RGPD pour site web PME : checklist conformité 2026

Claire gère une agence immobilière indépendante à Caen. En février 2026, elle reçoit un mail de la CNIL suite à une plainte d'un ancien prospect : son site collectait les emails via un formulaire sans case de consentement, aucune politique de confidentialité n'était accessible, et sa bannière cookies se limitait à un bouton "OK" sans option de refus. La CNIL lui donne 30 jours pour se mettre en conformité, faute de quoi une procédure de sanction sera ouverte. Montant plancher annoncé : 8 000 euros, avec publication nominative sur le site de la CNIL.

Le cas de Claire n'a rien d'exceptionnel. Depuis 2023, la CNIL a publié plus de 120 sanctions visant des PME françaises, et la tendance s'accélère en 2025 et 2026. Les contrôles sont souvent déclenchés par une plainte (ancien client, concurrent, association de consommateurs), mais la CNIL mène aussi des campagnes thématiques ciblées : cookies, prospection commerciale, gestion des mots de passe, durée de conservation.

En 2026, le RGPD n'est plus un sujet réservé aux grands groupes : c'est une obligation quotidienne pour toute PME ayant un site internet, quelle que soit sa taille. La bonne nouvelle, c'est qu'une mise en conformité bien menée coûte entre 600 et 5 500 euros, se boucle en 4 à 6 semaines, et renforce la crédibilité commerciale du site autant que sa sécurité juridique.

Ce guide donne la checklist concrète à suivre : qui est concerné, quels sont les 6 piliers du RGPD, comment rédiger une bannière cookies valide, quelles mentions légales afficher, quand désigner un DPO, combien coûtent vraiment les sanctions, et comment auditer votre site en 45 minutes avec des outils gratuits.

Vous avez un doute sur la conformité RGPD de votre site ? Demandez un audit RGPD offert, on vous renvoie sous 48h un diagnostic clair avec les 10 points prioritaires à corriger et un chiffrage sans engagement.

RGPD, CNIL, LCEN : de quoi parle-t-on vraiment ?

Trois textes, un même objectif

La conformité d'un site web PME repose sur trois textes principaux, souvent confondus :

Chaque obligation visible sur un site PME (bannière cookies, politique de confidentialité, formulaire de contact, mentions légales) découle d'un ou plusieurs de ces textes. Le RGPD reste la pierre angulaire : en pratique, respecter le RGPD dans son ensemble permet de couvrir la quasi-totalité des obligations françaises.

Les 6 principes fondamentaux du RGPD

Derrière les 99 articles du RGPD, il n'y a que 6 principes à mémoriser. Toute action de conformité revient à cocher au moins un de ces 6 points :

1. Licéité, loyauté, transparence : informer clairement les utilisateurs avant de collecter quoi que ce soit.
2. Limitation des finalités : une donnée collectée pour un but précis ne peut pas être réutilisée pour un autre, sauf nouveau consentement.
3. Minimisation des données : ne collecter que ce qui est strictement nécessaire (pas de "au cas où").
4. Exactitude : garantir la possibilité de corriger ou supprimer les données inexactes.
5. Limitation de la conservation : ne pas garder les données indéfiniment (3 ans pour un prospect, 5 ans pour un client actif, 10 ans pour les factures).
6. Intégrité et confidentialité : sécuriser techniquement les données (HTTPS, mots de passe hachés, sauvegardes chiffrées).

Tout le reste découle de ces 6 règles. Une PME qui les respecte, même sans connaître le détail du RGPD, est déjà à 90 % conforme.

Qui est concerné par le RGPD en 2026 ?

Tous, sans exception

Contrairement à l'European Accessibility Act (EAA qui s'applique aux entreprises au-dessus de certains seuils), le RGPD s'applique à toutes les entreprises qui traitent la moindre donnée personnelle d'un résident européen. Il n'existe pas de seuil minimal :

• Un artisan plombier qui reçoit un email via un formulaire de contact ? Concerné.
• Un restaurant qui enregistre les réservations en ligne ? Concerné.
• Un site vitrine avec Google Analytics ? Concerné.
• Un freelance qui envoie une newsletter mensuelle ? Concerné.

