RGPD et site web en Autriche : ce que les entreprises doivent respecter
Mentions légales, politique de confidentialité, bandeau cookies, Google Fonts : les exigences juridiques applicables à un site web sont nombreuses en Autriche. Cet aperçu montre ce qui est obligatoire, ce qui est souvent négligé – et comment éviter les erreurs typiques.
Exploiter un site web en Autriche, c'est assumer la responsabilité de données personnelles. Cela vaut pour l'entreprise individuelle comme pour la PME établie – le RGPD ne connaît pas d'exceptions pour les petites structures. La bonne nouvelle : qui connaît les éléments essentiels et les met en œuvre correctement est du bon côté. La mauvaise : de nombreux sites ne le sont pas, et le nombre de mises en demeure et de plaintes auprès de l'autorité de protection des données augmente.
Mentions légales : ce qui est obligatoire en Autriche
En Autriche, les mentions légales sont régies par la loi sur le commerce électronique (ECG). Les indications obligatoires pour les sites exploités à titre commercial sont le nom et l'adresse de l'entreprise, les coordonnées (e-mail, téléphone), l'objet de l'entreprise, l'autorité de surveillance compétente ainsi que, pour les sociétés de capitaux, le numéro et le tribunal du registre du commerce. Les mentions légales doivent être facilement accessibles depuis chaque sous-page – un lien dans le footer suffit, tant qu'il est clairement identifiable.
Politique de confidentialité : ce qu'elle doit contenir
La politique de confidentialité informe les utilisateurs des données collectées, de leur finalité, de leur base juridique et de leur durée de conservation. Les droits des personnes concernées doivent également être expliqués : accès, rectification, effacement, limitation et opposition. Un modèle générique trouvé sur Internet ne suffit généralement pas – la politique doit refléter les outils et processus réellement utilisés. Qui utilise Google Analytics, un formulaire de contact ou un service de newsletter doit les mentionner explicitement.
Bandeau cookies : quand il est nécessaire et ce qui compte
Tous les sites web n'ont pas besoin d'un bandeau cookies – mais tous ceux qui utilisent des cookies ou des outils de tracking non nécessaires sur le plan technique, si. Cela concerne pratiquement tous les sites avec Google Analytics, Google Ads, le pixel Facebook ou des services similaires. Point décisif : le bandeau doit offrir un véritable choix. Les cases précochées, les dark patterns ou l'assimilation de « Refuser » à la fermeture du bandeau ne sont pas admissibles. Le Consent Mode v2 de Google est désormais obligatoire pour tous ceux qui veulent utiliser Google Ads ou GA4.
Google Fonts et ressources externes
Un risque souvent sous-estimé : qui charge Google Fonts, des vidéos YouTube intégrées ou d'autres ressources externes directement depuis un serveur tiers transmet ce faisant l'adresse IP de l'utilisateur – sans son consentement. Les tribunaux autrichiens l'ont déjà qualifié de violation du RGPD. La solution est simple dans la plupart des cas : héberger Google Fonts localement, ne charger les vidéos YouTube qu'au clic (mode de confidentialité avancée ou miniature de substitution) et vérifier, pour les autres services tiers, qu'ils ne se chargent qu'après consentement.
Formulaires de contact et traitement des e-mails
Chaque formulaire de contact traite des données personnelles. Cela exige une information claire sur ce qu'il advient des données, un renvoi à la politique de confidentialité et – si des données sont transmises à des tiers (par exemple un CRM ou un service d'e-mailing) – une clause correspondante dans le contrat de sous-traitance. Le principe de minimisation des données s'applique : seules les données réellement nécessaires au traitement de la demande peuvent être collectées.
Check-list pratique pour des sites web conformes au RGPD
- Mentions légales complètes et accessibles depuis chaque page
- Politique de confidentialité à jour et adaptée aux outils réellement utilisés
- Bandeau cookies avec de véritables choix, pas d'opt-out par défaut
- Google Fonts hébergé localement
- Scripts externes (Analytics, Ads, pixels) chargés uniquement après consentement
- Formulaire de contact avec mention de confidentialité, uniquement les champs nécessaires
- Certificat SSL actif (https) – condition de base pour une transmission sécurisée des données
- Contrats de sous-traitance avec tous les prestataires qui traitent des données
Cet article est fourni à titre d'information générale. Pour une évaluation juridiquement sûre de votre cas particulier, nous recommandons de consulter un avocat spécialisé en protection des données.
Questions fréquentes
- Chaque site web a-t-il besoin de mentions légales en Autriche ?
- Oui. En Autriche, l'obligation de mentions légales selon la loi sur le commerce électronique s'applique à tous les sites web exploités à titre commercial. Les indications obligatoires sont le nom, l'adresse, les coordonnées, l'objet de l'entreprise, l'autorité de surveillance et, pour les GmbH/AG, le numéro du registre du commerce.
- Un bandeau cookies est-il obligatoire pour chaque site web ?
- Pas pour chaque site, mais pour la plupart. Dès que des cookies ou des outils de tracking non nécessaires sur le plan technique sont utilisés – par exemple Google Analytics ou Google Ads – un bandeau de consentement offrant un véritable choix est juridiquement requis.
- Que doit contenir une politique de confidentialité ?
- Des informations sur les données collectées, leur finalité, leur base juridique, leur durée de conservation, leur éventuelle transmission à des tiers et les droits des personnes concernées.
- Quelles sanctions en cas de violation du RGPD sur le site web ?
- Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel. Dans la pratique, les petites entreprises reçoivent souvent des mises en demeure, assorties de frais d'avocat.
- Google Fonts doit-il être intégré localement ?
- Oui, si vous misez sur la sécurité juridique. Lorsque Google Fonts est chargé depuis le serveur de Google, des adresses IP sont transmises sans consentement. La solution sûre consiste à héberger les fichiers de polices localement, sur votre propre serveur.
- Le RGPD s'applique-t-il aussi aux petites entreprises ?
- Oui. Le RGPD s'applique à toutes les entreprises et à tous les indépendants qui traitent des données personnelles de citoyens de l'UE – indépendamment de la taille de l'entreprise ou du chiffre d'affaires.