RGPD et site web au Luxembourg : checklist complète 2026

Un site web qui collecte une adresse mail, un nom, un cookie analytique ou une IP est un site qui traite des données personnelles. Et qui traite des données personnelles au Luxembourg doit être conforme au RGPD — pas en théorie, pas “quand on aura le temps”, mais maintenant.

La plupart des PME découvrent le sujet de deux manières : une mise en demeure d’un client ou d’un concurrent, ou un contrôle de la CNPD (Commission nationale pour la protection des données). Dans les deux cas, l’addition est rarement plaisante : amendes possibles, perte de réputation, et obligation de tout rectifier dans l’urgence.

Cette checklist passe en revue les huit points qui couvrent 95 % des cas. Aucun n’exige une refonte complète — la plupart se règlent en quelques heures avec un prestataire compétent, ou en quelques semaines si vous n’avez personne sous la main.

Pourquoi le RGPD n’est pas optionnel (même pour une PME locale)

Le RGPD s’applique dès que vous traitez des données personnelles d’une personne située dans l’UE, peu importe la taille de votre entreprise, votre statut juridique ou votre chiffre d’affaires. Il s’applique aussi si vous êtes basé hors UE mais que vous adressez votre site à un public européen.

Au Luxembourg, l’autorité de contrôle est la CNPD (rel="noopener"). Elle peut agir suite à une plainte, suite à un signalement d’une autre autorité européenne, ou de sa propre initiative. Les sanctions vont d’un simple avertissement à des amendes pouvant atteindre 4 % du chiffre d’affaires mondial — en pratique, pour une PME, les sanctions effectives commencent souvent à quatre chiffres et grimpent vite si la mauvaise foi est retenue.

L’idée que “personne ne viendra contrôler une petite PME locale” est fausse. La CNPD traite plusieurs centaines de plaintes par an, et un client mécontent ou un ancien salarié suffit à déclencher un dossier.

Bannière cookies : ce qui est vraiment conforme

C’est l’élément le plus visible — et celui où les écarts sont les plus fréquents. Une bannière cookies conforme respecte cinq règles strictes :

• Aucun cookie non-essentiel n’est posé avant le consentement. Y compris Google Analytics, Meta Pixel, Hotjar, ou n’importe quel pixel marketing.
• Le refus est aussi facile que l’acceptation. Un bouton “Tout accepter” sans bouton “Tout refuser” équivalent n’est pas conforme. Les “X” qui ferment la bannière sans choix explicite non plus.
• Le consentement est granulaire. L’utilisateur peut accepter les analytics tout en refusant le marketing, par exemple.
• Le consentement est traçable. Vous devez pouvoir prouver, pour chaque visiteur, ce qu’il a accepté et quand.
• Le retrait du consentement est aussi simple que son octroi. Un lien “Gérer mes cookies” en pied de page accessible à tout moment.

Sont non conformes : les “cookie walls” qui bloquent l’accès au site si on refuse, les pré-cochages, les bannières qui se ferment automatiquement après 5 secondes en équivalence d’acceptation. La CNPD a clarifié ces points dans plusieurs décisions publiques.

Mentions légales obligatoires au Luxembourg

Au Luxembourg, les mentions légales obligatoires pour un site professionnel (rel="noopener") comprennent :

• Identité complète de l’éditeur : raison sociale, forme juridique, capital social pour les sociétés, numéro RCS (Registre de Commerce et des Sociétés).
• Adresse du siège social (pas une boîte postale).
• Numéro TVA si vous êtes assujetti.
• Email de contact direct (pas seulement un formulaire).
• Numéro de téléphone pour les sites de e-commerce ou de prestations.
• Nom du responsable de la publication (dirigeant ou personne déléguée).
• Hébergeur : raison sociale, adresse, numéro de téléphone.
• Politique de confidentialité liée séparément, claire et accessible depuis chaque page.
• Conditions générales si vous vendez ou contractualisez.

Un manquement sur les mentions légales seul ne déclenche pas une amende RGPD — mais c’est souvent ce qui pousse un contrôleur ou un plaignant à creuser plus loin. Le cas INNOVALUX, une SARL-s lancée proprement, illustre ce qu’on devrait voir par défaut : mentions complètes, politique de confidentialité accessible, contact direct visible. Ça prend une après-midi à mettre en place et ça évite des semaines de complications.

Formulaires : les champs piégés et le consentement

Tout formulaire qui collecte des données personnelles doit respecter trois principes : minimisation, transparence, consentement éclairé.

Minimisation : ne demandez que ce qui est strictement nécessaire à votre finalité. Demander la date de naissance pour un simple formulaire de contact est disproportionné, sauf justification métier précise.