La seule question pertinente n'est donc pas "suis-je concerné ?" mais "à quel niveau de risque suis-je exposé et quelles obligations spécifiques s'appliquent ?".

Les trois niveaux de traitement

Le RGPD distingue trois niveaux de traitement qui déterminent l'intensité des obligations :

Un site vitrine d'artisan reste en niveau standard. Un e-commerce de producteur local normand passe souvent en niveau intermédiaire dès 500 clients actifs. Les professions de santé ou les sites d'avocats tenus par une déontologie stricte entrent souvent directement en niveau 3 à cause de la sensibilité des données manipulées.

La spécificité Normandie

En Normandie, la CNIL ne cible pas particulièrement les PME locales, mais les contrôles déclenchés par plaintes touchent tous les secteurs. Sur la période 2024-2025, les cas les plus fréquents vus en Normandie concernent :

• Les agences immobilières (prospection, fichier prospects, photos de bien avec personnes identifiables).
• Les cabinets libéraux (kiné, médecins, dentistes) avec prise de rendez-vous en ligne.
• Les e-commerces de producteurs locaux (envoi de newsletters sans double opt-in).
• Les restaurants et hôtels qui collectent des réservations (conservation illimitée, pas de mention de durée).

Aucun de ces secteurs n'échappe aux règles. La bonne nouvelle est que la mise en conformité est standardisable et peu coûteuse.

Les 15 obligations essentielles d'un site web PME conforme

Voici la checklist complète à cocher, dans l'ordre de priorité pour une PME. Si vous avez ces 15 éléments en place, vous êtes à plus de 95 % conforme.

Fondamentaux (à traiter en priorité 1)

1. Mentions légales complètes et à jour avec identité de l'éditeur, hébergeur, directeur de publication.
2. Politique de confidentialité détaillée qui explique les données collectées, les finalités, les durées de conservation, les droits des utilisateurs.
3. Bannière cookies conforme avec bouton "Tout refuser" aussi visible que "Tout accepter".
4. Formulaires avec case de consentement explicite et non précochée.
5. HTTPS activé sur toutes les pages (certificat SSL valide).

Obligations de fond (priorité 2)

6. Registre des traitements tenu à jour, même en version simplifiée.
7. Durées de conservation fixées et documentées pour chaque type de donnée.
8. Procédure de gestion des demandes (droit d'accès, rectification, suppression, portabilité).
9. Liste des sous-traitants (hébergeur, outil emailing, CRM, analytics) et contrats de sous-traitance signés.
10. Mesures de sécurité documentées : mots de passe forts, double authentification, sauvegardes, politique de télétravail.

Obligations spécifiques (priorité 3, selon activité)

11. Déclaration des violations de données à la CNIL sous 72h en cas d'incident.
12. Analyse d'impact (AIPD) pour les traitements à risque (données de santé, grande volumétrie, profilage).
13. Désignation d'un DPO si seuils atteints (voir section dédiée).
14. Double opt-in newsletter et possibilité de désabonnement en 1 clic dans chaque email.
15. Anonymisation des données analytics (IP tronquée, pas de suivi cross-device sans consentement explicite).

Vous bloquez sur plusieurs points de la checklist ? On prend 15 minutes au téléphone pour faire le tri avec vous. Prenez rendez-vous ici, c'est gratuit et sans engagement.

Bannière cookies : la première chose que voit la CNIL

Les règles CNIL 2024-2025

La CNIL a publié en 2020 des lignes directrices sur les cookies, renforcées par plusieurs décisions de sanction en 2024 et 2025. Les règles à connaître :

• Pas de cookie non essentiel avant consentement (analytics, pub, réseaux sociaux).
• Bouton "Tout refuser" au premier niveau, aussi visible que "Tout accepter".
• Pas de case précochée pour le consentement.
• Consentement par finalité (possibilité de refuser la pub tout en acceptant les stats).
• Durée maximale du consentement : 13 mois avant de redemander.
• Trace du consentement conservée pendant 3 ans pour prouver sa validité.
• Politique cookies accessible en un clic depuis la bannière.

