Le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis 2018, mais en 2026, de nombreux sites web ne sont toujours pas conformes. Les amendes sont réelles et progressives : la CNIL a prononcé plus de 500 millions d'euros de sanctions depuis l'entrée en vigueur du règlement, et son service de contrôle inspecte désormais les PME, pas seulement les géants du numérique.
Si votre site collecte des données personnelles — ce qui est le cas de quasiment tous les sites avec un formulaire de contact ou Google Analytics — ce guide vous explique exactement ce que vous devez faire, dans quel ordre, avec les outils concrets.
!Conformité RGPD et protection des données personnelles
Qu'est-ce que le RGPD et à quelles entreprises s'applique-t-il ?
Le RGPD s'applique à toute entreprise qui traite des données de résidents européens, quelle que soit la taille de l'entreprise et quelle que soit sa localisation. Un artisan français avec un formulaire de contact sur son site, une boutique en ligne qui utilise Google Analytics, un coach qui envoie une newsletter : tous sont concernés.
Qu'est-ce qu'une donnée personnelle ? Toute information permettant d'identifier une personne directement ou indirectement : nom, email, numéro de téléphone, adresse IP, cookies de navigation, historique d'achat, localisation, photographie.
Les 7 principes fondamentaux du RGPD :
1. Licéité — chaque traitement de données doit avoir une base légale (consentement, contrat, intérêt légitime, obligation légale)
2. Finalité — les données collectées doivent avoir un objectif précis et déclaré à l'avance
3. Minimisation — ne collecter que ce qui est strictement nécessaire à la finalité déclarée
4. Exactitude — les données doivent être tenues à jour et corrigées si inexactes
5. Limitation de conservation — pas de stockage indéfini, définir des durées de rétention
6. Intégrité et confidentialité — sécuriser les données contre les accès non autorisés
7. Responsabilité — être capable de prouver sa conformité à tout moment
Sanctions CNIL applicables aux entreprises non conformes :
| Type de violation | Amende maximum |
|-------------------|---------------|
| Mineure (manquements formels, information) | 10M€ ou 2% du CA mondial |
| Majeure (droits des personnes, sécurité, transferts) | 20M€ ou 4% du CA mondial |
Exemples réels : Google condamné à 150M€ (bandeau cookies non conforme), Amazon 746M€ (publicité ciblée sans consentement valide), un médecin libéral 5 000€ (dossiers patients non sécurisés). La CNIL procède aussi à des contrôles en ligne automatisés sur des milliers de sites — dont les sites de petites entreprises.
Quels sont les 7 éléments RGPD obligatoires sur un site web ?
1. Bandeau de cookies conforme
Le bandeau doit s'afficher avant tout dépôt de cookie non essentiel. Il doit proposer "Accepter" et "Refuser" avec la même visibilité (même taille, même couleur — pas de bouton refuser caché ou grisé), permettre un choix granulaire par catégorie, enregistrer le consentement avec horodatage, et renouveler la demande tous les 13 mois maximum.
Pratiques interdites : cookies walls (bloquer l'accès au site si refus), bouton "Refuser" non affiché ou difficile à trouver, scroll ou navigation considérés comme consentement, cases pré-cochées.
Outils recommandés : Axeptio (interface UX soignée, 50€/mois), Tarteaucitron (open source, gratuit avec gestion technique), Cookiebot (complet, avec audit automatique des cookies).
2. Politique de confidentialité
Document obligatoire accessible depuis chaque page (lien dans le footer). Doit contenir : identité du responsable de traitement, catégories de données collectées et leur finalité, base légale de chaque traitement, destinataires des données, transferts hors UE, durées de conservation, droits des utilisateurs et comment les exercer.
3. Mentions légales
Obligatoires pour tout site professionnel en France (loi LCEN). Identité de l'éditeur (nom, SIRET/SIREN, adresse, email), directeur de publication, hébergeur (nom et adresse). Utilisez notre générateur de mentions légales gratuit en 2 minutes.
4. Formulaires conformes
Chaque formulaire collectant des données doit afficher : une information sur l'utilisation des données, une case à cocher non pré-cochée pour les usages optionnels, un lien vers la politique de confidentialité. Ne demandez jamais plus d'informations que nécessaire au premier contact.
5. Sécurité des données
HTTPS obligatoire (certificat SSL), mots de passe hachés (jamais en clair), accès aux données restreint aux personnes qui en ont besoin, sauvegardes régulières, journaux d'accès.
6. Registre des traitements
Document interne listant tous les traitements de données avec : finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité. Obligatoire pour les entreprises de plus de 250 salariés, fortement recommandé pour toutes.
