Quelles sont les obligations RGPD pour un site web en 2026 ?

Les bases : mentions légales, politique de confidentialité, gestion du consentement cookies, formulaires avec mention finalité et registre des traitements interne. Pour la plupart des PME, c'est gérable sans avocat si on prend le temps de le faire bien.

Un site vitrine sans formulaire doit-il être conforme RGPD ?

Oui dès qu'il y a des cookies (Google Analytics, Meta Pixel, vidéos YouTube intégrées), une adresse email visible, ou même un simple log de visiteurs côté hébergeur. Aucun site commercial n'échappe au RGPD aujourd'hui.

Combien coûte une sanction CNIL pour non-conformité RGPD ?

Le plafond légal est de 20 millions d'euros ou 4% du CA mondial. En pratique pour les PME, les sanctions vont de quelques centaines à quelques milliers d'euros selon la gravité, mais l'image et la perte de confiance coûtent souvent plus cher.

Faut-il un DPO pour un site web de PME ?

Pas obligatoire pour la plupart des PME, sauf si tu traites des données sensibles (santé, religion, biométrie) ou si le suivi des personnes est ton activité principale. Pour un site vitrine standard, un référent interne suffit.

Quel outil utiliser pour la bannière cookies sur un site WordPress ?

Tarteaucitron en version gratuite ou Axeptio en version freemium font le job pour un site PME. Évite les bannières qui forcent l'acceptation, c'est explicitement interdit par la CNIL depuis 2021.

RGPD site web : la checklist concrète pour PME en 2026

Tu as un site web, tu sais que le RGPD existe, tu as peut-être collé une bannière cookies récupérée d'un autre site et tu te dis que ça doit suffire. Spoiler : non. Mais l'inverse est vrai aussi. Pas besoin de payer 1 500 € à un cabinet d'avocats pour un site vitrine de PME.

La question du RGPD site web divise les dirigeants en deux camps : ceux qui pensent que ça ne les concerne pas vraiment et ceux qui paient cher pour des prestations parfois inutiles. La réalité est entre les deux. Pour un site PME standard, la mise en conformité demande du temps et de la rigueur, pas une armée de juristes.

Voici la checklist concrète qu'on applique chez Ellebay à chaque site qu'on livre, à Toulon. Avec les pièges qu'on voit le plus souvent chez les clients qui arrivent avec un site déjà en ligne.

Pourquoi le RGPD concerne tous les sites web, même les plus simples ?

Première idée reçue à dégager : "mon site est juste vitrine, donc je ne suis pas concerné". Faux.

Dès qu'un site collecte la moindre donnée personnelle, le RGPD s'applique. Et la liste de ce qui compte comme donnée personnelle est plus large que tu ne le crois :

ton site charge Google Analytics ou un autre outil de mesure d'audience
tu as un formulaire de contact, de devis ou de newsletter
tu intègres une vidéo YouTube, une carte Google Maps ou un pixel Meta
ton hébergeur logge les adresses IP des visiteurs (c'est le cas de tous les hébergeurs)
tu as un live chat, un système de prise de rendez-vous, ou un module de commentaires

Si tu coches un seul de ces points, tu collectes des données personnelles. Donc le RGPD s'applique. Pour une PME, ce n'est pas dramatique : c'est gérable. Mais ça demande qu'on s'en occupe sérieusement, pas qu'on ferme les yeux.

Le règlement n'est pas une menace abstraite. La CNIL prononce régulièrement des sanctions et les contrôles peuvent partir d'un simple signalement d'un visiteur mécontent. Les amendes pour les PME ne grimpent pas à 20 millions, mais quelques milliers d'euros plus le temps de mise en conformité forcée, ça pique.

Quelles obligations concrètes pour un site PME en 2026 ?

On va passer en revue les 6 points qui couvrent 95% des situations PME. Si ton site a tout ça en place, tu es dans une zone de conformité confortable.

1. Les mentions légales

C'est la base et c'est obligatoire pour tout site qui n'est pas strictement personnel. Doivent y figurer :

raison sociale, forme juridique, capital social
adresse du siège, numéro de téléphone, email de contact
numéro RCS et SIRET, numéro de TVA intracommunautaire si applicable
nom du directeur de la publication (généralement le dirigeant)
nom et coordonnées de l'hébergeur du site
pour les professions réglementées : numéro d'ordre, autorité de tutelle

Le piège classique : copier les mentions légales d'un concurrent. C'est tentant, c'est aussi une infraction (les mentions doivent correspondre à TES informations) et ça peut révéler des erreurs à ton désavantage.

