identique au reste de l'UE pour un site vitrine.

Autorité : CNPD.

Le débat : faut-il un bandeau cookies à tout prix ?

C’est le point le plus mal compris. Position assumée : non. Beaucoup de sites affichent un bandeau cookies par réflexe, alors qu’ils ne déposent aucun cookie nécessitant consentement. À l’inverse, certains traquent leurs visiteurs sans bandeau du tout. Le bon réflexe n’est pas « bandeau ou pas bandeau » — c’est « qu’est-ce que je collecte vraiment ? ». Si la réponse est « rien de traçant », vous pouvez vous passer de bandeau et offrir une expérience plus propre. La nuance : dès que vous ajoutez une mesure d’audience non anonymisée ou de la pub, le consentement redevient obligatoire.

La check-list condensée

Sauvegarde automatique + stockée ailleurs + testée. HTTPS + accès maîtrisés + système à jour. Mentions légales + confidentialité + cookies seulement si nécessaire + collecte minimale. Si ces trois lignes sont vraies, vous êtes au-dessus de la moyenne des sites de pros.

Notre approche

Chez Darkin, ces fondations sont intégrées par défaut : HTTPS, sites statiques à faible surface d’attaque, hébergement géré, mentions et confidentialité en place, et pas de tracking inutile imposé. Pour les professions réglementées et les activités sensibles, on documente la conformité plus en détail.

Vous voulez savoir si votre site coche ces cases ? On fait le diagnostic gratuitement.

Demander un audit gratuit →


Voir aussi : accessibilité : les bases pour les pros et comprendre l’hébergement web.

← Tous les articles