Les outils de CMP (Consent Management Platform)

Trois outils sont utilisés dans 80 % des sites PME français, avec des prix variables :

Pour un site vitrine PME, Tarteaucitron (gratuit) ou Axeptio (29 euros/mois) font l'affaire. Au-dessus de 5 000 visites mensuelles, Cookiebot devient pertinent.

L'erreur qui coûte cher : Google Analytics sans consentement

Utiliser Google Analytics en version classique (GA4 par défaut) envoie des données vers les États-Unis, ce qui impose un consentement explicite de chaque visiteur. La CNIL a sanctionné plusieurs sites français en 2023-2025 pour absence de ce consentement. Deux solutions viables :

• Matomo auto-hébergé (souvent considéré comme exempté de consentement en mode "anonyme") : gratuit si vous avez un serveur, 19 à 49 euros/mois en SaaS.
• Plausible Analytics : alternative allemande respectueuse du RGPD, 9 à 19 euros/mois, souvent sans bannière requise.
• Google Analytics 4 configuré en mode Consent : possible mais complexe, perte de données si l'utilisateur refuse.

Mentions légales : la carte d'identité obligatoire de votre site

Les éléments obligatoires selon votre statut

Les mentions légales sont imposées par la LCEN de 2004 et doivent être accessibles depuis toutes les pages du site via un lien en pied de page.

Les sanctions en cas d'absence de mentions légales vont jusqu'à 75 000 euros et 1 an de prison pour une personne physique, 375 000 euros pour une personne morale. En pratique, les sanctions se limitent à des amendes de 1 500 à 5 000 euros, mais le risque est réel.

Erreurs fréquentes à éviter

• Mentions génériques copiées depuis un template : la CNIL détecte instantanément ces pages, souvent incomplètes.
• Hébergeur oublié ou faux : un hébergement OVH n'est pas un hébergement Vercel. Chaque refonte ou changement d'hébergeur demande une mise à jour.
• Lien en pied de page cassé ou masqué : le lien doit rester visible et fonctionnel sur toutes les pages, y compris sur mobile.
• Adresse de domiciliation au lieu du siège social réel : si les deux diffèrent, les deux adresses doivent apparaître.

Politique de confidentialité : les 12 points à inclure

La politique de confidentialité est le document clé du RGPD. Elle doit être écrite dans un langage clair et non juridique, et couvrir au minimum ces 12 points :

1. Identité et coordonnées du responsable de traitement (en général, la société éditrice du site).
2. Coordonnées du DPO ou du référent RGPD (même s'il n'est pas obligatoire, mentionner un point de contact rassure).
3. Types de données collectées (nom, email, téléphone, adresse IP, données de navigation, etc.).
4. Finalités du traitement (pourquoi vous collectez ces données : contact, livraison, facturation, newsletter, analytics).
5. Bases légales de chaque traitement (consentement, exécution d'un contrat, obligation légale, intérêt légitime).
6. Durées de conservation pour chaque type de donnée (3 ans pour prospects, 5 ans pour clients, 10 ans pour comptabilité).
7. Destinataires et sous-traitants : qui reçoit les données (hébergeur, emailing, CRM, analytics, réseaux sociaux).
8. Transferts hors UE éventuels, avec les garanties mises en place (clauses contractuelles types, Privacy Shield remplacé par DPF).
9. Droits de l'utilisateur : accès, rectification, effacement, portabilité, opposition, limitation.
10. Modalités d'exercice des droits (par email, par courrier, délai de réponse de 1 mois).
11. Droit de réclamation auprès de la CNIL avec le lien vers le formulaire de plainte.
12. Date de dernière mise à jour de la politique (obligation implicite de transparence).

Cette politique doit être rédigée spécifiquement pour votre site, pas copiée-collée depuis un générateur. Les sites CNIL, Légifrance et la CCI proposent des modèles fiables à adapter.

Registre des traitements : obligatoire, mais simplifiable

Qui doit tenir un registre ?