2. La politique de confidentialité

Document distinct des mentions légales, souvent oublié. Il doit indiquer :

quelles données sont collectées (formulaire, cookies, logs serveur)
pour quelles finalités (te contacter, te recontacter, statistiques d'audience)
la base légale de chaque traitement (consentement, intérêt légitime, contrat, obligation légale)
la durée de conservation des données
les destinataires éventuels (hébergeur, outils de mesure, plateformes tierces)
les droits du visiteur (accès, rectification, suppression, opposition, portabilité)
comment exercer ces droits (email dédié)

Un modèle générique copié-collé ne suffit pas. Le document doit refléter ce que TON site fait réellement. Si tu utilises Brevo pour la newsletter, il doit être mentionné. Si tu n'utilises pas de chatbot, il ne faut pas le mentionner non plus.

3. La gestion des cookies

C'est le point sur lequel la CNIL est la plus active depuis 2021. Les règles sont précises :

aucun cookie non-essentiel ne doit être déposé avant le consentement explicite
la bannière doit proposer un choix simple : "Accepter", "Refuser", "Personnaliser"
"Refuser" doit être aussi visible et accessible que "Accepter"
l'utilisateur doit pouvoir retirer son consentement aussi facilement qu'il l'a donné
la liste des cookies utilisés doit être détaillée et compréhensible

Les fameuses bannières "cliquez sur Continuer pour accepter" qui forcent le consentement sont explicitement interdites. La CNIL a sanctionné Google et Facebook pour ce type de pratique et les contrôles redescendent sur les PME.

Pour la mise en place technique, deux outils gratuits ou freemium font très bien le job : Tarteaucitron (open source, paramétrable) et Axeptio (freemium, plus joli mais limité en gratuit). On les recommande tous les deux selon le profil du client. D'autres outils utiles pour gérer un site sont listés dans notre article sur les outils gratuits qu'on utilise avec nos clients.

4. Les formulaires

Tous les formulaires qui collectent des données (contact, devis, newsletter, prise de rendez-vous) doivent inclure :

une mention claire de la finalité ("Vos données sont utilisées pour répondre à votre demande")
un lien vers la politique de confidentialité
pour la newsletter et le marketing : une case à cocher décochée par défaut, jamais pré-cochée
les champs obligatoires marqués clairement et seulement ceux strictement nécessaires

Le principe de minimisation est central : si tu n'as pas besoin du numéro de téléphone pour répondre à une demande de devis par email, ne le rends pas obligatoire. Demander trop d'informations est sanctionnable.

5. La sécurité des données

Tu dois prendre des mesures techniques raisonnables pour protéger les données collectées. Ce n'est pas une obligation de résultat, mais une obligation de moyens. Concrètement :

certificat SSL/HTTPS actif sur tout le site (gratuit avec Let's Encrypt)
mots de passe forts et double authentification sur tous les comptes admin
mises à jour régulières du CMS, des thèmes et des plugins
sauvegardes régulières externalisées
en cas de fuite de données, notification à la CNIL sous 72h et aux personnes concernées

Sur ce point, notre guide complet pour sécuriser son site selon le CMS déroule les bonnes pratiques.

6. Le registre des traitements

Document interne, à conserver chez toi sans publication, mais à présenter en cas de contrôle. Il liste tous les traitements de données que tu fais : formulaire de contact, newsletter, fichier client, paie des salariés, etc.

La CNIL propose un modèle de registre simplifié pour les PME gratuit et téléchargeable. Pour une PME de moins de 250 salariés sans traitement sensible, ce modèle suffit.

Combien ça coûte vraiment de se mettre en conformité ?

Soyons clairs sur les ordres de grandeur, parce que c'est souvent ce qui bloque.

Option 1 : tu fais tout en interne. Compte 1 à 2 jours de travail pour un dirigeant méthodique qui s'y attaque sérieusement. Outils gratuits pour les bannières cookies, modèles CNIL pour les documents et tu y es. Coût direct : 0 €. Coût indirect : ton temps.

Option 2 : tu fais appel à un prestataire web (agence ou freelance). Pour la mise en place technique (bannière cookies bien configurée, formulaires en règle, politique de confidentialité personnalisée), compte entre 350 et 900 € HT. C'est ce qu'on facture en général chez Ellebay quand on intègre la conformité à une création ou refonte de site, ou en intervention seule. Notre page création et refonte de site précise nos tarifs globaux.

Option 3 : tu prends un cabinet juridique spécialisé. Pour un site PME standard, c'est généralement surdimensionné. Réserve cette option si tu traites des données sensibles (santé, finance), si tu vises l'international hors UE, ou si tu as un litige en cours. Compte entre 1 500 et 5 000 € HT selon la complexité.

