RGPD et Votre Site Web : Le Guide de Conformité pour les TPE/PME
Tout ce que vous devez savoir sur le RGPD pour votre site web, expliqué simplement. Cookies, formulaires, Google Analytics, sanctions : le guide complet pour les TPE/PME.
title: "RGPD et Votre Site Web : Le Guide de Conformité pour les TPE/PME" description: "Tout ce que vous devez savoir sur le RGPD pour votre site web, expliqué simplement. Cookies, formulaires, Google Analytics, sanctions : le guide complet pour les TPE/PME." date: "2026-02-26" author: "Équipe Raicode" tags: ["RGPD", "conformité", "CNIL", "cookies", "données personnelles", "TPE", "PME"] category: "Juridique" image: "/blog/rgpd-conformite-site-web-hero.png" ogImage: "/blog/rgpd-conformite-site-web-hero.png" keywords: ["RGPD site web", "conformité RGPD TPE", "RGPD PME", "CNIL sanctions", "bannière cookies conforme", "politique confidentialité", "Google Analytics RGPD", "données personnelles site web"]
En 2025, la CNIL a prononcé plus de 87 millions d'euros d'amendes pour non-conformité au RGPD. Et non, ce ne sont pas que les grandes entreprises qui sont visées : 42% des contrôles CNIL ciblent désormais les TPE et PME.
Vous avez un site web ? Vous collectez des emails via un formulaire contact ? Vous utilisez Google Analytics ? Alors le RGPD vous concerne directement.
Pas de panique. Ce guide va vous expliquer tout ce que vous devez savoir, simplement, sans jargon juridique, avec des actions concrètes que vous pouvez mettre en place dès aujourd'hui.
Le RGPD, C'est Quoi Exactement ?
La Version Simple
Le RGPD (Règlement Général sur la Protection des Données) est une loi européenne entrée en vigueur en mai 2018. Son objectif : protéger les données personnelles des citoyens européens.
Une donnée personnelle, c'est toute information qui permet d'identifier une personne :
Données personnelles courantes sur un site web :
□ Nom et prénom
□ Adresse email
□ Numéro de téléphone
□ Adresse IP
□ Données de navigation (cookies)
□ Adresse postale
□ Données de localisation
Si votre site web collecte ne serait-ce qu'une adresse email via un formulaire de contact, vous êtes concerné par le RGPD. Point.
Les 6 Principes à Retenir
| Principe | Ce que ça signifie concrètement | |----------|--------------------------------| | Licéité | Vous avez une raison légale de collecter ces données | | Limitation des finalités | Vous collectez pour un objectif précis, pas "au cas où" | | Minimisation | Vous ne demandez que le strict nécessaire | | Exactitude | Les données doivent être à jour | | Limitation de conservation | Vous ne gardez pas les données éternellement | | Sécurité | Vous protégez les données contre les fuites |
En résumé : Ne collectez que ce dont vous avez besoin, dites pourquoi, protégez-le, et supprimez-le quand c'est fini.
Quelles Données Votre Site Collecte-t-il ?
Beaucoup de dirigeants pensent : "Mon site ne collecte rien, c'est juste un site vitrine." En réalité, presque tous les sites collectent des données, parfois sans que vous le sachiez.
Les Données Collectées (Souvent) Sans le Savoir
Votre site collecte des données si vous avez :
□ Un formulaire de contact → nom, email, message
□ Un formulaire de devis → informations détaillées
□ Une inscription newsletter → adresse email
□ Google Analytics → adresse IP, pages visitées, appareil
□ Des boutons de partage réseaux sociaux → données de navigation
□ Un chat en ligne (Crisp, Intercom) → conversations, email
□ Des vidéos YouTube intégrées → cookies tiers
□ Google Maps intégré → cookies Google, localisation
Le Test Rapide
| Question | Si oui... | |----------|-----------| | Votre site a un formulaire de contact ? | Vous collectez des données personnelles | | Vous utilisez Google Analytics ? | Vous collectez des données de navigation | | Votre site affiche des vidéos YouTube ? | Des cookies tiers sont déposés | | Vous avez un pixel Facebook ou Google Ads ? | Vous tracez vos visiteurs | | Votre site a une carte Google Maps ? | Des cookies Google sont déposés |
Si vous avez répondu oui à au moins une question, vous devez vous conformer au RGPD. En pratique, c'est le cas de 99% des sites web.
La Bannière Cookies : Le Point le Plus Visible
La bannière cookies est souvent le premier contrôle de la CNIL. Une bannière mal faite, c'est une amende quasi garantie en cas de contrôle.
