Conformité · RGPD

Le RGPD pour les sites de presse : la checklist de l'éditeur.

Dernière mise à jour : 6 mai 2026 · Tous les éléments sont sourcés depuis le Règlement (UE) 2016/679 (RGPD), les recommandations de la CNIL et les lignes directrices de l'EDPB.

Ce qu'est le RGPD, en un paragraphe

Le Règlement Général sur la Protection des Données (Règlement (UE) 2016/679) fixe le cadre juridique du traitement des données personnelles des résidents de l'UE. Il s'applique indépendamment du lieu d'établissement du responsable du traitement ou du sous-traitant, dès lors que le traitement est lié à l'offre de biens ou de services à des personnes dans l'UE, ou au suivi de leur comportement (Article 3.2). Pour un site de presse qui fait tourner la contribution des lecteurs, cela signifie que chaque compte lecteur, chaque commentaire anonyme tracé par IP, chaque inscription à une newsletter, chaque réaction à un article relèvent du RGPD.

Ce qui constitue une donnée personnelle sur un site de presse

Le RGPD définit la donnée personnelle de manière extrêmement large (Article 4.1) : toute information se rapportant à une personne physique identifiée ou identifiable. Pour un site de presse, cela comprend :

  • Les données de compte lecteur : nom, e-mail, hash de mot de passe, photo de profil, biographie
  • Les données d'engagement : commentaires, votes, likes, partages, temps passé sur les articles
  • Les données techniques : adresses IP, empreintes d'appareil, identifiants de navigateur, cookies de session
  • Les données déduites : tags d'intérêt issus du comportement de lecture, résultats de scoring d'audience
  • Les données d'abonnement et de paiement, le cas échéant

Les six bases légales (Article 6)

Vous ne pouvez traiter des données personnelles que si vous pouvez vous appuyer sur au moins l'une des six bases légales énumérées à l'Article 6 :

  • Le consentement (6.1.a), explicite, granulaire, révocable. Utilisé pour le marketing, le profilage, les données optionnelles.
  • Le contrat (6.1.b), nécessaire pour fournir un service auquel l'utilisateur a souscrit. Utilisé pour la création de compte, la gestion d'abonnement.
  • L'obligation légale (6.1.c), nécessaire pour se conformer à une loi (par exemple les obligations de conservation).
  • Les intérêts vitaux (6.1.d), rarement applicables aux éditeurs.
  • L'intérêt public (6.1.e), principalement pour le secteur public / les médias de service public.
  • L'intérêt légitime (6.1.f), votre intérêt, mis en balance avec les droits de l'utilisateur. Utilisé pour la prévention de la fraude, les statistiques anonymes, la sécurité.

Pour les commentaires et la contribution des lecteurs, la combinaison la plus courante est le contrat (vous fournissez un service de participation auquel l'utilisateur a adhéré) plus l'intérêt légitime (sécurité, anti-spam, fraude).

Les huit droits du lecteur (Articles 12–22)

Vous devez permettre à l'utilisateur d'exercer les droits suivants, en langage clair et dans un délai d'un mois (Article 12.3) :

  • Droit d'accès (Art. 15) — l'utilisateur peut demander une copie de toutes les données que vous détenez sur lui
  • Droit de rectification (Art. 16) — corriger des données inexactes
  • Droit à l'effacement / droit à l'oubli (Art. 17) — supprimer les données lorsqu'aucun motif légitime ne justifie de les conserver
  • Droit à la limitation (Art. 18) — restreindre le traitement dans certaines circonstances
  • Droit à la portabilité des données (Art. 20) — exporter des données structurées pour changer de service
  • Droit d'opposition (Art. 21) — refuser un traitement fondé sur l'intérêt légitime
  • Droit de ne pas faire l'objet d'une décision entièrement automatisée (Art. 22)
  • Droit d'introduire une réclamation auprès d'une autorité de contrôle (Art. 77) — en France, la CNIL

Transferts internationaux (Chapitre V)

Si votre système de commentaires ou votre base de données lecteurs est hébergé hors de l'UE, le RGPD impose des garanties au titre des Articles 44–50. Après l'arrêt Schrems II (CJUE, 16 juillet 2020), les transferts vers les États-Unis reposent sur le Data Privacy Framework UE-États-Unis (en vigueur depuis juillet 2023), avec des mesures supplémentaires souvent exigées par l'EDPB. De nombreux éditeurs trouvent plus simple de conserver entièrement les données dans l'UE.

Les rôles : qui est responsable du traitement, qui est sous-traitant

Pour les données lecteurs de votre site de presse :

  • Vous (l'éditeur) êtes le responsable du traitement — vous décidez pourquoi et comment les données sont traitées (Art. 4.7).
  • Votre système de commentaires / outil de modération (Logora, Disqus, Viafoura, etc.) est généralement un sous-traitant — il traite les données pour votre compte, selon les instructions d'un contrat de sous-traitance (Art. 28).

Le contrat de sous-traitance est obligatoire au titre de l'Article 28.3. Il doit préciser l'objet, la durée, la nature, la finalité, les types de données, les catégories de personnes concernées, ainsi que vos obligations et droits en tant que responsable du traitement. Sans contrat de sous-traitance signé, vous ne pouvez pas légalement recourir à un sous-traitant tiers pour des données personnelles.

Ce que cela signifie concrètement pour vos opérations d'éditeur

  • Politique de confidentialité sur votre site, en langage clair, listant chaque activité de traitement (Articles 13–14)
  • Bandeau cookies uniquement lorsqu'il est requis — les cookies non traceurs et non ciblés en sont exemptés (recommandations de la CNIL sur la directive ePrivacy)
  • Contrats de sous-traitance signés avec chaque sous-traitant tiers : système de commentaires, outil de modération, analytics, ad tech, service e-mail
  • Registre des traitements (Article 30) — un registre interne listant toutes les activités de traitement
  • Désignation d'un DPO (Article 37) si vous réalisez un traitement à grande échelle ou un suivi systématique
  • Notification de violation de données dans les 72 heures à l'autorité (Article 33) et aux utilisateurs concernés en cas de risque élevé

Comment Logora gère cela

  • Contrat de sous-traitance signé avec chaque client, structuré selon l'Article 28.3
  • Hébergement exclusivement dans l'UE sur OVH, France — aucun transfert hors de l'UE, jamais
  • Données first-party — les comptes lecteurs appartiennent à la base de données de l'éditeur, pas à Logora
  • Aucun cookie de tracking tiers par défaut ; les statistiques éventuelles sont anonymes et sans cookies
  • Export pour le droit d'accès intégré à l'espace d'administration — un clic pour répondre à une demande au titre de l'Article 15
  • Traitement du droit à l'effacement utilisateur par utilisateur, avec suppression en cascade des commentaires et votes selon la politique de conservation de l'éditeur

Sources

Besoin d'auditer la configuration de vos données lecteurs ? Réservez un appel de 60 min avec notre équipe.

Guides utilisateur
Modération Bonnes pratiques Charte de modération
Exemples
Cas d'usage Documentation Espace admin
À propos
Équipe Blog Partenaires Positionnement Contact
Mentions légales
Mentions légales CGU Confidentialité
Aucun cookie de tracking. Infrastructure souveraine sur OVH (France).
Conçu pour la démocratie par Logora
⌘K / Ctrl+K pour ouvrir