Depuis le RGPD, toute entreprise qui traite des données personnelles doit tenir un registre des traitements, quelle que soit sa taille. Une exemption existe pour les entreprises de moins de 250 salariés, mais elle ne s'applique que si les traitements sont :

• Occasionnels (ce qui n'est quasiment jamais le cas pour un site web actif).
• Non susceptibles de risque pour les personnes.
• Non liés à des données sensibles.

En pratique, dès qu'un site PME a un formulaire de contact, une newsletter, un CRM ou un outil d'analytics, le registre est obligatoire.

Le modèle simplifié PME

Le registre peut être tenu dans un simple tableau Excel ou Google Sheets. Pour chaque traitement, documenter :

Un site PME typique recense entre 5 et 15 traitements. Le modèle officiel de la CNIL (téléchargeable gratuitement) prend 2 à 4 heures à remplir pour un dirigeant accompagné.

Les droits des utilisateurs et comment les gérer

Les 6 droits à respecter

Le RGPD donne 6 droits aux utilisateurs qu'une PME doit pouvoir traiter dans un délai maximal de 1 mois (prolongeable de 2 mois si demande complexe) :

1. Droit d'accès : fournir une copie des données détenues.
2. Droit de rectification : corriger les données inexactes.
3. Droit à l'effacement ("droit à l'oubli") : supprimer les données, sauf obligations légales contraires.
4. Droit à la portabilité : fournir les données dans un format structuré réutilisable (JSON, CSV).
5. Droit d'opposition : refuser un traitement (typiquement, désinscription newsletter).
6. Droit à la limitation : figer un traitement en attente d'une vérification.

La procédure de traitement des demandes

Chaque demande (généralement reçue par email) doit déclencher cette procédure en 4 étapes :

1. Vérifier l'identité du demandeur (pièce d'identité si le doute est sérieux, mais attention à ne pas collecter trop de données).
2. Qualifier la demande (quel droit, sur quelles données).
3. Exécuter la demande dans les systèmes concernés (site, CRM, emailing, sauvegardes).
4. Notifier le demandeur et archiver la preuve du traitement.

Ne pas répondre à une demande RGPD dans le délai d'un mois est un des principaux motifs de plainte CNIL. Une simple procédure documentée (template de réponse, checklist d'actions) suffit à se protéger.

DPO : faut-il en désigner un ?

Les critères d'obligation légale

La désignation d'un Délégué à la Protection des Données est obligatoire uniquement dans ces trois cas :

• Autorité ou organisme public (mairie, collectivité, association d'intérêt général).
• Activité de base nécessitant un suivi régulier et systématique à grande échelle (plus de 5 000 personnes).
• Traitement à grande échelle de données sensibles (santé, religion, opinions politiques, orientation sexuelle, biométrie, antécédents judiciaires).

En pratique, 95 % des PME normandes n'ont pas l'obligation de désigner un DPO.

Les solutions si vous voulez un référent sans obligation

Trois options selon votre budget et votre structure :

Pour une PME de moins de 20 salariés, un référent RGPD interne formé (1 journée de formation à 400-700 euros) couvre largement les besoins. L'intervention d'un DPO externalisé devient pertinente au-delà de 5 000 contacts ou en cas de données sensibles.

Sanctions CNIL 2024-2025 : ce que risque vraiment une PME

Les cas documentés de PME françaises

La CNIL publie depuis 2018 une partie de ses sanctions sur son site officiel. Voici les cas les plus représentatifs pour des PME et ETI :

Au-delà des amendes, la publication du nom de l'entreprise sur le site de la CNIL génère un référencement négatif durable : ces noms apparaissent dans les 5 premiers résultats Google pendant 2 à 5 ans.

La progression des contrôles

En 2024, la CNIL a lancé 340 contrôles (contre 280 en 2023) et prononcé 87 sanctions publiques. Les secteurs les plus visés : prospection commerciale, cookies, santé, immobilier. Les mises en demeure (sans amende immédiate, mais avec obligation de régularisation sous 30 jours) sont 5 à 10 fois plus nombreuses que les sanctions et touchent davantage les PME.