Ce Qui Est Conforme vs Ce Qui Ne l'Est Pas
| Conforme | Non conforme | |----------|-------------| | Boutons "Accepter" et "Refuser" de même taille | "Accepter" en vert vif, "Refuser" en gris clair | | Refuser en un seul clic | Refuser nécessite 3 clics dans les paramètres | | Aucun cookie avant consentement | Cookies déposés dès le chargement de la page | | Possibilité de changer d'avis | Pas de moyen de retirer son consentement |
Les Erreurs de Bannières Les Plus Fréquentes
❌ "En continuant à naviguer, vous acceptez nos cookies"
→ Le simple fait de naviguer n'est PAS un consentement valide
❌ Pas de bouton "Refuser" visible
→ Le refus doit être aussi facile que l'acceptation
❌ Cases pré-cochées dans les préférences
→ Le consentement doit être un acte positif et volontaire
❌ Cookie wall : bloquer l'accès au site si refus
→ Interdit sauf cas très spécifiques
❌ Cookies déposés avant tout consentement
→ Seuls les cookies strictement nécessaires sont autorisés sans accord
Exemple de Bannière Conforme
Ce site utilise des cookies
Nous utilisons des cookies pour mesurer notre audience
et améliorer votre expérience.
[Tout accepter] [Tout refuser] [Personnaliser mes choix]
→ Les boutons "Accepter" et "Refuser" sont de même taille
→ "Personnaliser" ouvre un panneau détaillé par catégorie
→ Un lien permet de modifier son choix à tout moment
Outils Recommandés
Vous n'avez pas besoin de coder votre bannière vous-même :
| Outil | Prix | Pour qui | |-------|------|----------| | Tarteaucitron | Gratuit | Vous avez un prestataire technique | | Axeptio | 19€/mois | TPE/PME sans compétences techniques | | Cookiebot | 12€/mois | Sites multilingues |
Notre recommandation : Axeptio si vous voulez du simple et joli, Tarteaucitron si vous avez un prestataire et voulez économiser.
La Politique de Confidentialité : Votre Document Clé
Tout site qui collecte des données doit avoir une politique de confidentialité accessible. Voici la structure minimum que la CNIL attend :
POLITIQUE DE CONFIDENTIALITÉ - STRUCTURE OBLIGATOIRE
□ Identité du responsable du traitement
(nom de l'entreprise, adresse, contact)
□ Liste des données collectées
(nom, email, IP, cookies...)
□ Finalités : pourquoi vous collectez ces données
(répondre aux demandes, statistiques, marketing...)
□ Base légale de chaque traitement
(consentement, intérêt légitime, contrat...)
□ Destinataires des données
(hébergeur, Google Analytics, Mailchimp...)
□ Transferts hors UE
(si vos données vont aux USA par exemple)
□ Durée de conservation
(combien de temps vous gardez chaque donnée)
□ Droits des personnes et comment les exercer
(accès, rectification, suppression, portabilité...)
□ Droit de réclamation auprès de la CNIL
□ Date de dernière mise à jour
Exemple Concret Pour un Site Vitrine
Données collectées via le formulaire de contact :
- Données : nom, adresse email, message
- Finalité : répondre à votre demande de renseignement
- Base légale : consentement (case à cocher)
- Destinataires : hébergeur (Vercel Inc.), outil email (Gmail)
- Conservation : 3 ans après le dernier échange
- Vos droits : accès, modification ou suppression
en écrivant à [email protected]
Où Placer Votre Politique
□ Lien dans le footer de chaque page
□ Lien dans la bannière cookies
□ Lien sous chaque formulaire
□ Page dédiée et accessible en permanence
Formulaires de Contact et Stockage des Données
Les Règles pour Vos Formulaires
1. Ne demandez que le strict nécessaire
Formulaire de contact :
✅ Conforme (minimisation des données) :
- Nom, Email, Message
❌ Non conforme (données excessives) :
- Nom, Prénom, Date de naissance, Adresse postale,
Situation familiale ← Aucun rapport avec une demande de contact
2. Ajoutez une case de consentement
La case de consentement doit être :
□ NON pré-cochée (le visiteur coche lui-même)
□ Claire sur l'utilisation des données
□ Accompagnée d'un lien vers la politique de confidentialité
□ Séparée de toute autre case (newsletter, CGV...)
3. Informez sur la finalité
Sous le formulaire, ajoutez une mention du type :
"Les informations recueillies font l'objet d'un traitement
destiné à répondre à votre demande. Consultez notre
politique de confidentialité pour en savoir plus."
Durées de Conservation Recommandées par la CNIL
| Type de donnée | Durée maximale | |----------------|---------------| | Formulaire de contact (prospects) | 3 ans après le dernier contact | | Clients actifs | Durée de la relation + 3 ans | | Anciens clients | 3 ans après fin de relation | | Cookies et traceurs | 13 mois maximum | | Données de connexion (logs) | 1 an | | Pièces comptables | 10 ans (obligation légale) |
Conseil pratique : Mettez un rappel dans votre agenda tous les 6 mois pour faire le ménage dans vos données.
