Le RGPD vous fait peur. Vous avez entendu parler d'amendes astronomiques, de formulaires complexes, d'obligations incompréhensibles. Votre site web collecte des données (au minimum un formulaire de contact), et vous vous demandez si vous êtes en conformité — sans savoir par où commencer.
Bonne nouvelle : pour une TPE avec un site vitrine classique, la mise en conformité RGPD n'est ni complexe ni coûteuse. Ce guide vous donne les actions concrètes à mener, sans jargon juridique inutile, pour dormir tranquille.
Ce que le RGPD exige vraiment de votre site
Le RGPD (Règlement Général sur la Protection des Données) s'applique dès que vous collectez des données personnelles. Une donnée personnelle, c'est toute information permettant d'identifier une personne : nom, email, téléphone, adresse IP.
Si votre site a un formulaire de contact → vous collectez des données → le RGPD s'applique. Si votre site utilise Google Analytics → vous collectez des données → le RGPD s'applique. Si votre site a une newsletter → vous collectez des données → le RGPD s'applique.En résumé : le RGPD s'applique à pratiquement tous les sites web professionnels.
Les 5 obligations concrètes pour votre site
Voici ce que vous devez avoir sur votre site pour être conforme.
1. Page Mentions Légales (obligatoire même sans RGPD)
- Identité de l'éditeur : nom/raison sociale, adresse, SIRET
- Contact : email ou téléphone
- Directeur de la publication (généralement le gérant)
- Hébergeur : nom, adresse, contact
2. Page Politique de Confidentialité
Cette page explique comment vous traitez les données personnelles. Elle doit contenir :
Identité du responsable de traitementQui décide de la collecte ? Vous (votre entreprise).
Données collectées et finalitésQuelles données ? Pour quoi faire ?
Exemple : « Nom, email, téléphone via le formulaire de contact, utilisés pour répondre à vos demandes. »
Base légale du traitementPourquoi avez-vous le droit de collecter ?
- Consentement (la personne a accepté)
- Exécution d'un contrat
- Intérêt légitime (pour une entreprise : prospection de clients existants)
Combien de temps gardez-vous les données ?
Exemple : « Les données de contact sont conservées 3 ans après le dernier échange. »
Destinataires des donnéesQui a accès ? Vous, votre hébergeur, éventuellement des sous-traitants (newsletter, analytics).
Droits des personnesLes visiteurs ont le droit d'accéder, rectifier, supprimer leurs données. Expliquez comment exercer ces droits (généralement par email).
Cookies utilisésListe des cookies, leur finalité, comment les refuser.
Où la placer : Page dédiée accessible depuis le pied de page et depuis le bandeau cookies.3. Bandeau Cookies conforme
Si votre site utilise des cookies non essentiels (analytics, publicité, réseaux sociaux), vous devez :
Informer avant de déposerLe visiteur doit être informé AVANT que les cookies soient déposés, pas après.
Permettre de refuser aussi facilement qu'accepterUn bouton « Refuser » aussi visible que le bouton « Accepter ». Pas de dark pattern (bouton refuser en gris minuscule).
Permettre de modifier son choixUn lien pour rouvrir le bandeau et changer d'avis (souvent en pied de page).
Respecter le choixSi le visiteur refuse, les cookies non essentiels ne doivent PAS être déposés. Google Analytics ne doit pas se charger.
Solutions techniques : Plugins WordPress (Complianz, CookieYes, Axeptio) ou solutions SaaS (Tarteaucitron, Axeptio).4. Consentement sur les formulaires
Chaque formulaire qui collecte des données doit :
Informer sur l'utilisationTexte court expliquant à quoi servent les données.
Exemple : « Ces informations nous permettent de répondre à votre demande. Consultez notre politique de confidentialité. »
Case de consentement si nécessairePour la newsletter : case à cocher NON pré-cochée avec texte explicite.
Pour un formulaire de contact simple : le consentement est implicite (la personne remplit volontairement), mais l'information reste obligatoire.
Lien vers la politique de confidentialitéToujours accessible depuis le formulaire.
5. Sécurisation des données
Vous devez prendre des mesures raisonnables pour protéger les données.
HTTPS obligatoireVotre site doit être en HTTPS (cadenas dans la barre d'adresse). C'est inclus gratuitement chez tous les hébergeurs sérieux (Let's Encrypt).
Accès restreintsQui a accès à votre backoffice ? Limiter aux personnes nécessaires, mots de passe robustes.
Mises à jour de sécuritéGarder WordPress et les plugins à jour pour éviter les failles.
Les sanctions : mythe vs réalité
Vous avez lu que le RGPD permet des amendes de 20 millions d'euros. C'est vrai, mais contextualisons.
Les grosses amendes visent les gros. Amazon : 746 millions d'euros. Google : 150 millions. Ces sanctions concernent des multinationales avec des violations massives. Pour les TPE, la CNIL est pédagogue. La CNIL (autorité française) privilégie l'accompagnement pour les petites structures. En pratique : avertissement, mise en demeure avec délai de mise en conformité, PUIS sanction si refus obstiné.- Perte de confiance des clients si fuite de données
- Plainte d'un client mécontent qui peut déclencher un contrôle
- Image de marque dégradée
Checklist de mise en conformité
Voici la liste des actions à mener, par ordre de priorité.
