RGPD pour PME en 2026 : la checklist site web honnete (et les pieges des bandeaux cookies)

Le RGPD est entre en vigueur en mai 2018. Huit ans plus tard, une grande partie des sites de PME affiche encore des mentions legales bricolees, une politique de confidentialite generique copiee, et un bandeau cookies qui force a accepter pour lire la page. La CNIL le rappelle a chaque controle : la conformite n'est pas un detail, c'est la regle. Sanctions, blocages SEO et perte de confiance ne touchent plus que les grands groupes.

Cet article n'est pas un avis juridique formel — il ne remplace pas un avocat ou un DPO. C'est un guide pratique pour dirigeant de PME : ce qui est obligatoire, ce qui est recommande, et ce qui releve du bricolage qui finira par couter cher.

RGPD 8 ans apres : pourquoi tant de sites PME sont encore en infraction

La raison principale tient en une phrase : la mise en conformite a ete vendue comme un produit ponctuel (un bandeau a poser, un texte a coller), alors que c'est une demarche continue qui touche au fonctionnement reel de l'entreprise.

Trois causes reviennent dans les sites que nous auditons :

• Le copier-coller de mentions trouvees ailleurs. Politique recuperee sur un site concurrent, mentions legales d'une SARL fictive, finalites listees au hasard. Un texte qui ne decrit pas la realite de l'entreprise.
• Un bandeau cookies « tout accepter » par defaut. Pose il y a quatre ou cinq ans, jamais relu. Les regles ont ete clarifiees par la CNIL depuis : refuser doit etre aussi simple qu'accepter.
• Aucune trace ecrite de ce qui est fait avec les donnees. Pas de registre, aucune procedure en cas de demande d'acces ou de suppression. Tant qu'il n'y a pas de plainte, ca passe.

Bonne nouvelle : la majorite des points de non-conformite d'un site vitrine se corrige en une semaine, pas en six mois. Encore faut-il savoir par ou commencer.

Les 5 risques concrets de la non-conformite

Tous les risques n'ont pas le meme poids selon la taille de l'entreprise et la nature des donnees traitees. Mais ils se cumulent.

• 1. La sanction CNIL. Le plafond theorique est connu (jusqu'a 20 millions d'euros ou 4% du CA mondial). En pratique, la CNIL commence presque toujours par une mise en demeure publique. Pour une PME, ce courrier a un effet reputationnel important, bien avant l'amende.
• 2. La perte de confiance des clients. Un visiteur averti qui voit un bandeau forcant l'acceptation, ou des mentions copiees ailleurs, en deduit que le reste est aussi mal gere. La conformite est devenue un signal de serieux.
• 3. Le blocage par les navigateurs. Firefox, Safari et Brave bloquent par defaut une partie des trackers tiers. Un site qui depend de scripts non conformes voit ses statistiques s'ecrouler et son tracking marketing se vider.
• 4. La perte de positions SEO. Google a integre la conformite dans ses signaux de qualite. Un site sans politique claire, ou avec un bandeau invasif, est juge moins fiable.
• 5. La plainte d'un client mecontent. Un ex-salarie, un client en litige, un concurrent : une seule plainte sur la plateforme CNIL declenche un examen. Sans rien en place, la defense devient tres difficile.

Checklist 1 : des mentions legales conformes (vraies, pas placeholders)

Les mentions legales sont obligatoires pour tout site qui represente une activite professionnelle, par la loi pour la confiance dans l'economie numerique (LCEN). Elles doivent etre accessibles depuis chaque page, generalement via un lien en pied de page.

Ce qu'elles doivent contenir, au minimum :

• L'identite de l'editeur. Raison sociale exacte, forme juridique, capital social pour une societe, adresse du siege, telephone, email professionnel.
• Le numero d'inscription au RCS ou au repertoire des metiers, plus le numero de TVA intracommunautaire si l'entreprise y est assujettie.
• Le directeur de la publication. Le representant legal, nomme.
• L'hebergeur du site, avec son nom et son adresse complete (pas juste « OVH » ou « cloud »).
• Les eventuelles autorisations pour certaines professions reglementees (avocats, medecins, agents immobiliers, courtiers, etc.).

L'erreur la plus frequente : utiliser un modele copie d'un autre site sans changer les coordonnees. Une verification croisee avec les sources publiques (Pappers, Societe.com, INPI) suffit a relever l'incoherence. Partez d'un canevas vide et remplissez avec vos vraies donnees. Pour voir un exemple, regardez nos mentions legales.

Checklist 2 : une politique de confidentialite reelle

Contrairement aux mentions legales, la politique de confidentialite n'est pas un texte fige — elle decrit ce que VOUS faites concretement avec les donnees de vos visiteurs et clients. Un copier-coller est forcement faux, puisqu'il ne reflete pas votre realite.