7. Gestion des droits des personnes
Vous devez permettre : l'accès aux données (copie de ce que vous avez), la rectification, l'effacement ("droit à l'oubli"), la portabilité (données dans un format lisible), et l'opposition. Délai de réponse : 1 mois maximum.
| Droit | Description | Délai légal |
|-------|-------------|-------------|
| Accès | Recevoir une copie de ses données | 1 mois |
| Rectification | Corriger des données inexactes | 1 mois |
| Effacement | Supprimer ses données | 1 mois |
| Portabilité | Recevoir ses données en format exportable | 1 mois |
| Opposition | Refuser un traitement basé sur intérêt légitime | Immédiat |
!Mise en conformité RGPD étape par étape
Comment mettre son site en conformité RGPD en 4 semaines ?
Semaine 1 — Audit
Listez toutes les données que vous collectez et pour quoi. Identifiez tous les cookies présents sur votre site (outil : Cookie Checker de Cookiebot, gratuit). Vérifiez que vos mentions légales et politique de confidentialité existent et sont à jour. Testez votre bandeau de cookies depuis un navigateur en navigation privée.
Semaine 2 — Corrections prioritaires
Implémentez un bandeau de cookies conforme (Axeptio ou Tarteaucitron). Rédigez ou mettez à jour la politique de confidentialité. Générez les mentions légales via notre outil gratuit. Mettez à jour les formulaires pour ajouter les mentions d'information.
Semaine 3 — Sécurité
Vérifiez que HTTPS est actif sur toutes les pages. Auditez les accès à votre back-office (qui a accès à quoi ?). Mettez en place des sauvegardes automatiques quotidiennes. Vérifiez la politique de mots de passe.
Semaine 4 — Documentation
Créez votre registre des traitements (un tableau Excel suffit). Définissez le processus interne de gestion des droits (qui répond, en combien de temps, comment ?). Si vous avez une équipe, formez-la aux bases du RGPD.
Pour Google Analytics 4 : en 2026, GA4 est globalement accepté par la CNIL si le consentement est recueilli avant l'activation des cookies et si l'anonymisation IP est activée. Alternatives conformes sans cookies : Matomo (open source, hébergeable en France), Plausible ou Fathom (solutions SaaS européennes).
FAQ — Questions sur la conformité RGPD
Mon site vitrine sans formulaire est-il concerné par le RGPD ?
Oui. Si vous utilisez Google Analytics, le Meta Pixel, Google Tag Manager ou tout autre traceur tiers, vous collectez des données personnelles (adresse IP, cookies de navigation). Un bandeau de cookies conforme et une politique de confidentialité sont nécessaires même pour un site vitrine sans formulaire. Le simple fait de charger une police Google Fonts peut déposer un cookie — vérifiez avec un outil d'audit cookies.
Dois-je nommer un DPO (Délégué à la Protection des Données) ?
La désignation d'un DPO est obligatoire pour les organismes publics, et les entreprises dont l'activité principale implique un traitement à grande échelle de données sensibles (santé, données biométriques). Pour les PME classiques (artisans, commerçants, professions libérales, agences), ce n'est pas obligatoire mais fortement conseillé au-delà de 50 salariés. En dessous, le responsable juridique ou le dirigeant peut assumer ce rôle.
Les cookies essentiels nécessitent-ils un consentement ?
Non. Les cookies strictement nécessaires au fonctionnement du site ne requièrent pas de consentement : session de connexion, panier d'achat, choix de langue, token de sécurité CSRF. Ils doivent cependant être mentionnés dans votre politique de cookies. Seuls les cookies analytiques (Google Analytics), marketing (Meta Pixel, Google Ads) et de personnalisation nécessitent un consentement explicite et préalable.
Que risque-t-on concrètement si son site n'est pas conforme RGPD ?
Pour une PME : une mise en demeure de la CNIL avec délai de mise en conformité (généralement 3 mois), puis une amende proportionnelle au chiffre d'affaires en cas d'inaction. En pratique, la CNIL cible d'abord les entreprises avec des violations graves (données de santé, mots de passe en clair, absence totale de sécurité) plutôt que les simples oublis de mentions légales. Mais depuis 2023, les contrôles sur les bandeaux de cookies non conformes se sont multipliés sur tous types de sites.
Peut-on utiliser des templates de politique de confidentialité trouvés en ligne ?
Avec précaution. Les templates génériques ne tiennent pas compte de vos traitements spécifiques — si vous faites du retargeting Meta Ads, si vous stockez des données de santé ou si vous transférez des données hors UE, un template standard sera insuffisant. Utilisez un générateur qui demande des informations sur votre activité réelle, ou faites appel à un juriste spécialisé pour les traitements sensibles.