Comment auditer votre site en 45 minutes

Avant d'engager quoi que ce soit, vous pouvez faire un premier diagnostic avec 3 outils gratuits et 30 minutes de tests manuels.

Étape 1 : Cookie Audit (10 min)

L'extension EditThisCookie ou le scanner gratuit de Cookiebot affiche la liste complète des cookies déposés par votre site. Comparez à ce que votre bannière annonce : si vous avez des cookies non déclarés, vous êtes en infraction.

Étape 2 : Scan HTTPS et sécurité (5 min)

Testez votre certificat sur ssllabs.com. Un score A ou A+ est standard en 2026. En dessous de B, vous avez un problème de sécurité qui impacte aussi le SEO (voir notre guide SEO ultime 2026).

Étape 3 : Audit manuel du site (15 min)

Parcourez votre site avec cette checklist :

• Lien "Mentions légales" visible en pied de page ?
• Lien "Politique de confidentialité" distinct et accessible ?
• Bannière cookies affichée avant tout tracking ?
• Bouton "Tout refuser" aussi visible que "Tout accepter" ?
• Formulaires avec case de consentement non précochée ?
• Formulaires mentionnant la finalité et le délai de conservation ?
• Page "Gérer mes données" ou email DPO/contact accessible ?

Étape 4 : Test d'une demande RGPD (15 min)

Depuis une autre adresse email, envoyez une demande fictive à votre propre adresse contact : "Je demande l'accès à toutes les données que vous détenez à mon sujet". Chronométrez votre capacité à y répondre. Si vous ne savez pas par où commencer, vos procédures internes doivent être documentées.

Pas le temps de faire l'audit vous-même ? Envoyez-nous l'URL du site. On vous retourne un rapport RGPD détaillé en 48h, avec les corrections chiffrées. Ce premier audit est offert.

Combien coûte la mise en conformité RGPD ?

Grille tarifaire selon la taille

Pour situer ces coûts, notre guide du prix d'une refonte de site internet et notre comparatif site vitrine vs e-commerce détaillent les budgets globaux d'un projet web moderne.

Le ROI réel d'une mise en conformité

Prenons le cas de Thomas, qui gère un e-commerce de produits laitiers bio à Deauville. Chiffre d'affaires annuel : 180 000 euros. Voici ce que change une mise en conformité RGPD complète :

L'investissement initial (environ 3 200 euros d'audit et corrections) est remboursé en 4 à 6 mois par l'effet confiance sur la conversion. Le bénéfice principal reste la suppression quasi totale du risque d'amende et la capacité à répondre sereinement à tout contrôle.

Stack technique et conformité

Votre choix technique impacte directement le coût de conformité. Un site WordPress avec 15 plugins tiers est plus coûteux à mettre en conformité qu'un site moderne sous Next.js auto-hébergé. Notre comparatif Next.js vs WordPress détaille les enjeux. En général, un site moderne contrôlé intégralement par le développeur revient 30 à 50 % moins cher à maintenir conforme.

Les 10 erreurs RGPD les plus fréquentes en 2026

Erreur 1 : Google Analytics sans consentement préalable

Laisser GA4 se charger avant le clic sur "Accepter" est la non-conformité numéro 1 observée par la CNIL en 2024-2025. Solution : charger GA4 uniquement après consentement, ou passer à Matomo/Plausible.

Erreur 2 : Bannière cookies avec bouton "Accepter" seul

Depuis avril 2021, le bouton "Tout refuser" doit être au même niveau que "Tout accepter". Les bannières qui proposent seulement "Accepter" ou "Paramétrer" sont systématiquement sanctionnées.

Erreur 3 : Case de consentement précochée

Dans un formulaire de contact ou d'inscription, la case qui autorise la newsletter ou la transmission à des partenaires doit être décochée par défaut. L'utilisateur doit faire un acte positif pour donner son consentement.

Erreur 4 : Pas de politique de confidentialité

Beaucoup de PME confondent mentions légales et politique de confidentialité, et ne publient que les premières. Les deux sont obligatoires et couvrent des exigences différentes.

