Disponible Démarrer un projet
Création web 3 juin 2026 · 9 min de lecture

RGPD et site web en 2026 : la check-list complète pour PME

La CNIL contrôle désormais les sites de PME de façon automatisée. Voici la check-list concrète pour mettre votre site en conformité RGPD en 2026, sans jargon.

Vous avez un site web pour votre entreprise, il tourne bien, il génère des contacts. Et puis un matin, un client vous demande où se trouve votre politique de confidentialité. Ou pire : vous recevez un courrier de la CNIL. C'est le scénario que vivent de plus en plus de dirigeants de TPE/PME, car les contrôles ne visent plus seulement les grands groupes.

La conformité RGPD d'un site web n'est ni un sujet réservé aux juristes, ni une montagne infranchissable. Pour un site vitrine ou un petit e-commerce, l'essentiel se traite avec une méthode claire et quelques heures de travail bien ciblées.

Dans cet article, je vous donne la check-list complète pour 2026 : les documents obligatoires, le bandeau cookies fait correctement, le registre des traitements, et les erreurs qui déclenchent les sanctions. Le tout sans jargon, avec des actions concrètes que vous pouvez lancer cette semaine.

Pourquoi la CNIL s'intéresse maintenant aux sites de PME

Pendant des années, beaucoup de dirigeants ont considéré le RGPD comme un sujet de grande entreprise. Ce raisonnement ne tient plus, pour deux raisons.

D'abord, la CNIL a industrialisé ses contrôles. Une partie de la détection est désormais automatisée : des outils parcourent les sites web et repèrent les bandeaux cookies non conformes ou les dépôts de traceurs sans consentement. Concrètement, votre site peut être identifié comme non conforme sans qu'aucun client ne se soit plaint, et sans qu'un agent ne l'ait visité manuellement. Selon les bilans publiés ces dernières années, une part croissante des mises en demeure et des sanctions concerne des structures de petite taille.

Ensuite, le risque ne se limite pas à l'amende. Le plafond théorique (jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros) ne s'applique évidemment pas tel quel à une PME, mais une sanction de quelques milliers d'euros, assortie d'une publication, suffit à abîmer durablement la confiance de vos clients. Pour une entreprise locale, à Pau comme ailleurs, la réputation est un actif qui se reconstruit lentement.

La bonne nouvelle : la conformité d'un site web de PME repose sur un nombre limité de briques. Passons-les en revue.

Les 4 documents obligatoires sur votre site

Avant même de parler de cookies, vérifiez que ces quatre éléments existent et sont accessibles depuis toutes les pages de votre site, généralement via le pied de page.

1. Les mentions légales. Identité de l'éditeur (raison sociale, adresse, SIREN, contact), identité de l'hébergeur et directeur de la publication. C'est une obligation distincte du RGPD (loi pour la confiance dans l'économie numérique), mais c'est la première chose qu'un contrôleur regarde. Un site sans mentions légales envoie un signal immédiat de négligence.

2. La politique de confidentialité. Elle explique quelles données vous collectez, pourquoi, sur quelle base légale, combien de temps vous les conservez, et comment l'utilisateur peut exercer ses droits (accès, rectification, effacement). Évitez les modèles copiés-collés qui mentionnent des traitements que vous ne faites pas : un document inexact est presque pire qu'un document absent.

3. La gestion des cookies. Une page ou une section dédiée qui liste les traceurs utilisés et permet de modifier son choix à tout moment. Le lien « Gérer mes cookies » en pied de page est devenu un standard attendu.

4. Les CGV pour un e-commerce. Si vous vendez en ligne, les conditions générales de vente sont obligatoires et doivent être acceptées explicitement avant le paiement.

Si l'un de ces quatre éléments manque sur votre site, c'est votre priorité numéro un, avant toute autre optimisation.

Bandeau cookies et CMP : la zone à risque numéro un

C'est le motif de sanction le plus fréquent pour les sites web, et c'est aussi le plus visible pour les outils de détection automatique. Les règles sont précises.

Le consentement doit être libre, éclairé et préalable. Traduction concrète : aucun cookie non essentiel (statistiques, publicité, réseaux sociaux) ne doit se déposer avant que le visiteur ait fait un choix. Et refuser doit être aussi simple qu'accepter : un bouton « Tout refuser » au même niveau visuel que « Tout accepter », pas un lien gris caché dans un sous-menu.

Pour gérer cela proprement, utilisez une CMP (Consent Management Platform). Des solutions comme Axeptio, Tarteaucitron (gratuit et français) ou Cookiebot s'installent sur WordPress ou Prestashop en quelques heures et bloquent les scripts tant que le consentement n'est pas donné. Le piège classique : installer la CMP mais laisser Google Analytics ou le pixel Meta se charger en dur dans le thème. Le bandeau s'affiche, mais les traceurs partent quand même — et c'est exactement ce que détectent les robots de la CNIL.

Point important si vous faites de la publicité en ligne : Google impose le Consent Mode v2 pour continuer à mesurer correctement vos campagnes. Une CMP mal configurée dégrade donc aussi vos données publicitaires. Si vous investissez dans Google Ads, la conformité cookies et la performance marketing sont devenues un seul et même sujet.

Pour aller plus loin, je propose un accompagnement création et mise en conformité de site web sur-mesure pour les TPE/PME paloises — audit, CMP et documents inclus.

Quiz : votre site passerait-il un contrôle CNIL ?

