RGPD site web : checklist conformité PME

Le RGPD, vous en avez entendu parler. Peut-être même que ça vous angoisse un peu. Des amendes qui peuvent aller jusqu'à 4 % du chiffre d'affaires, la CNIL qui fait des contrôles… Ça fait peur.

Mais concrètement, pour un site vitrine de PME ou un petit e-commerce à Strasbourg, qu'est-ce qu'il faut vraiment faire ? La réponse est plus simple qu'on ne le croit — à condition de savoir où regarder.

Points clés :

• Les amendes RGPD peuvent atteindre 4 % du chiffre d'affaires — la CNIL a envoyé des mises en demeure à des dizaines d'entreprises sur la bannière cookies seule
• Une bannière conforme doit proposer Accepter et Refuser en boutons de même taille, sans cookie déposé avant le choix
• Les alternatives à Google Analytics (Plausible, Matomo auto-hébergé) ne nécessitent pas de bannière cookies car elles ne transfèrent pas de données hors UE
• 6 obligations concrètes : bannière cookies, politique de confidentialité, formulaires conformes, analytics conformes, hébergement UE et registre de traitements

Le RGPD en 30 secondes

Le RGPD impose une règle simple : vous ne pouvez collecter les données personnelles de vos visiteurs qu'avec leur consentement explicite. Si votre site a un formulaire de contact, Google Analytics ou une carte Google Maps, vous collectez des données personnelles et vous êtes concerné. Les amendes peuvent atteindre 4 % du CA ou 20 millions d'euros.

Le Règlement Général sur la Protection des Données, en vigueur depuis mai 2018, impose une règle simple : vous ne pouvez collecter et utiliser les données personnelles de vos visiteurs qu'avec leur consentement explicite, et vous devez leur dire clairement ce que vous en faites.

Les "données personnelles" sur un site web, c'est :

• Les noms et emails collectés via un formulaire de contact
• Les adresses IP des visiteurs
• Les cookies de suivi (Google Analytics, Facebook Pixel, etc.)
• Les données de paiement sur un site e-commerce
• Les données collectées par un chatbot

Si votre site collecte une seule de ces données — et c'est le cas de 99 % des sites — vous êtes concerné.

Quelles sont les obligations RGPD pour un site web ?

Six points de conformité essentiels : une bannière cookies avec boutons Accepter/Refuser de même taille (aucun cookie avant le choix), une politique de confidentialité accessible, des formulaires avec mention RGPD et case non pré-cochée, des analytics conformes (Plausible ou Matomo sans cookies), un hébergement UE et un registre des traitements.

1. La bannière de cookies (conforme, pas décorative)

C'est le point le plus visible. Chaque visiteur doit pouvoir accepter ou refuser les cookies non essentiels avant qu'ils ne soient déposés.

Ce qui n'est PAS conforme :

• Un bandeau qui dit "En continuant, vous acceptez nos cookies" (pas de vrai choix)
• Un bouton "Accepter" bien visible et un lien minuscule pour refuser
• Des cookies déposés avant que l'utilisateur n'ait fait son choix
• Pas de bannière du tout (on voit encore ça en 2026...)

Ce qui est conforme :

• Deux boutons visibles et de même taille : Accepter / Refuser
• Un lien vers les paramètres détaillés (choix par catégorie)
• Aucun cookie non essentiel chargé avant le choix
• La possibilité de changer d'avis à tout moment

La CNIL a envoyé des mises en demeure à des dizaines d'entreprises françaises sur ce seul point. Ce n'est pas anodin.

2. La politique de confidentialité

Votre site doit avoir une page accessible qui explique :

• Quelles données vous collectez
• Pourquoi vous les collectez (finalité)
• Combien de temps vous les conservez
• Avec qui vous les partagez (sous-traitants, hébergeur, outils d'analytics)
• Comment les visiteurs peuvent exercer leurs droits (accès, modification, suppression)

Ce n'est pas un document juridique de 50 pages. C'est un texte clair, en français, que n'importe qui peut comprendre.

3. Les formulaires de contact

Votre formulaire collecte un nom, un email, un numéro de téléphone. Vous devez :

• Informer l'utilisateur de ce que vous allez faire de ces données (un texte sous le formulaire suffit)
• Ne collecter que les données nécessaires (le numéro de téléphone est-il vraiment obligatoire ?)
• Ajouter une case à cocher pour le consentement (non pré-cochée)
• Conserver les données uniquement le temps nécessaire au traitement de la demande

4. Google Analytics et les outils de suivi

C'est le sujet le plus épineux. Google Analytics 4 transfère des données vers les États-Unis. La CNIL a publié des recommandations détaillées sur les cookies et a longtemps considéré que ce transfert était non conforme au RGPD.

Les options :

• Utiliser GA4 avec consentement. Si l'utilisateur accepte les cookies analytics, vous pouvez utiliser GA4. S'il refuse, aucune donnée n'est collectée.
• Passer à une alternative respectueuse. Plausible, Matomo (auto-hébergé) ou Vercel Analytics ne nécessitent pas de bannière cookies car ils ne déposent pas de cookies tiers et ne transfèrent pas de données hors UE.
• Mode consent de GA4. Google propose un mode dégradé qui collecte des données agrégées sans cookies. C'est un compromis.