Elle doit repondre, en langage clair :

• Quelles donnees sont collectees (nom, email, telephone, IP, donnees de navigation, contenus envoyes via les formulaires, etc.).
• Pour quelles finalites precises (repondre a une demande de contact, etablir un devis, envoyer une newsletter, mesurer l'audience, etc.). Une finalite = une raison legitime.
• Sur quelle base legale (consentement, contrat, obligation legale, interet legitime). Pour un site vitrine, c'est presque toujours consentement ou interet legitime.
• Combien de temps sont conservees les donnees. Une duree precise, justifiee : par exemple 3 ans apres le dernier contact pour les prospects, 10 ans pour les factures clients.
• A qui elles sont transmises. Sous-traitants techniques (hebergeur, outil de mailing, CRM), avec mention explicite quand le transfert sort de l'Union europeenne.
• Quels sont les droits de la personne (acces, rectification, suppression, opposition, portabilite) et comment les exercer concretement (une adresse email dediee, un formulaire, un courrier).
• Les coordonnees du DPO si l'entreprise en a designe un, ou de la personne responsable a defaut.

Le piege : une politique generique qui parle de « partenaires commerciaux » et de « profilage » alors que l'entreprise ne fait rien de tout cela. Mieux vaut une politique courte et exacte qu'un pave generique. Notre politique de confidentialite en est une illustration.

Checklist 3 : un bandeau cookies vraiment conforme

C'est le point le plus visible et le plus mal traite. La CNIL a publie des lignes directrices precises sur les bandeaux cookies, et les controles s'intensifient. Voici ce qui doit etre verifie sur votre bandeau, tel qu'il s'affiche aujourd'hui sur votre site :

• Aucun cookie de mesure ou de marketing avant le consentement. Tant que le visiteur n'a pas clique sur « accepter », aucun script tiers (Google Analytics, Facebook Pixel, etc.) ne doit s'executer. Les cookies strictement necessaires au fonctionnement du site sont la seule exception.
• « Refuser » aussi simple que « accepter ». Les deux boutons doivent etre au meme niveau, de meme taille, avec la meme visibilite. Plus de fenetre piege ou il faut cliquer dix fois pour refuser tandis qu'« accepter » brille en gros vert.
• Aucune case pre-cochee. Le consentement doit etre un acte positif. Un bandeau qui affiche « en continuant la navigation, vous acceptez » est non conforme depuis des annees.
• La possibilite de changer d'avis a tout moment. Un lien permanent (souvent en pied de page) doit permettre de revoir et de modifier ses choix de cookies. C'est obligatoire, pas optionnel.
• Une information claire sur les finalites, la duree de conservation des cookies et leurs destinataires, sans jargon technique.

Le bon test : ouvrez votre site en navigation privee. Avant tout clic, ouvrez les outils developpeur (clic droit, inspecter, onglet Application ou Stockage). Si vous voyez deja un cookie `_ga`, `fbp` ou autre tracker, votre bandeau ne sert a rien — les cookies se posent avant consentement.

Checklist 4 : le registre des traitements (oui, vous devez l'avoir)

« On est trop petits, on n'est pas concernes. » Faux. Le registre des traitements est obligatoire des qu'une entreprise traite des donnees personnelles de maniere reguliere, ce qui inclut tous les sites avec un formulaire de contact, une newsletter ou un compte client. La seule dispense concerne les structures de moins de 250 salaries pour les traitements occasionnels et a faible risque — ce qui ne couvre presque jamais un site web actif.

Bonne nouvelle : la CNIL fournit un modele gratuit, simplifie, parfaitement adapte aux PME. Le registre est un tableau qui liste, pour chaque traitement :

• Le nom du traitement (« Gestion des demandes de contact », « Newsletter », « Comptabilite clients »).
• La finalite.
• Les categories de donnees traitees.
• Les categories de personnes concernees.
• Les destinataires (internes et externes).
• La duree de conservation.
• Les mesures de securite en place.

Compter une demi-journee la premiere fois, puis une mise a jour annuelle ou a chaque nouvel outil. Ce document vit en interne, mais doit etre presentable a la CNIL en cas de controle.

Checklist 5 : choisir des outils alignes avec le RGPD

Aucun bandeau ne sauvera un site qui utilise des outils hostiles a la vie privee. Le choix des briques techniques determine la conformite reelle.

• Mesure d'audience. Google Analytics 4 est utilisable en France sous conditions strictes (anonymisation IP, parametres prives serres). Des alternatives europeennes (Matomo, Plausible, Fathom) permettent souvent de se passer du bandeau pour cette finalite — et de mesurer aussi les visiteurs qui refusent les cookies.
• Formulaires de contact. Les donnees doivent partir vers vous, pas vers un service tiers obscur. Les formulaires natifs (Django ou equivalent) restent les plus simples a controler. reCAPTCHA est tolere mais demande une mention dans la politique.
• Mailing. Verifiez ou sont stockes les contacts (UE ou hors UE), comment le double opt-in est implemente, comment fonctionne le desabonnement. Sendgrid, Brevo, Mailjet ont chacun leurs particularites — l'important est de pouvoir le documenter.
• Heatmaps, replays de session, chat live. Ces outils enregistrent l'integralite de la navigation. Consentement explicite obligatoire, et documentation precise. Beaucoup de PME les desinstallent faute de pouvoir les justifier.
• Hebergement. Un hebergeur europeen evite la moitie des questions sur les transferts hors UE.

