TP - Audit RGPD d'un site web réel

TP - Audit RGPD d'un site web réel

BTS SIO 1ère année · Bloc B3.1 : Protéger les données à caractère personnel

Durée : 2 heures · Travail : en binôme

Contexte

Un technicien en cybersécurité peut réaliser des audits de conformité RGPD pour des clients ou des entreprise. Ce TP met en situation réelle d'audit d'un site web.

Rappel

Le RGPD impose des obligations strictes aux sites web qui collectent des données personnelles. Un audit RGPD permet d'identifier les écarts entre les pratiques actuelles et les exigences légales.

1. Outils & Découverte 2. Audit Complet 3. Recommandations 4. Mentions Légales

Partie 1 : Découverte des outils d'audit (20 min)

Outils à utiliser

1. Extension navigateur : Cookie-Editor

Installation :

1. Ouvrir Chrome ou Firefox
2. Aller dans le Web Store / Add-ons
3. Rechercher "Cookie-Editor"
4. Cliquer sur "Ajouter à Chrome/Firefox"
5. L'icône apparaît dans la barre d'outils

Utilisation :

1. Aller sur un site web
2. Cliquer sur l'icône Cookie-Editor
3. Observer la liste des cookies avec leurs caractéristiques

2. Outil en ligne : Cookiebot Cookie Scanner

Accès : https://www.cookiebot.com/fr/cookie-checker/
Utilisation :

1. Ouvrir le site Cookiebot
2. Entrer l'URL du site à analyser
3. Cliquer sur "Scanner"
4. Attendre le rapport (30 secondes environ)
5. Consulter les résultats

Prise en main

Exercice de prise en main

Site de démonstration : https://www.lemonde.fr

Étape 1 : Analyser les cookies avec Cookie-Editor

1. Ouvrir le site lemonde.fr en navigation privée (Ctrl+Shift+N)
2. Cliquer sur l'icône Cookie-Editor
3. Observer les cookies déposés

• Combien de cookies sont déposés ?
• Identifier 3 cookies et noter leur nom et durée de vie
• Y a-t-il des cookies de domaines externes (tiers) ?

Étape 2 : Analyser avec Cookiebot Scanner

1. Aller sur https://www.cookiebot.com/fr/cookie-checker/
2. Entrer l'URL : https://www.lemonde.fr
3. Lancer le scan
4. Observer le rapport généré

• Combien de cookies par catégorie (essentiels, analytiques, marketing) ?
• Le bandeau de consentement est-il conforme selon Cookiebot ?

Partie 2 : Audit complet d'un site web (50 min)

Sites à auditer

Choisir un site à analyser, un site de la liste suivante peut être utilisé :

• https://www.fnac.com
• https://www.cdiscount.com
• https://www.darty.com
• https://www.20minutes.fr
• https://www.lequipe.fr

• https://www.doctolib.fr
• https://www.leboncoin.fr
• https://www.pole-emploi.fr
• https://www.service-public.fr
• https://www.ameli.fr

Sites historiques ou minimalistes (utiles pour comparaison) :
http://www.perdu.com, http://www.gnu.org, http://info.cern.ch

Grille d'audit RGPD

Compléter la grille suivante pour le site choisi :

A. IDENTIFICATION DU SITE

Critère	Informations
URL du site
Nom de l'organisation
Type de site	E-commerce / Média / Service / Institutionnel
Date de l'audit
Auditeurs

B. ANALYSE DES COOKIES

B1. Inventaire des cookies

Méthode : Utiliser Cookiebot Scanner pour obtenir un rapport automatique.

1. Aller sur https://www.cookiebot.com/fr/cookie-checker/
2. Entrer l'URL du site à auditer
3. Lancer le scan
4. Copier les résultats ci-dessous

Critère	Résultat
Nombre total de cookies
Cookies essentiels
Cookies analytiques
Cookies marketing/publicitaires
Cookies non classés

Y-a-t-il des cookies qui envoient les données dans d'autres pays ? Qui viennent d'autres services ou sites ?

Captures d'écran à réaliser : Rapport Cookiebot (vue d'ensemble), Liste détaillée des cookies (au moins 1 catégorie)

B2. Bandeau de consentement

Analyser le bandeau de consentement du site

Critère	Oui/Non	Observations
Un bandeau de consentement apparaît-il ?
Peut-on refuser tous les cookies facilement ?
Le bouton "Refuser" est-il aussi visible que "Accepter" ?
Peut-on personnaliser ses choix par catégorie ?
Y a-t-il des cookies déposés AVANT le consentement ?		(vérifier avec Cookie-Editor)

Captures d'écran à réaliser : Bandeau de consentement initial, Interface de personnalisation (si disponible)

C. FORMULAIRES ET COLLECTE DE DONNÉES

Identifier un formulaire sur le site (inscription, contact, newsletter, commande...)

Critère	Résultat
Type de formulaire
Données collectées	(lister : nom, email, téléphone, adresse, etc.)
Données obligatoires	(lesquelles ?)

Critère	Oui/Non	Observations
Mention d'information RGPD présente ?
Finalité de collecte clairement indiquée ?
Case de consentement pour newsletter/prospection ?
Case pré-cochée ?		(NON conforme si oui)
Lien vers politique de confidentialité ?

