Site web professionnel11 min de lecture

RGPD et site internet : le guide de conformité pour les pros en 2026

La CNIL a infligé un montant record de 486,8 millions d'euros d'amendes en 2025, soit 9 fois plus qu'en 2024. Et 67 sanctions sur 83 visaient des petites structures via procédure simplifiée. Les PME ne sont plus épargnées. Pourtant, 60 % des PME françaises ne sont toujours pas conformes. Voici la checklist concrète pour mettre votre site en règle — rédigée par des développeurs web, pas des juristes.

RGPD et site internet : le guide de conformité pour les pros en 2026

2025 : l'année où la CNIL a frappé fort

Les chiffres de l'année 2025 montrent un durcissement massif :

  • 486,8 millions d'euros d'amendes au total (record absolu, vs 55,2 M€ en 2024)
  • 83 sanctions prononcées
  • 143 mises en demeure
  • 67 sanctions via procédure simplifiée — ciblant les petites structures (amendes ≤ 20 000 €)
  • 21 organismes sanctionnés spécifiquement pour violations liées aux cookies

Les sanctions majeures : Google 325 M€ (cookies sans consentement), Shein 150 M€ (information insuffisante), Free 42 M€ (faille de sécurité, janvier 2026), France Travail 5 M€ (violation données, janvier 2026).

Le message est clair : la CNIL ne se limite plus aux géants. La procédure simplifiée (introduite en 2022) permet de sanctionner rapidement les PME avec des amendes de 5 000 à 20 000 €. Un plombier, un restaurant ou un cabinet médical non conforme est désormais exposé.

La checklist RGPD en 10 points pour votre site web

Voici les 10 éléments que votre site doit avoir pour être conforme :

  1. Mentions légales complètes. Obligatoires depuis la LCEN (2004). Doivent contenir : raison sociale, SIRET, adresse, nom du directeur de publication, hébergeur avec adresse. Page accessible depuis toutes les pages du site (footer).
  2. Politique de confidentialité. Document qui décrit quelles données personnelles vous collectez, pourquoi, combien de temps vous les conservez, et comment les utilisateurs peuvent exercer leurs droits (accès, rectification, suppression). Doit être rédigée en français courant, pas en jargon juridique.
  3. Bandeau cookies conforme. Le consentement doit être libre, éclairé et préalable. Concrètement : un bandeau avec « Accepter » ET « Refuser » de même taille et même visibilité. Pas de dark patterns (bouton refuser caché, pré-cochage). Les cookies analytics et publicitaires ne peuvent pas être déposés avant le consentement explicite.
  4. Formulaires avec base légale. Chaque formulaire de contact, newsletter ou devis doit mentionner la finalité de la collecte et la base légale (consentement ou intérêt légitime). Case à cocher non pré-cochée pour le marketing.
  5. HTTPS obligatoire. Certificat SSL sur toutes les pages. Un site en HTTP expose les données en clair — et Google le signale comme « Non sécurisé ».
  6. Sécurité des données. Mots de passe hashés, accès administrateur protégé, sauvegardes régulières. La faille de Free (42 M€ d'amende) rappelle que la sécurité n'est pas optionnelle.
  7. Durée de conservation définie. Les données de contact ne peuvent pas être conservées indéfiniment. La CNIL recommande 3 ans maximum après le dernier contact pour la prospection commerciale.
  8. Registre des traitements. Document interne (pas publié sur le site) qui recense tous les traitements de données personnelles. Obligatoire pour les structures de 250+ salariés, recommandé pour toutes.
  9. DPO ou contact RGPD. Pour les structures de 250+ salariés, un DPO (Délégué à la Protection des Données) est obligatoire. Pour les TPE/PME, un simple contact RGPD dans la politique de confidentialité suffit.
  10. Droit d'opposition et de suppression. Un utilisateur doit pouvoir demander la suppression de ses données. Votre politique de confidentialité doit indiquer comment le faire (email, formulaire) et le délai de traitement (30 jours maximum).
Audit RGPD gratuit de mon site →

Cookies : les 5 erreurs qui coûtent cher

Les cookies sont le sujet RGPD n°1 pour les sites web. Voici les erreurs les plus fréquentes — et les plus sanctionnées :

Erreur 1 — Le bandeau « En continuant, vous acceptez ». Ce n'est plus conforme depuis 2020. Le simple fait de scroller ou continuer à naviguer ne constitue pas un consentement valide. Il faut un clic explicite.

Erreur 2 — Le bouton « Refuser » caché ou absent. Refuser doit être aussi facile qu'accepter. Même taille de bouton, même position, même visibilité. Les dark patterns sont sanctionnés.

Erreur 3 — Google Analytics sans consentement. GA4 dépose des cookies tiers. Il ne peut être activé qu'après consentement explicite. Alternative conforme : Plausible Analytics (pas de cookies) ou Matomo en mode cookieless.

Erreur 4 — Le pixel Facebook/Meta chargé par défaut. Même logique que GA4. Le pixel Meta est un cookie publicitaire — il nécessite un consentement préalable.