Google Analytics et le RGPD : Le Casse-Tête Décrypté
Le Problème
Google Analytics pose un problème majeur avec le RGPD : il collecte l'adresse IP, dépose des cookies de suivi, et transfère les données aux USA. En 2022, la CNIL a jugé son utilisation sans précautions contraire au RGPD.
Les 3 Options
Option 1 : Garder Google Analytics (GA4) avec consentement
□ Attendre le consentement AVANT de charger le script GA4
□ Activer l'anonymisation des IP
□ Configurer la durée de conservation (14 mois max)
□ Activer le "Consent Mode" de Google
□ Ne PAS activer le partage de données avec Google
Inconvénient : 30 à 40% des visiteurs refusent les cookies. Vos stats sont incomplètes.
Option 2 : Utiliser une alternative conforme (Recommandé)
| Outil | Prix | Avantage principal | |-------|------|-------------------| | Matomo | Gratuit ou 23€/mois | Hébergement en France, CNIL-compatible | | Plausible | 9€/mois | Ultra-simple, pas de cookies | | Fathom | 14$/mois | Simple, conforme par défaut |
Avantages d'une alternative conforme :
□ Pas besoin de consentement pour l'analytics (mode exempté CNIL)
□ 100% de votre trafic mesuré
□ Données hébergées en Europe
□ Pas de partage avec des tiers
Option 3 : Ne pas mesurer l'audience
Possible, mais vous vous privez d'informations utiles pour votre business.
Notre recommandation : Matomo en mode exempté CNIL ou Plausible. 100% de votre audience mesurée, 100% conforme.
Sanctions et Amendes : Ce Que Vous Risquez Vraiment
Soyons honnêtes : la CNIL ne va probablement pas débarquer chez vous demain. Mais les contrôles de TPE/PME existent et augmentent chaque année.
L'Échelle des Sanctions
1. Avertissement
→ Courrier demandant la mise en conformité
→ Pas de sanction financière
2. Mise en demeure
→ Obligation de corriger sous X jours
→ Publication possible de la décision
3. Sanction financière
→ Jusqu'à 20 millions d'euros
→ Ou 4% du chiffre d'affaires annuel mondial
En Pratique, Pour les TPE/PME
| Situation | Risque réel | |-----------|------------| | Pas de bannière cookies | Mise en demeure, puis amende | | Bannière non conforme | Avertissement, puis mise en demeure | | Pas de politique de confidentialité | Mise en demeure | | Fuite de données non signalée | Amende potentiellement importante | | Plainte d'un client/visiteur | Contrôle CNIL quasi systématique |
Ce Qui Déclenche Un Contrôle
□ Plainte d'un utilisateur (le plus fréquent)
□ Signalement d'un concurrent
□ Campagne thématique CNIL (cookies, santé, etc.)
□ Fuite de données médiatisée
□ Contrôle aléatoire (rare mais possible)
La bonne nouvelle : La CNIL est plutôt bienveillante avec les TPE/PME de bonne foi. C'est l'absence totale d'effort qui pose problème, pas l'imperfection.
Les 7 Erreurs les Plus Courantes
Erreur #1 : "Mon Site Est Juste Vitrine, Ça Ne Me Concerne Pas"
Faux. Même un site vitrine avec un formulaire de contact collecte des données personnelles. Et si vous avez Google Analytics, vous collectez les données de navigation de tous vos visiteurs.
Erreur #2 : La Bannière Cookie "Fantôme"
Installer une bannière mais déposer les cookies avant que le visiteur n'ait fait son choix. Comment vérifier : ouvrez votre site en navigation privée, avant de cliquer sur la bannière, regardez les cookies (F12 > Application > Cookies). Si vous voyez des cookies Analytics ou Facebook, votre bannière ne fonctionne pas.
Erreur #3 : Copier-Coller une Politique de Confidentialité
Une politique de confidentialité doit refléter VOS pratiques réelles. Copier celle d'un autre site, c'est potentiellement mentir à vos visiteurs et aggraver votre situation en cas de contrôle.
Erreur #4 : Oublier les Sous-Traitants
Mailchimp, Calendly, Stripe... chacun de ces outils traite des données pour votre compte. Ils doivent être mentionnés dans votre politique de confidentialité.
Erreur #5 : Ne Jamais Supprimer les Données
Garder tous les emails de contact depuis 2015 sans jamais rien supprimer. La CNIL attend une durée de conservation définie et respectée.
