RGPD et Site Web : Guide Conformité Pratique Pour TPE en 2026

Le RGPD vous fait peur. Vous avez entendu parler d'amendes astronomiques, de formulaires complexes, d'obligations incompréhensibles. Votre site web collecte des données (au minimum un formulaire de contact), et vous vous demandez si vous êtes en conformité — sans savoir par où commencer.

Bonne nouvelle : pour une TPE avec un site vitrine classique, la mise en conformité RGPD n'est ni complexe ni coûteuse. Ce guide vous donne les actions concrètes à mener, sans jargon juridique inutile, pour dormir tranquille.

Ce que le RGPD exige vraiment de votre site

Le RGPD (Règlement Général sur la Protection des Données) s'applique dès que vous collectez des données personnelles. Une donnée personnelle, c'est toute information permettant d'identifier une personne : nom, email, téléphone, adresse IP.

Si votre site a un formulaire de contact → vous collectez des données → le RGPD s'applique. Si votre site utilise Google Analytics → vous collectez des données → le RGPD s'applique. Si votre site a une newsletter → vous collectez des données → le RGPD s'applique.

En résumé : le RGPD s'applique à pratiquement tous les sites web professionnels.

Les 5 obligations concrètes pour votre site

Voici ce que vous devez avoir sur votre site pour être conforme.

1. Page Mentions Légales (obligatoire même sans RGPD)

Où la placer : Lien en pied de page, accessible depuis toutes les pages.

2. Page Politique de Confidentialité

Cette page explique comment vous traitez les données personnelles. Elle doit contenir :

Identité du responsable de traitement

Qui décide de la collecte ? Vous (votre entreprise).

Données collectées et finalités

Quelles données ? Pour quoi faire ?

Exemple : « Nom, email, téléphone via le formulaire de contact, utilisés pour répondre à vos demandes. »

Base légale du traitement

Pourquoi avez-vous le droit de collecter ?

• Consentement (la personne a accepté)
• Exécution d'un contrat
• Intérêt légitime (pour une entreprise : prospection de clients existants)

Durée de conservation

Combien de temps gardez-vous les données ?

Exemple : « Les données de contact sont conservées 3 ans après le dernier échange. »

Destinataires des données

Qui a accès ? Vous, votre hébergeur, éventuellement des sous-traitants (newsletter, analytics).

Droits des personnes

Les visiteurs ont le droit d'accéder, rectifier, supprimer leurs données. Expliquez comment exercer ces droits (généralement par email).

Cookies utilisés

Liste des cookies, leur finalité, comment les refuser.

Où la placer : Page dédiée accessible depuis le pied de page et depuis le bandeau cookies.

3. Bandeau Cookies conforme

Si votre site utilise des cookies non essentiels (analytics, publicité, réseaux sociaux), vous devez :

Informer avant de déposer

Le visiteur doit être informé AVANT que les cookies soient déposés, pas après.

Permettre de refuser aussi facilement qu'accepter

Un bouton « Refuser » aussi visible que le bouton « Accepter ». Pas de dark pattern (bouton refuser en gris minuscule).

Permettre de modifier son choix

Un lien pour rouvrir le bandeau et changer d'avis (souvent en pied de page).

Respecter le choix

Si le visiteur refuse, les cookies non essentiels ne doivent PAS être déposés. Google Analytics ne doit pas se charger.

Solutions techniques : Plugins WordPress (Complianz, CookieYes, Axeptio) ou solutions SaaS (Tarteaucitron, Axeptio).

4. Consentement sur les formulaires

Chaque formulaire qui collecte des données doit :

Informer sur l'utilisation

Texte court expliquant à quoi servent les données.

Exemple : « Ces informations nous permettent de répondre à votre demande. Consultez notre politique de confidentialité. »

Case de consentement si nécessaire

Pour la newsletter : case à cocher NON pré-cochée avec texte explicite.

Pour un formulaire de contact simple : le consentement est implicite (la personne remplit volontairement), mais l'information reste obligatoire.

Lien vers la politique de confidentialité

Toujours accessible depuis le formulaire.

5. Sécurisation des données

Vous devez prendre des mesures raisonnables pour protéger les données.

HTTPS obligatoire

Votre site doit être en HTTPS (cadenas dans la barre d'adresse). C'est inclus gratuitement chez tous les hébergeurs sérieux (Let's Encrypt).

Accès restreints

Qui a accès à votre backoffice ? Limiter aux personnes nécessaires, mots de passe robustes.

Mises à jour de sécurité

Garder WordPress et les plugins à jour pour éviter les failles.

Les sanctions : mythe vs réalité

Vous avez lu que le RGPD permet des amendes de 20 millions d'euros. C'est vrai, mais contextualisons.