Erreur 5 — Pas de CMP (Consent Management Platform). Un bandeau HTML fait maison ne suffit plus. Utilisez une CMP conforme : Tarteaucitron (gratuit, français), Axeptio, Didomi, ou Cookiebot. La CMP doit bloquer réellement les scripts avant consentement, pas juste afficher un bandeau cosmétique.

Chez KYTIPO, on utilise Plausible Analytics (hébergé en UE, zéro cookies, pas de bandeau requis) et on intègre Tarteaucitron si vous avez besoin d'autres scripts tiers.

RGPD pour une TPE : ce qui est vraiment obligatoire vs recommandé

Le RGPD fait peur parce qu'il est souvent présenté dans sa version maximale (grandes entreprises). Pour une TPE avec un simple site vitrine, voici ce qui est obligatoire vs recommandé :

ÉlémentObligatoireRecommandé
Mentions légales✅ Oui (LCEN)
Politique de confidentialité✅ Oui (si collecte données)
Bandeau cookies✅ Si cookies non essentielsPas nécessaire si 0 cookie tiers
HTTPS✅ Oui
Registre des traitements❌ Non (< 250 salariés)✅ Bonne pratique
DPO désigné❌ Non (< 250 salariés)✅ Contact RGPD suffit
Analyse d'impact (AIPD)❌ Non (sauf données sensibles)❌ Non pertinent TPE
CMP (plateforme cookies)✅ Si cookies tiersInutile si analytics cookieless

Concrètement, une TPE avec un site vitrine qui utilise Plausible (sans cookies) et un formulaire de contact simple a besoin de : mentions légales + politique de confidentialité + HTTPS. C'est tout.

Chez KYTIPO, ces trois éléments sont inclus dans tous les forfaits. On génère les mentions légales et la politique de confidentialité conformes lors de la livraison du site. Pas de supplément.

Audit RGPD gratuit de mon site →

La conformité RGPD comme avantage compétitif (pas juste une contrainte)

Au-delà de l'obligation légale, la conformité RGPD est un signal de confiance qui impacte directement vos conversions :

  • 92 % des consommateurs français se disent préoccupés par la protection de leurs données en ligne (Ifop 2024)
  • Un site avec un bandeau cookies clair et une politique de confidentialité lisible inspire plus confiance qu'un site sans mentions légales
  • Google favorise les sites HTTPS et conformes dans ses classements
  • Les IA génératives citent plus facilement les sites qui respectent les standards web — dont le RGPD fait partie

Votre conformité RGPD est aussi un argument commercial face aux clients B2B. Les entreprises qui traitent avec des sous-traitants exigent de plus en plus la conformité RGPD de leurs partenaires. Un site conforme = un partenaire de confiance.

Pour en savoir plus sur l'autre obligation réglementaire majeure, consultez notre guide EAA accessibilité numérique.

Questions fréquentes

Oui, dès que votre site collecte des données personnelles — même un simple formulaire de contact avec nom et email. Les mentions légales et la politique de confidentialité sont obligatoires. Si vous n'utilisez aucun cookie tiers (pas de GA4, pas de pixel Facebook), le bandeau cookies n'est pas nécessaire.
GA4 nécessite un consentement préalable explicite car il dépose des cookies tiers. Alternative conforme sans cookies : Plausible Analytics (hébergé en UE, pas de bandeau requis) ou Matomo en mode cookieless.
Via la procédure simplifiée CNIL, les amendes vont de 5 000 à 20 000 €. En 2025, 67 sanctions sur 83 ont utilisé cette procédure. Les mises en demeure (143 en 2025) sont encore plus fréquentes et peuvent mener à des sanctions si non suivies d'effet.
Oui. Tous nos forfaits incluent les mentions légales conformes, la politique de confidentialité personnalisée, et le HTTPS. On utilise Plausible Analytics (sans cookies, sans bandeau) par défaut. Si vous avez besoin de scripts tiers, on intègre Tarteaucitron (CMP française gratuite).
Un DPO est obligatoire si vous avez 250+ salariés ou si vous traitez des données sensibles (santé, judiciaire) à grande échelle. Pour une TPE/PME standard, un simple contact RGPD (email) mentionné dans votre politique de confidentialité suffit.

Prêt à passer à l'action ?

Maquette gratuite sous 24h, sans engagement.

Audit RGPD gratuit de mon site →

Articles connexes

Accessibilité numérique EAA 2025 : votre site est-il en règle ? Ce que chaque PME doit savoirCombien coûte un site internet professionnel en 2026 ? Le guide completComment choisir une agence web en France sans se faire arnaquerPlausible vs Google Analytics (GA4) en 2026 : vie privée contre puissance analytiqueRéglementation web en France 2026 : RGPD, EAA, REEN, DMA — le mur de conformité

Création de site internet dans l'Hérault

Sites web à montpellierSites web à beziersSites web à seteSites web à agdeSites web à lunel