Transparence : à proximité du formulaire (pas dans une politique générique à trois clics), expliquez clairement ce que deviennent les données, qui y a accès, combien de temps elles sont conservées, et comment l’utilisateur peut les supprimer.

Consentement éclairé : une case à cocher non pré-cochée pour chaque finalité distincte. Recevoir une réponse à une demande de devis = finalité légitime, pas besoin de case. Ajouter cette personne à une newsletter marketing = finalité distincte, case à cocher séparée et claire.

Les champs piégés à éviter :

• Email pré-rempli “récupéré” depuis une autre source sans consentement.
• Inscription automatique à une newsletter en validant le formulaire.
• Pré-cochage de toutes les options par défaut.
• Champs “facultatifs” présentés comme obligatoires visuellement.

AutoRachat Luxembourg traite un volume élevé de demandes (+75 % de conversion après refonte) avec un formulaire conforme : minimaliste, transparent, consentement explicite pour les communications post-évaluation. La conformité n’a jamais nui à la conversion — au contraire, la clarté rassure.

Si vous collectez des témoignages clients, le même principe s’applique : consentement écrit pour l’utilisation du nom, de la photo, du métier — sujet traité plus en détail dans transformer les témoignages clients en machine à ventes.

Hébergement et localisation des données

Le RGPD impose que les transferts de données hors UE soient encadrés. Concrètement, trois cas :

Hébergement dans l’UE (Luxembourg, France, Allemagne, Pays-Bas, etc.) : aucun problème de transfert. C’est le cas le plus simple.

Hébergement chez un acteur américain avec serveurs européens (les grands hyperscalers proposent des régions européennes) : techniquement les données sont en UE, mais la maison-mère étant aux États-Unis, des questions de droit applicable subsistent. Solution : signer un DPA (Data Processing Agreement) standard avec le fournisseur, qui inclut les clauses contractuelles types européennes.

Hébergement directement aux USA ou hors UE/EEE : il faut un encadrement juridique strict (Standard Contractual Clauses, certifications, ou cadre Data Privacy Framework pour les USA). Pour une PME, c’est rarement un bon plan.

Vous devez aussi savoir qui possède les accès techniques à vos données — sujet abordé dans comment récupérer son site web quand l’agence ne répond plus. Si votre prestataire actuel est seul à pouvoir accéder à la base de données utilisateurs, vous êtes en posture fragile, même conformément hébergé.

Sous-traitants : Google Analytics, Mailchimp, Stripe et les autres

Chaque service tiers qui traite des données pour votre compte est un sous-traitant au sens RGPD. Vous devez :

• Signer un DPA avec chacun. Google, Stripe, Mailchimp, Brevo, HubSpot, etc. proposent tous un DPA standard téléchargeable depuis leur interface. Une fois signé, conservez-le dans vos archives.
• Lister ces sous-traitants dans votre politique de confidentialité avec leur finalité (analyse d’audience, paiement, emailing transactionnel…) et leur localisation.
• Vérifier régulièrement que la liste reste à jour. Un service ajouté discrètement par un développeur sans déclaration n’est pas conforme.

Sellect Luxembourg, plateforme B2B avec plus de 150 agences partenaires, doit gérer une dizaine de sous-traitants actifs (paiement, communication, analytics, hébergement, signature électronique). La discipline tient à un registre interne tenu à jour mois par mois — pas une feuille Excel oubliée, un vrai document opérationnel revu chaque trimestre.

Pour Google Analytics 4 spécifiquement : la configuration “IP anonymisation” + DPA signé + déclaration dans la politique cookies couvre les exigences pour la plupart des PME.

Durée de conservation et droits des utilisateurs

Pour chaque catégorie de données collectées, vous devez avoir défini une durée de conservation. Quelques repères :

• Demandes de contact / devis : 3 ans après le dernier échange si pas de transformation en client, durée légale comptable si transformation en facture.
• Comptes clients actifs : durée de la relation + 5 ans (prescription commerciale au Luxembourg).
• Newsletter : tant que l’utilisateur ne se désinscrit pas, avec un re-consentement tous les 24-36 mois recommandé.
• Logs serveur / analytics : 13 mois maximum recommandé par la CNIL et appliqué par défaut au Luxembourg.

Au-delà de la conservation, les utilisateurs ont des droits exerçables à tout moment :

• Accès : voir ce que vous avez sur eux.
• Rectification : corriger une donnée inexacte.
• Effacement (“droit à l’oubli”) : supprimer leurs données, sauf obligation légale de conservation contraire.
• Portabilité : recevoir leurs données dans un format réutilisable.
• Opposition : refuser un traitement, notamment marketing.