Option 4 : tu prends un DPO externalisé. Utile pour les structures qui traitent beaucoup de données ou qui ont une exposition risque élevée. À partir de 200 à 500 € HT par mois en formule mutualisée.

Pour 90% des PME avec un site vitrine ou un petit e-commerce, l'option 1 ou 2 suffit largement.

Les 5 pièges qu'on voit le plus souvent chez nos clients

Quand un client arrive avec un site déjà en ligne, voici ce qu'on retrouve presque systématiquement.

1. La politique de confidentialité générique. Copiée d'un site concurrent, elle mentionne des outils que le client n'utilise pas et oublie ceux qu'il utilise vraiment. C'est pire qu'aucune politique : ça prouve qu'on n'a pas réfléchi.

2. La bannière cookies qui ne respecte rien. Google Analytics chargé avant le consentement, bouton "Refuser" caché ou inexistant, design qui pousse à accepter. Un signalement CNIL et c'est la sanction garantie.

3. Le formulaire de contact sans aucune mention. Pas de lien vers la politique de confidentialité, pas d'indication sur l'usage des données, parfois une case à cocher pré-cochée pour la newsletter. Tout ce qu'il ne faut pas faire.

4. Le numéro RCS oublié dans les mentions légales. Détail vu cent fois. C'est obligatoire, c'est facile à corriger, mais ça passe inaperçu jusqu'au jour où ça pose problème.

5. L'absence totale de réflexion sur les durées de conservation. Le client garde tous les emails et formulaires depuis 2018 sans aucune purge. Le principe RGPD dit l'inverse : conserver les données le temps nécessaire à la finalité, pas plus.

Et après la mise en conformité ?

Le RGPD n'est pas un projet "one-shot". Une fois ton site conforme, il faut maintenir cette conformité dans le temps.

Mettre à jour les documents quand le site évolue. Tu ajoutes un nouveau formulaire ou un nouveau plugin ? La politique de confidentialité doit être mise à jour. Tu changes d'outil de newsletter ? Idem. C'est l'une des raisons pour lesquelles on inclut ce suivi dans nos contrats de maintenance, comme détaillé dans la checklist de maintenance mensuelle, trimestrielle et annuelle.

Tenir le registre des traitements à jour. Nouveau client important, nouveau process commercial, embauche d'un salarié : le registre évolue. Garde-le vivant dans un fichier accessible.

Former l'équipe. Si tu as des salariés qui touchent aux données clients, ils doivent connaître les bases : pas d'export sauvage de la base client sur un fichier Excel envoyé par email, pas de mots de passe partagés en clair, pas de réponse à une demande d'exercice de droit sans suivi.

Surveiller les évolutions réglementaires. Le RGPD bouge peu, mais les recommandations de la CNIL évoluent régulièrement, notamment sur les cookies, les outils d'analyse et les transferts hors UE. L'abonnement à la newsletter de la CNIL est gratuit et utile.

Notre point de vue après deux ans de pratique

On va être directes : le RGPD est utilisé par certains prestataires comme un argument commercial de la peur. Des sites web qui prétendent vendre des "kits de conformité RGPD" à 600 € alors qu'ils livrent juste un PDF générique. Évite-les.

À l'inverse, certains dirigeants pensent que le RGPD ne les concerne pas parce qu'ils sont "tout petits". Erreur aussi. Une bannière cookies bien faite, des mentions complètes et une politique de confidentialité honnête prennent une demi-journée à un freelance et ça te met à l'abri d'un signalement.

Le bon réflexe pour une PME, c'est de prendre le sujet une fois sérieusement, de le documenter proprement et de le revoir une fois par an. Pas plus, pas moins.

Cet article donne des repères généraux et ne constitue pas un conseil juridique. Pour les situations spécifiques (données sensibles, transferts internationaux, contentieux), consulte un avocat spécialisé ou un DPO.

Si tu veux qu'on regarde l'état RGPD de ton site et qu'on te dise concrètement ce qui manque, un appel découverte de 30 min offert est disponible. On passe en revue les points clés sans baratin et on te dit ce que tu peux faire toi-même et ce qui mérite une intervention.

Aurore, co-fondatrice d'Ellebay Digital, accompagne les PME et indépendants sur la stratégie SEO et la mise en conformité de leurs sites depuis Toulon. Spécialisée référencement local et bonnes pratiques web, elle travaille avec ses clients sur des fondations solides, pas juste de l'apparence.

RGPD et site web : ce qu'il faut vraiment mettre en place