Réponds à toutes les questions avant de voir ton résultat.

1. Votre bandeau cookies propose-t-il un bouton « Refuser » aussi visible que le bouton « Accepter » ?

2. Avez-vous un registre des traitements pour votre entreprise ?

3. Vos formulaires précisent-ils pourquoi vous collectez les données et qui les reçoit ?

Formulaires, registre et durées de conservation

Une fois la partie visible traitée, il reste la partie immergée : ce que vous faites des données collectées.

La minimisation. Règle simple : ne demandez que ce dont vous avez réellement besoin. Un formulaire de contact n'a généralement pas besoin de la date de naissance ni de l'adresse postale. Chaque champ supprimé réduit votre risque juridique — et, bonus marketing, augmente votre taux de conversion. Un formulaire court convertit mieux, c'est une constante dans la majorité des cas observés.

Le registre des traitements. C'est le document que la CNIL demande en premier lors d'un contrôle. Il liste vos traitements de données : formulaire de contact, newsletter, fichier clients, recrutement, vidéosurveillance éventuelle. Pour une PME, un tableau d'une page par traitement suffit, et la CNIL fournit un modèle gratuit. Comptez une demi-journée pour le créer la première fois.

Les durées de conservation. Les données d'un prospect qui n'a jamais répondu ne se gardent pas indéfiniment : trois ans après le dernier contact est la référence couramment admise pour la prospection. Pour les clients, la durée suit les obligations comptables et contractuelles. L'important est d'avoir défini une règle et de pouvoir la justifier.

Les sous-traitants. Votre hébergeur, votre outil d'emailing, votre CRM traitent des données pour votre compte. Vérifiez qu'ils proposent un accord de traitement des données (DPA) — les acteurs sérieux le mettent à disposition dans leurs conditions. Hébergement en Europe : un vrai plus.

Les 5 erreurs qui déclenchent une sanction

Après quatorze ans à créer et refondre des sites pour des TPE/PME du Sud-Ouest, voici les manquements que je rencontre le plus souvent — et qui correspondent aux motifs de sanction récurrents.

  • Le bandeau cookies décoratif : il s'affiche, mais les traceurs se chargent avant le consentement. C'est l'erreur la plus détectable automatiquement, donc la plus risquée.
  • Le bouton « Refuser » introuvable : accepter en un clic, refuser en trois. La dissymétrie est explicitement sanctionnable.
  • La politique de confidentialité générique : copiée d'un autre site, elle décrit des traitements que vous ne faites pas et omet ceux que vous faites réellement.
  • Le formulaire sans information : aucune mention de la finalité, du destinataire ni des droits de la personne sous le champ d'envoi.
  • L'absence totale de registre : lors d'un contrôle, ne rien pouvoir présenter transforme une simple vérification en procédure approfondie.

Aucune de ces erreurs ne demande un budget important pour être corrigée. C'est avant tout une question de méthode et de rigueur — exactement comme le référencement naturel, où la régularité bat le coup d'éclat.

Questions fréquentes

Mon site vitrine sans formulaire est-il concerné par le RGPD ?

Oui, dès qu'il dépose des cookies non essentiels (statistiques, vidéos intégrées, boutons sociaux) ou qu'il collecte des adresses IP via des outils tiers. Un site purement statique sans traceur est l'exception, pas la règle.

Combien coûte la mise en conformité d'un site de PME ?

Pour un site vitrine WordPress ou Prestashop, comptez généralement entre quelques centaines et deux mille euros selon l'état initial : installation et configuration de la CMP, rédaction des documents, nettoyage des scripts. C'est un investissement ponctuel, à comparer au coût d'une sanction et d'une réputation abîmée.

Dois-je désigner un DPO (délégué à la protection des données) ?

Pour la plupart des TPE/PME, ce n'est pas obligatoire : le DPO s'impose surtout aux organismes publics et aux entreprises dont l'activité principale repose sur le suivi à grande échelle des personnes. En revanche, désigner un référent interne, même informel, aide à maintenir le cap.

Google Analytics est-il utilisable en 2026 ?

Oui, à condition de recueillir le consentement avant tout dépôt et de configurer correctement l'outil. Des alternatives plus sobres comme Matomo ou Plausible simplifient la conformité et suffisent largement pour piloter le marketing d'une PME.

Par où commencer cette semaine

Reprenez la check-list dans l'ordre : mentions légales et politique de confidentialité d'abord, bandeau cookies avec une vraie CMP ensuite, puis registre des traitements et revue de vos formulaires. En une à deux journées de travail réparties sur le mois, un site de PME passe de « zone rouge » à « solide ». Et au passage, vous aurez fait le ménage dans vos scripts — votre vitesse de chargement vous dira merci.

Vous voulez en discuter ? Échangeons 30 min sur votre projet — c'est gratuit et sans engagement.

Besoin d'un coup de main sur ce sujet ?
Service associé : Référencement SEO
En savoir plus →
— Maillage

À explorer ensuite

Service associé : Référencement SEO
Découvrez comment je peux vous accompagner sur ce sujet.
Voir →
— Services complémentaires
Création de site web Réseaux sociaux
— Articles à lire
Création web

Prestashop vs Shopify pour PME : le vrai comparatif 2026

27 mai 2026
Création web

Refonte site WordPress : la méthode complète en 5 phases pour PME

20 mai 2026
Création web

Core Web Vitals 2026 : optimiser votre WordPress pour Google

13 mai 2026