Capture d'écran à réaliser : Formulaire avec mentions RGPD visibles

D. POLITIQUE DE CONFIDENTIALITÉ

Trouver et analyser la politique de confidentialité du site

Critère	Oui/Non	Observations
Document facilement accessible ?		(combien de clics ?)
Identité du responsable de traitement ?
Finalités de la collecte expliquées ?
Durée de conservation précisée ?
Destinataires des données mentionnés ?
Droits des utilisateurs listés ?		(accès, rectification, effacement...)
Procédure pour exercer ses droits ?		(email, formulaire...)
Date de dernière mise à jour ?

E. DROITS DES UTILISATEURS

Rechercher comment exercer ses droits RGPD sur le site

Droit	Accessible ?	Comment ?
Droit d'accès	Oui/Non
Droit de rectification	Oui/Non
Droit à l'effacement	Oui/Non
Droit d'opposition	Oui/Non

F. SÉCURITÉ

Critère	Oui/Non	Observations
Le site utilise-t-il HTTPS ?		(vérifier le cadenas)
Certificat SSL valide ?		(cliquer sur le cadenas)

Synthèse de l'audit

Niveau de conformité global

Évaluer le niveau de conformité RGPD du site :

• Conforme : Peu ou pas de violations détectées
• Partiellement conforme : Quelques non-conformités
• Non conforme : Violations importantes du RGPD

Violations identifiées

Lister les violations détectées :

Violation	Gravité (Faible/Moyenne/Élevée)

Partie 3 : Recommandations de mise en conformité (40 min)

Catalogue des solutions RGPD

Utiliser ce catalogue pour proposer des solutions adaptées aux violations identifiées.

Violation détectée	Solution recommandée	Complexité	Coût estimé	Délai
Cookies déposés avant consentement	Implémenter une CMP (Consent Management Platform) comme Axeptio, Cookiebot ou Didomi	Moyenne	1500-3000€/an	1 mois
Pas de HTTPS	Installer un certificat SSL (Let's Encrypt gratuit ou certificat payant)	Faible	0-100€/an	1 semaine
Politique de confidentialité absente ou incomplète	Rédiger une politique avec générateur CNIL ou prestataire juridique	Faible	0-500€	2 semaines
Pas de bouton "Supprimer mon compte"	Développer une fonctionnalité dans l'espace utilisateur	Moyenne	500-1500€	1 mois
Mots de passe mal protégés (MD5, SHA1)	Migrer vers bcrypt ou argon2 (développement)	Élevée	2000-5000€	2-3 mois
Pas de consentement newsletter	Ajouter checkbox non pré-cochée + système de double opt-in	Faible	300-800€	2 semaines
Conservation illimitée des données	Définir politique de rétention + script de purge automatique	Moyenne	1000-2000€	1-2 mois
Données sensibles en clair	Chiffrer la base de données (AES-256)	Élevée	3000-8000€	2-3 mois
Formulaire sans mention RGPD	Ajouter mentions légales + lien vers politique de confidentialité	Faible	0-200€	1 semaine
Pas de bouton "Tout refuser" pour les cookies	Modifier le bandeau de consentement pour ajouter un bouton visible	Faible	500-1000€	2 semaines
Case newsletter pré-cochée	Modifier le formulaire pour décocher par défaut	Faible	100-300€	1 semaine
Transferts hors UE non mentionnés	Mettre à jour la politique de confidentialité	Faible	0-300€	1 semaine

Top 3 des violations prioritaires

Parmi toutes les violations identifiées, sélectionner les 3 plus graves et compléter le tableau ci-dessous.

Nature de la violation
Gravité	Faible / Moyenne / Élevée
Pourquoi c'est grave ? (risque pour l'utilisateur et pour l'entreprise)
Solution recommandée (utiliser le catalogue ci-dessus)
Complexité
Coût estimé
Délai de mise en œuvre
Priorité	Haute / Moyenne / Basse
Justification de la priorité

Livrables

Livrables attendus

À rendre à la fin du TP :

1. Grille d'audit complétée (parties A à G)
2. Top 3 des violations avec solutions du catalogue
3. Synthèse 1 page
4. 5 captures d'écran minimum :
   • Rapport Cookiebot
   • Bandeau de consentement
   • Liste des cookies (Cookie-Editor ou Cookiebot)
   • Formulaire avec mentions RGPD
   • Politique de confidentialité

Partie 4 : Rédaction des mentions légales (30 min)

Mise en situation

Vous travaillez en tant que consultants en conformité numérique. Votre client, l'association Le Refuge des Renards Polaires, souhaite lancer un site e-commerce pour vendre des produits dérivés (mugs, t-shirts, peluches, stickers) afin de financer ses activités de protection des renards.

Le site doit être conforme au RGPD et aux obligations légales françaises (LCEN) avant sa mise en ligne.

Client

Informations Client

• Nom : Le Refuge des Renards Polaires
• Statut juridique : Association loi 1901
• Siège social : Port-aux-Français, 98417 Îles Kerguelen, TAAF, France
• Email : contact@refugedesrenards.fr
• Téléphone : +262 984 00 01 23
• N° SIRET : 123 456 789 00012
• Directeur de publication : Marie Dubois (Présidente de l'association)
• Hébergeur : OVH — 2 rue Kellermann, 59100 Roubaix

Code HTML

Exercice : Rédiger la page HTML de mentions légales

En vous aidant des informations client ci-dessus, rédigez le code HTML d'une page de mentions légales conforme.

Structure attendue :

• Titre de la section (h1 ou h2)
• Identité de l'éditeur du site
• Coordonnées de l'hébergeur
• Propriété intellectuelle
• Protection des données personnelles (bref rappel + lien vers politique de confidentialité)

Utilisez les balises sémantiques HTML5 appropriées (section, article, h2, p, address, etc.).