Conformité11 min de lecture·

RGPD et site internet : mise en conformité simple pour TPE et PME (2026)

Le guide RGPD pratique pour les petites entreprises : mentions légales, cookies, formulaires, hébergement. Éviter jusqu'à 20 M€ d'amende avec 6 actions concrètes.

RGPD et site internet : mise en conformité simple pour TPE et PME (2026)

Le RGPD, c'est le règlement européen qui protège les données personnelles depuis 2018. Beaucoup de dirigeants de TPE-PME pensent qu'il "ne s'applique qu'aux grandes boîtes". Faux. Dès qu'un formulaire de contact, un cookie ou une newsletter existe, la CNIL peut contrôler. Et les amendes peuvent atteindre 20 millions d'euros.

Bonne nouvelle : se mettre en conformité prend moins d'une journée de travail avec la bonne méthode. Voici les 6 actions concrètes.

Action 1 — Publier des mentions légales complètes

Obligatoire depuis 2004 (loi LCEN), renforcé par le RGPD. Doivent apparaître : raison sociale, adresse, SIRET, capital, directeur de publication, hébergeur (nom + adresse + téléphone), et coordonnées du DPO si vous en avez un. Absence = 75 000 € d'amende pour un dirigeant personne physique.

Action 2 — Rédiger une politique de confidentialité claire

Un document accessible depuis le footer qui explique : quelles données vous collectez (email, nom, IP, cookies…), pourquoi (contact, devis, analytics), combien de temps vous les gardez, avec qui vous les partagez (hébergeur, prestataires), et comment l'utilisateur peut demander accès / suppression / rectification.

Action 3 — Bandeau cookies conforme "accepter / refuser"

Depuis 2020, la CNIL exige que refuser soit aussi facile qu'accepter. Les bandeaux "accepter tout" en gros et "paramétrer" caché sont sanctionnés (Google : 150 M€ d'amende en 2022 pour ça). Solutions gratuites conformes : Axeptio, tarteaucitron, Cookie Consent. Un site sans cookies tiers peut se passer du bandeau.

Action 4 — Sécuriser les formulaires

  • HTTPS obligatoire (SSL gratuit via Let's Encrypt ou fourni par l'hébergeur).
  • Case à cocher non pré-cochée pour le consentement newsletter.
  • Mention "Vos données sont utilisées pour…" à côté du bouton d'envoi.
  • Ne collecter que le strict nécessaire (principe de minimisation).

Action 5 — Choisir un hébergement européen

Un hébergeur français (OVH, Scaleway, Infomaniak Suisse) ou européen simplifie la conformité. Les hébergeurs US (AWS, Google Cloud) restent utilisables avec des clauses contractuelles types, mais compliquent l'audit en cas de contrôle. En cas de doute, restez en zone UE.

Action 6 — Tenir un registre des traitements

Obligation depuis 2018 pour toutes les entreprises, y compris de 1 salarié. Un simple tableau Excel suffit : nom du traitement (ex : "gestion des demandes de contact"), finalité, données collectées, durée de conservation, destinataires, mesures de sécurité. La CNIL fournit un modèle gratuit sur son site.

Les 5 erreurs les plus fréquentes en TPE-PME

  1. Bandeau cookies avec un seul bouton "OK" (illégal depuis 2020).
  2. Google Analytics en version universelle sans anonymisation IP.
  3. Envoi de newsletters à des contacts obtenus par scraping LinkedIn (interdit).
  4. Mentions légales copiées d'un autre site sans mise à jour.
  5. Aucune procédure documentée en cas de fuite de données.

Combien ça coûte de se mettre en conformité ?

Solo : 0 € (mais 8-12 h de lecture et rédaction). Avec un prestataire spécialisé : 500 à 2 000 € pour un audit + rédaction complète. Avec un studio web moderne : souvent inclus dans le forfait mensuel (c'est notre cas chez Ma Version Web).

Envie d'un site qui vous ressemble ?

On livre votre vitrine digitale en 48 h, sans engagement, à partir de 44,99 € / mois.

Réserver un appel découverte

À lire ensuite : sur mesure vs template : impact RGPD · performance et Core Web Vitals · choisir une agence web sérieuse.

Questions fréquentes

Le RGPD s'applique-t-il à un petit site vitrine ?
Oui, dès qu'un formulaire de contact, un compteur de visites ou un cookie est présent. Toutes les entreprises françaises sont concernées, sans seuil de taille ni de chiffre d'affaires.
Quelles sont les amendes CNIL pour non-conformité RGPD ?
Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Les TPE-PME reçoivent le plus souvent des mises en demeure, mais les amendes réelles pour petites structures existent (5 000 à 50 000 €).
Faut-il un bandeau cookies obligatoirement ?
Uniquement si votre site dépose des cookies non-essentiels (analytics, publicité, réseaux sociaux). Un site 100 % statique sans tracking peut s'en passer. Sinon le bandeau doit permettre de refuser aussi facilement que d'accepter.
Où doit être hébergé un site RGPD-friendly ?
De préférence en Union Européenne (France, Allemagne, Pays-Bas). Les hébergements US restent tolérés avec les clauses contractuelles types (Data Privacy Framework) mais génèrent des risques additionnels en cas de contrôle.

À lire ensuite