Erreur #6 : Newsletter Sans Double Opt-in
❌ Simple opt-in :
Email entré → inscrit directement
✅ Double opt-in (recommandé) :
Email entré → email de confirmation → clic sur le lien → inscrit
Le double opt-in vous protège :
□ Preuve irréfutable de consentement
□ Moins de fausses adresses
□ Protection en cas de contrôle
Erreur #7 : Ignorer les Demandes de Suppression
Un visiteur demande la suppression de ses données ? Vous devez répondre sous 1 mois maximum. Ne pas répondre, c'est une infraction.
Checklist Complète de Mise en Conformité
Phase 1 : Les Urgences (Cette Semaine)
□ Bannière cookies fonctionnelle
→ "Accepter" et "Refuser" visibles et équitables
→ Aucun cookie non-essentiel avant consentement
□ Politique de confidentialité
→ Accessible depuis le footer
→ Reflète vos pratiques réelles
□ Mentions légales complètes
→ Nom, adresse, SIRET, hébergeur
□ Formulaires conformes
→ Case de consentement non pré-cochée
→ Lien vers la politique de confidentialité
Phase 2 : Les Fondamentaux (Ce Mois-ci)
□ Lister TOUS les outils tiers du site
→ Analytics, Facebook Pixel, chat, maps, vidéos...
→ Les ajouter à votre politique de confidentialité
□ Configurer correctement l'analytics
→ Passer à Matomo/Plausible OU configurer GA4 avec consentement
□ Vérifier la sécurité de base
→ HTTPS activé (cadenas dans la barre d'adresse)
→ Mots de passe sécurisés pour l'accès admin
□ Définir les durées de conservation
→ Formulaire contact : 3 ans / Cookies : 13 mois
Phase 3 : La Consolidation (Ce Trimestre)
□ Créer un registre des traitements (même simplifié)
→ Modèle gratuit sur le site de la CNIL
□ Vérifier les contrats avec les sous-traitants
→ Hébergeur, analytics, emailing, CRM
□ Mettre en place un process pour les demandes de droits
→ Email dédié + template de réponse prêt
□ Former votre équipe (un briefing de 30 min suffit)
Phase 4 : L'Entretien (En Continu)
□ Vérifier la conformité tous les 6 mois
□ Mettre à jour les documents si changement d'outils
□ Supprimer les données au-delà de la durée de conservation
□ Répondre aux demandes de droits sous 1 mois
Ressources Utiles
Sites de Référence CNIL (Gratuits)
□ cnil.fr/fr/rgpd-de-quoi-parle-t-on
→ Explication officielle du RGPD
□ cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
→ Modèle gratuit de registre des traitements
□ cnil.fr/fr/cookies-et-autres-traceurs
→ Guide complet sur les cookies
Questions Fréquentes
"Je suis auto-entrepreneur, suis-je concerné ?" Oui. Le RGPD s'applique à toute organisation qui traite des données personnelles, quelle que soit sa taille.
"Mon site est hébergé aux USA, c'est un problème ?" Si votre hébergeur est certifié Data Privacy Framework, c'est acceptable. Sinon, envisagez un hébergement européen (OVH, Scaleway, Infomaniak).
"Combien coûte la mise en conformité ?" Pour un site vitrine TPE/PME : le faire soi-même coûte 0€ + bannière cookies (0 à 19€/mois). Faire appel à un prestataire : 500 à 2 000€ pour un audit + mise en conformité.
"Ai-je besoin d'un DPO ?" Un DPO n'est obligatoire que pour les organismes publics ou les entreprises qui traitent des données sensibles à grande échelle. Pour la plupart des TPE/PME, ce n'est pas nécessaire.
Le Mot de la Fin
Le RGPD n'est pas un monstre bureaucratique conçu pour vous empêcher de travailler. C'est un cadre qui protège vos clients et, par extension, votre entreprise.
Un site conforme inspire confiance. Un client qui voit une bannière cookies propre, une politique de confidentialité claire et des formulaires transparents se dit : "Cette entreprise est sérieuse." Et la confiance, c'est le premier pas vers une vente.
Le plus important : ne visez pas la perfection du premier coup. Commencez par les bases et améliorez progressivement. La CNIL récompense la bonne volonté, pas la perfection.
Le coût de la mise en conformité ? Quelques heures de votre temps. Le coût de l'inaction ? Jusqu'à 4% de votre chiffre d'affaires annuel.
Le choix est vite fait.
Vous avez des questions sur la conformité RGPD de votre site web ? On peut faire un diagnostic rapide et vous orienter sur les actions prioritaires. Discutons-en sur WhatsApp
Prêt à lancer votre projet ?
Transformez vos idées en réalité avec un développeur passionné par la performance et le SEO. Discutons de votre projet dès aujourd'hui.