Vous devez répondre à toute demande sous un mois maximum, et fournir un canal clair de demande (souvent : un email dédié rgpd@).

En cas de contrôle CNPD : ce qu’on vous demande

Un contrôle de la CNPD commence rarement à l’improviste. Vous recevez un courrier qui vous demande des éléments précis. Les pièces typiquement réclamées :

• Politique de confidentialité dans sa version actuelle.
• Mentions légales complètes.
• Registre des traitements (obligatoire pour les sous-traitants et certaines situations — souvent un document Excel ou Notion structuré).
• DPA signés avec les sous-traitants principaux.
• Captures de la bannière cookies dans plusieurs configurations.
• Preuves de gestion des demandes d’exercice de droits sur les 12 derniers mois.
• Procédure en cas de violation de données.

Vous avez généralement 30 jours pour répondre. Une réponse complète, structurée et de bonne foi débouche le plus souvent sur un avertissement et des demandes de correction. Une absence de réponse ou une mauvaise foi évidente fait monter les amendes.

Pour les transferts internationaux (les données envoyées hors UE), le texte officiel RGPD consolidé (rel="noopener") reste la référence à garder sous la main.

---

Questions fréquentes

Mon site est hébergé sur un serveur AWS en Europe : est-ce suffisant pour être conforme ?

Pour la localisation des données, oui. Pour la conformité globale, non — il faut signer le DPA standard d’AWS (téléchargeable depuis la console AWS), documenter ce sous-traitant dans votre politique de confidentialité, et clarifier que la maison-mère américaine ne traite pas de données dans des conditions susceptibles de tomber sous le US CLOUD Act. AWS Europe applique les Standard Contractual Clauses européennes par défaut, ce qui couvre la plupart des cas. Mais le DPA signé reste obligatoire — sans lui, l’hébergement européen ne suffit pas.

Faut-il un DPO (Délégué à la Protection des Données) pour un site de PME au Luxembourg ?

Non dans la majorité des cas. La désignation d’un DPO n’est obligatoire que dans trois situations : autorité ou organisme public, traitement à grande échelle de données nécessitant un suivi régulier et systématique des personnes, ou traitement à grande échelle de données sensibles (santé, religion, opinions politiques…). Une PME standard avec un site vitrine, un formulaire de contact et une newsletter n’a pas besoin de DPO. La CNPD propose un outil d’auto-évaluation pour vérifier votre situation.

Combien de temps puis-je conserver les emails de mes prospects sans demander un renouvellement de consentement ?

Pour la prospection B2C, la règle pratique est de 3 ans après le dernier contact ou la dernière interaction (clic sur une newsletter, ouverture, réponse à un mail). Au-delà, il faut soit re-solliciter un consentement explicite, soit supprimer la donnée. Pour la prospection B2B, vous pouvez vous appuyer sur l’intérêt légitime si la cible correspond à votre activité et si vous offrez à chaque envoi une possibilité claire de désinscription. Dans tous les cas, un nettoyage de votre base tous les 24-36 mois est une bonne hygiène.

Que faire si je découvre une fuite de données sur mon site ?

Notification à la CNPD sous 72 heures à compter de la découverte, via le portail de notification en ligne. Information des personnes concernées si la fuite présente un risque élevé (mots de passe, données financières, données sensibles). Préparez à l’avance un modèle de notification et une procédure interne — au moment où une fuite se produit, ce n’est pas le bon moment pour réfléchir au format. Documentez chaque étape : ce qu’on a constaté, quand, ce qu’on a fait, ce qu’on a notifié.

---

Pour aller plus loin

Comprendre qui possède vraiment vos données utilisateurs au-delà de votre site lui-même — domaine, hébergement, comptes tiers, code source — c’est traité dans qui est propriétaire de votre site web et comment le vérifier.

---

Ce que nous faisons chez Slash.lu

Quand un client arrive avec une question RGPD, on commence par auditer les huit points de cette checklist. On identifie ce qui est conforme, ce qui ne l’est pas, et l’ordre de priorité pour corriger. Les corrections techniques (bannière cookies, mentions légales, sous-traitants déclarés) se font en quelques jours. Les corrections opérationnelles (registre des traitements, procédure violation, gestion des demandes) demandent quelques semaines pour s’installer dans le quotidien.

La conformité RGPD n’est pas un gros budget. C’est une discipline. Pas de forfait avant d’avoir regardé votre situation, parce que chaque PME a son propre périmètre de traitement — un site vitrine sans formulaire ne demande pas les mêmes mesures qu’une plateforme B2B avec dix sous-traitants.

Discutons de votre situation. Réserver un échange — sans engagement, réponse sous 24h.

→ Explorer notre service de création de site web pour le détail de notre méthode.