Notre approche sur les sites vitrines integre ces choix par defaut : c'est plus facile a la construction qu'apres coup.

Les 3 pieges des « bandeaux cookies templates »

Le marche est sature de modules « conformite RGPD en 1 clic ». La realite : aucun bandeau ne rend un site conforme tout seul.

Piege 1 : le bandeau qui n'empeche rien. Beaucoup de modules affichent un beau bandeau mais ne bloquent pas les scripts tant que l'utilisateur n'a pas refuse. Le cookie Analytics est pose des l'arrivee, le bandeau ne sert que de decoration. Le test en navigation privee est imparable pour reperer ce defaut.

Piege 2 : le « tout accepter » deguise. Le bouton « accepter » est gros et colore, « refuser » est cache derriere un « personnaliser » qui demande trois clics. La CNIL a sanctionne ce design qualifie de « dark pattern ». Conformite zero malgre la presence d'un bandeau.

Piege 3 : le bandeau qui ne couvre que la France. Certains modules sont configures pour le seul cadre francais et oublient les visiteurs des autres pays europeens, qui beneficient des memes droits. Pour une entreprise B2B avec quelques clients europeens, c'est une non-conformite invisible mais reelle.

Un bandeau n'est qu'une interface. La conformite, c'est ce qui se passe avant et apres : aucun cookie tiers tant qu'on n'a pas dit oui, une trace ecrite du choix, un moyen de revenir dessus.

Par ou commencer quand on a un site existant

Voici l'ordre realiste pour avancer sans tout casser :

1. Tester le bandeau cookies en navigation privee. Gratuit, rapide, ca donne immediatement le niveau reel.
2. Verifier les mentions legales avec vos vraies donnees. Raison sociale, RCS, hebergeur, directeur de la publication.
3. Reecrire la politique de confidentialite a partir de votre realite, en supprimant ce qui ne correspond pas a votre activite.
4. Poser le registre des traitements avec le modele simplifie de la CNIL.
5. Auditer les outils tiers charges par le site et arbitrer : on garde, on remplace, ou on supprime.
6. Reparametrer le bandeau cookies pour qu'il bloque vraiment les scripts avant consentement, avec refus en un clic.

Cette sequence prend une a deux semaines de travail concentre pour un site vitrine standard. La plus grande partie du temps est consacree a redacteur ce qui est reellement fait dans l'entreprise — c'est rarement de la magie technique.

Questions frequentes

Si je n'ai aucun trafic, suis-je vraiment expose ?

L'exposition est plus faible, mais elle existe. La majorite des controles CNIL demarrent sur plainte d'un visiteur ou d'un ancien collaborateur, et non sur un scan automatique du web. Un petit site discret peut rester invisible des annees — jusqu'au jour ou un litige client deborde sur une plainte RGPD. La conformite minimale est un filet de securite, pas une mesure pour les gros.

Faut-il obligatoirement un DPO (delegue a la protection des donnees) ?

Pour une PME classique, non. Le DPO est obligatoire pour les organismes publics, les entreprises dont l'activite principale est le suivi a grande echelle des personnes, ou le traitement de donnees sensibles (sante, opinions, biometrie, etc.). Dans les autres cas, c'est facultatif mais recommande de nommer une personne responsable en interne — meme sans le titre officiel.

Mon prestataire technique est-il responsable a ma place ?

Non. Le responsable du traitement, c'est l'entreprise qui decide des finalites (vous), pas celle qui execute techniquement (l'agence, l'hebergeur, l'outil de mailing). Vos prestataires ont des obligations en tant que sous-traitants (article 28 du RGPD), et il faut signer une convention avec eux, mais la responsabilite finale reste la votre. C'est aussi pour ca qu'il vaut mieux travailler avec des prestataires qui maitrisent ces sujets que d'imposer la conformite apres coup.

Et Google Analytics, on peut encore l'utiliser en 2026 ?

Oui, avec des reglages stricts (anonymisation IP, parametres de partage desactives, signature des CGV adaptee, mention precise dans la politique de confidentialite, et consentement explicite via le bandeau). De plus en plus de PME basculent vers des alternatives europeennes sans cookies (Matomo, Plausible) qui simplifient le cadre et evitent au passage de perdre la mesure des visiteurs qui refusent les cookies. C'est un arbitrage a faire en fonction de vos besoins reels de mesure.

Cet article remplace-t-il un conseil juridique ?

Non. C'est un guide pratique pour comprendre les grandes lignes et lancer les bons chantiers. Pour les cas sensibles (donnees de sante, secteur reglemente, litige en cours, controle CNIL declenche), l'accompagnement d'un avocat specialise ou d'un DPO est indispensable. La CNIL elle-meme met a disposition une documentation gratuite et un service de questions pour les structures qui debutent.

Vous voulez etre en regle sans vous y noyer ? Chez Agence Codemaster, on commence toujours par comprendre votre activite avant de parler technique. Voir notre approche sites vitrines (conformite incluse) ou reservez un audit visio offert : on regarde votre situation ensemble et vous repartez avec des pistes concretes, sans engagement.