5. L'hébergement et les sous-traitants

Vos données doivent être hébergées dans l'UE ou dans un pays offrant un niveau de protection équivalent. Si votre hébergeur est américain, vérifiez qu'il est conforme au Data Privacy Framework (le successeur du Privacy Shield).

Vous devez aussi lister vos sous-traitants dans votre politique de confidentialité : hébergeur, service email (Mailchimp, Brevo), outil de paiement (Stripe), etc.

6. La sécurité des données

Le RGPD impose de protéger les données que vous collectez. Concrètement :

• Votre site doit être en HTTPS (certificat SSL)
• Les mots de passe doivent être hashés
• Les accès admin doivent être sécurisés (2FA)
• Les sauvegardes doivent être chiffrées

On en parlait en détail dans notre guide de sécurité web. La sécurité et le RGPD vont main dans la main.

Quelles sanctions RGPD risque une PME ?

Réelles. Très réelles.

En France, la CNIL a prononcé en 2025 :

• 42 mises en demeure pour des bannières cookies non conformes
• Des amendes de 50 000 € à 150 000 € pour des PME (pas que des géants)
• Des rappels à l'ordre suivis d'amendes en cas de non-correction

Le montant maximum légal est de 20 millions d'euros ou 4 % du CA mondial. En pratique, les amendes pour les PME sont beaucoup plus modestes, mais une amende de 50 000 € peut être fatale pour une petite structure.

Et au-delà des amendes, il y a le risque réputationnel. "Entreprise sanctionnée par la CNIL" dans les résultats Google, ça fait fuir les clients.

Check-list RGPD pour votre site

Passez en revue ces points :

• Bannière cookies avec choix explicite (Accepter/Refuser de même taille)
• Aucun cookie non essentiel chargé avant consentement
• Page Politique de confidentialité accessible et à jour
• Mention RGPD sous chaque formulaire de contact
• Cases à cocher non pré-cochées pour le consentement
• Données conservées uniquement le temps nécessaire
• HTTPS actif sur tout le site
• Liste des sous-traitants documentée
• Procédure pour répondre aux demandes d'accès/suppression
• Mentions légales complètes (obligatoires en France)

Si plus de 3 points ne sont pas cochés, votre site n'est pas conforme. Ce n'est pas de l'alarmisme — c'est un risque réel.

Le RGPD peut-il booster votre référencement ?

Être conforme au RGPD n'est pas seulement une obligation légale. C'est aussi un avantage.

La confiance utilisateur. Un site avec une bannière cookies propre, une politique de confidentialité claire et des mentions légales complètes inspire confiance. Et la confiance, c'est ce qui transforme un visiteur en client.

L'impact SEO indirect. Un site conforme a tendance à avoir de meilleurs signaux utilisateur : moins de rebond, plus de temps passé, plus de conversions. Google ne mesure pas directement le RGPD, mais il mesure l'expérience utilisateur — et la confiance en fait partie.

L'avantage concurrentiel. Si votre concurrent a un site avec des pop-ups intrusifs, des cookies non consentis et pas de politique de confidentialité, votre site conforme se démarque positivement. C'est un critère de choix d'agence web souvent oublié.

Quelles erreurs RGPD reviennent le plus souvent ?

"J'ai une bannière, donc je suis conforme"

Non. Si votre bannière dépose des cookies avant le choix de l'utilisateur, vous n'êtes pas conforme même avec la plus belle bannière du monde. Testez avec un outil comme CookieBot Scanner ou Ghostery.

"Mon site ne collecte pas de données"

Si vous avez Google Analytics, un formulaire de contact, une intégration YouTube ou une carte Google Maps — vous collectez des données. Même l'adresse IP est une donnée personnelle au sens du RGPD.

"On est trop petit pour être contrôlé"

La CNIL effectue des contrôles aléatoires, et reçoit aussi des plaintes de particuliers. Un client mécontent qui signale votre site à la CNIL, ça arrive. Et le contrôle qui suit n'est pas agréable.

"On a mis ça en place en 2018, c'est bon"

Le RGPD évolue via les décisions de la CNIL et les jurisprudences européennes. Ce qui était acceptable en 2018 ne l'est plus forcément en 2026. Votre politique de confidentialité doit être mise à jour régulièrement.

Ce qu'on fait chez Nexel Dev

La conformité RGPD est intégrée dans tous nos projets, dès la conception.

Ce que ça inclut :

• Bannière cookies conforme avec gestion granulaire du consentement
• Chargement conditionnel des scripts (analytics, tracking) uniquement après consentement
• Pages mentions légales et politique de confidentialité adaptées à votre activité
• Formulaires avec mentions RGPD et consentement explicite
• Hébergement UE (Vercel EU) ou hébergeur français
• Documentation des sous-traitants et des flux de données

Pour les sites existants qui ont besoin d'une mise en conformité, notre service de maintenance et optimisation inclut l'audit RGPD et les corrections nécessaires.

Votre site est-il conforme au RGPD ? Si vous n'êtes pas sûr, c'est qu'il ne l'est probablement pas. Contactez-nous pour un diagnostic rapide — on vous dira exactement ce qui manque et ce qu'il faut corriger.