Priorité 1 : Les bases (à faire cette semaine)
- [ ] Page Mentions Légales créée et accessible
- [ ] Page Politique de Confidentialité créée et accessible
- [ ] HTTPS actif sur tout le site
- [ ] Lien vers politique de confidentialité sur chaque formulaire
Priorité 2 : Les cookies (à faire ce mois-ci)
- [ ] Bandeau cookies installé (solution conforme)
- [ ] Google Analytics ne charge que si consentement accepté
- [ ] Bouton « Refuser » visible et fonctionnel
- [ ] Possibilité de modifier son choix (lien en footer)
Priorité 3 : La documentation (à faire ce trimestre)
- [ ] Registre des traitements créé (document interne listant vos traitements de données)
- [ ] Contrats avec sous-traitants vérifiés (hébergeur, newsletter, etc.)
- [ ] Procédure de réponse aux demandes d'exercice de droits définie
Priorité 4 : La maintenance (récurrent)
- [ ] Mises à jour de sécurité régulières
- [ ] Révision annuelle de la politique de confidentialité
- [ ] Suppression des données obsolètes selon durées de conservation définies
Google Analytics et RGPD : le cas particulier
Google Analytics pose des questions spécifiques depuis les décisions de la CNIL en 2022.
Le problème : GA transfère des données vers les États-Unis, ce qui pose des questions de conformité avec le RGPD. La CNIL a déclaré certaines implémentations non conformes. La situation en 2026 : Le nouveau cadre de transfert UE-US (Data Privacy Framework) a partiellement résolu le problème. Google Analytics 4 avec les bons réglages est désormais considéré comme utilisable. Comment être conforme avec GA4 :1. Utiliser Google Analytics 4 (pas l'ancien Universal Analytics)
2. Anonymiser les IP (option dans GA4)
3. Ne charger GA4 que si le visiteur accepte les cookies analytics
4. Désactiver le partage de données avec Google si possible
5. Documenter dans votre politique de confidentialité
Alternative : MatomoSolution analytics française, hébergeable en France, pleinement RGPD-compatible. Version cloud ou auto-hébergée. Bonne alternative si vous voulez éviter tout débat sur Google.
Modèle de politique de confidentialité
Voici une structure adaptée aux TPE avec site vitrine.
Note : Ce modèle est une base à adapter à votre situation. Pour des traitements complexes, consultez un juriste.Questions fréquentes sur le RGPD
Est-ce que le RGPD concerne vraiment un petit site vitrine d'artisan ?
Oui, absolument. Le règlement ne fait aucune distinction de taille d'entreprise. Dès qu'un client à Sallanches ou Megève remplit votre formulaire de contact pour un devis, vous manipulez des "données à caractère personnel". Vous avez alors l'obligation légale d'expliquer comment vous stockez ces emails et combien de temps vous les conservez.
Le bandeau de cookies est-il obligatoire si je n'ai pas de publicité ?
Malheureusement oui, si vous voulez connaître votre nombre de visiteurs via Google Analytics. Le consentement explicite est requis pour tout traceur qui n'est pas "strictement indispensable" à la navigation. Un bandeau propre et conforme renforce d'ailleurs votre sérieux auprès des internautes de plus en plus sensibles à la protection de leur vie privée.
Que risque réellement une TPE en Haute-Savoie en cas de non-conformité ?
Au-delà des amendes théoriques, le risque principal est la perte de crédibilité. En cas de contrôle ou de litige avec un client, l'absence de mentions légales ou d'une politique de confidentialité claire vous met en tort d'office. Chez MontPC, nous voyons la mise en conformité comme une assurance sérénité : vous montrez à vos clients que vous traitez leurs informations avec autant de soin que vos chantiers ou vos produits.
Google Analytics est-il enfin autorisé en France en 2026 ?
Après plusieurs années de flou juridique, l'utilisation de Google Analytics 4 (GA4) est validée par la CNIL, à condition de respecter le "Consent Mode v2". Cela signifie que le site doit communiquer le choix du visiteur à Google de manière cryptée. Nous configurons systématiquement ces outils de manière conforme pour nos clients à Saint-Gervais et dans toute la vallée.
Combien coûte la mise en conformité RGPD d'un site chez MontPC ?
Pour nos clients en création de site, c'est inclus par défaut. Si vous avez déjà un site et que vous souhaitez le mettre aux normes, nous proposons un forfait "Mise en Conformité" entre 150€ et 300€. Cela comprend l'installation d'un bandeau cookies intelligent, la rédaction de vos pages légales personnalisées et la mise en sécurité de vos formulaires.
Passez à l'action
La conformité RGPD n'est pas un monstre juridique. Pour un site vitrine de TPE, c'est une demi-journée de travail pour mettre en place les fondamentaux, puis une maintenance légère.
Le plus important : montrez que vous respectez les données de vos clients. C'est un argument de confiance, pas juste une contrainte légale.
Besoin d'aide pour mettre votre site en conformité ? Nous intégrons systématiquement les éléments RGPD essentiels dans tous nos sites, et pouvons auditer votre site existant.
Demander un audit RGPD →