Les grosses amendes visent les gros. Amazon : 746 millions d'euros. Google : 150 millions. Ces sanctions concernent des multinationales avec des violations massives. Pour les TPE, la CNIL est pédagogue. La CNIL (autorité française) privilégie l'accompagnement pour les petites structures. En pratique : avertissement, mise en demeure avec délai de mise en conformité, PUIS sanction si refus obstiné. Le risque d'amende lourde : quasi nul si vous êtes de bonne foi et faites le minimum (mentions légales, politique de confidentialité, bandeau cookies correct).

Checklist de mise en conformité

Voici la liste des actions à mener, par ordre de priorité.

Priorité 1 : Les bases (à faire cette semaine)

• [ ] Page Mentions Légales créée et accessible
• [ ] Page Politique de Confidentialité créée et accessible
• [ ] HTTPS actif sur tout le site
• [ ] Lien vers politique de confidentialité sur chaque formulaire

Priorité 2 : Les cookies (à faire ce mois-ci)

• [ ] Bandeau cookies installé (solution conforme)
• [ ] Google Analytics ne charge que si consentement accepté
• [ ] Bouton « Refuser » visible et fonctionnel
• [ ] Possibilité de modifier son choix (lien en footer)

Priorité 3 : La documentation (à faire ce trimestre)

• [ ] Registre des traitements créé (document interne listant vos traitements de données)
• [ ] Contrats avec sous-traitants vérifiés (hébergeur, newsletter, etc.)
• [ ] Procédure de réponse aux demandes d'exercice de droits définie

Priorité 4 : La maintenance (récurrent)

• [ ] Mises à jour de sécurité régulières
• [ ] Révision annuelle de la politique de confidentialité
• [ ] Suppression des données obsolètes selon durées de conservation définies

Google Analytics et RGPD : le cas particulier

Google Analytics pose des questions spécifiques depuis les décisions de la CNIL en 2022.

Le problème : GA transfère des données vers les États-Unis, ce qui pose des questions de conformité avec le RGPD. La CNIL a déclaré certaines implémentations non conformes. La situation en 2026 : Le nouveau cadre de transfert UE-US (Data Privacy Framework) a partiellement résolu le problème. Google Analytics 4 avec les bons réglages est désormais considéré comme utilisable. Comment être conforme avec GA4 :

1. Utiliser Google Analytics 4 (pas l'ancien Universal Analytics)

2. Anonymiser les IP (option dans GA4)

3. Ne charger GA4 que si le visiteur accepte les cookies analytics

4. Désactiver le partage de données avec Google si possible

5. Documenter dans votre politique de confidentialité

Alternative : Matomo

Solution analytics française, hébergeable en France, pleinement RGPD-compatible. Version cloud ou auto-hébergée. Bonne alternative si vous voulez éviter tout débat sur Google.

Modèle de politique de confidentialité

Voici une structure adaptée aux TPE avec site vitrine.

Note : Ce modèle est une base à adapter à votre situation. Pour des traitements complexes, consultez un juriste.

Questions fréquentes

Mon petit site vitrine est-il vraiment concerné par le RGPD ?

Oui, dès que vous collectez des données personnelles (formulaire de contact, Google Analytics, newsletter). Une donnée personnelle = toute info permettant d'identifier quelqu'un (nom, email, téléphone, adresse IP). Pratiquement tous les sites pro sont concernés.

Quels sont les risques réels d'amende pour une TPE non conforme ?

Les amendes de millions d'euros visent les multinationales. Pour les TPE, la CNIL privilégie l'accompagnement : avertissement, mise en demeure avec délai, puis sanction si refus obstiné. Le vrai risque : perte de confiance client et plainte qui déclenche un contrôle.

Comment rendre mon bandeau cookies conforme à la CNIL ?

Bouton « Refuser » aussi visible que « Accepter », pas de cases pré-cochées, cookies non essentiels NON déposés avant consentement, possibilité de modifier son choix facilement. Les dark patterns (refuser en gris minuscule) sont interdits.

Google Analytics est-il compatible RGPD ?

GA4 avec les bons réglages est désormais considéré comme utilisable : anonymisation IP activée, chargement conditionné au consentement cookies, désactivation du partage de données avec Google si possible. Alternative 100% conforme : Matomo (français).

Que doit contenir ma politique de confidentialité ?

Identité du responsable de traitement, données collectées et leurs finalités, base légale, durée de conservation, destinataires, droits des personnes (accès, rectification, suppression) et comment les exercer, liste des cookies utilisés.

Passez à l'action

La conformité RGPD n'est pas un monstre juridique. Pour un site vitrine de TPE, c'est une demi-journée de travail pour mettre en place les fondamentaux, puis une maintenance légère.

Le plus important : montrez que vous respectez les données de vos clients. C'est un argument de confiance, pas juste une contrainte légale.

Besoin d'aide pour mettre votre site en conformité ? Nous intégrons systématiquement les éléments RGPD essentiels dans tous nos sites, et pouvons auditer votre site existant.

Demander un audit RGPD →