Erreur 5 : Durées de conservation illimitées

"Nous conservons vos données jusqu'à nouvel ordre" est une phrase à bannir. Chaque type de donnée doit avoir une durée chiffrée et justifiée : 3 ans pour prospects, 5 ans pour clients, 10 ans pour factures.

Erreur 6 : Collecte excessive dans les formulaires

Demander le nom, prénom, email, téléphone, entreprise, taille d'entreprise, budget et besoin pour un simple contact viole le principe de minimisation. Nom + email suffisent dans la plupart des cas.

Erreur 7 : Sous-traitants non contractualisés

Chaque outil qui voit vos données (Brevo pour l'emailing, Shopify ou une boutique en ligne, hébergeur, CRM) doit avoir un contrat de sous-traitance signé (ou leur acceptation explicite des clauses types).

Erreur 8 : Mots de passe faibles pour les accès admin

La CNIL considère qu'un mot de passe admin faible (moins de 12 caractères, pas de 2FA) est une faille de sécurité au sens du RGPD. Une fuite exploitant cette faiblesse vous expose à une amende lourde.

Erreur 9 : Pas de procédure en cas de fuite

Une violation de données doit être notifiée à la CNIL sous 72h. Sans procédure interne documentée, vous ne tenez jamais ce délai en situation réelle.

Erreur 10 : Croire que l'obligation disparaît sans site

Même sans site internet actif, si vous avez un CRM, une liste Mailchimp, un fichier Excel de prospects, vous êtes soumis au RGPD. Beaucoup de TPE pensent s'en sortir en n'ayant pas de site : c'est faux.

Spécificités e-commerce et sites transactionnels

Double opt-in newsletter

Pour toute liste de diffusion commerciale, le double opt-in (confirmation par email après inscription) est devenu le standard. Sans cette étape, votre liste est juridiquement fragile et les plaintes spam remontent rapidement à la CNIL.

Paiement et DSP2

Les sites e-commerce doivent aussi respecter la DSP2 (authentification forte du paiement) et, depuis 2024, proposer des options de paiement sans collecte excessive (pas de conservation du CVV, 3D Secure systématique). Les plateformes comme Stripe, Mollie ou Lyra gèrent ces obligations nativement.

Avis clients et preuve sociale

Si vous publiez des avis clients sur votre site, la loi Loi Hamon impose d'indiquer la date de l'avis, si l'achat est vérifié et la méthode de collecte. Notre guide complet sur les avis clients et e-réputation en Normandie détaille les pratiques conformes.

Signaux négatifs à corriger

Un site avec des problèmes RGPD visibles (bannière abusive, formulaires bavards, politique de confidentialité absente) dégrade fortement la confiance des visiteurs et le taux de conversion. C'est d'ailleurs un des signes typiques d'un site web qui perd des clients sans que le dirigeant comprenne pourquoi.

FAQ : vos questions sur le RGPD et la conformité PME

Les réponses aux questions les plus fréquentes sont compilées dans la FAQ ci-dessous (générée à partir du contenu structuré de cet article).

---

Le RGPD n'est ni un mythe ni un simple papier administratif : c'est un cadre juridique appliqué activement par la CNIL depuis 2018, avec une accélération claire des contrôles sur les PME en 2024 et 2025. Mettre son site en conformité coûte entre 600 et 5 500 euros selon la taille, se boucle en 4 à 6 semaines, et supprime quasi totalement le risque de sanction. En prime, les sites conformes convertissent mieux et inspirent plus confiance, en B2B comme en B2C.

Prêt à mettre votre site en conformité RGPD sans prise de tête ? On commence par un audit RGPD offert et un plan d'action chiffré. Pas de jargon juridique, juste un diagnostic clair et des priorités concrètes. Si vous préférez d'abord estimer votre budget global, notre simulateur de prix site web vous donne une fourchette en 2 minutes. On intervient partout en Normandie : retrouvez nos zones d'intervention pour un accompagnement local, de la conception à la conformité continue, comme expliqué dans notre guide de la création d'un site internet.