Le RGPD a 8 ans en 2026, et pourtant la majorité des sites professionnels français reste partiellement non conforme. La CNIL a clairement durci le ton depuis 2022 : amendes qui se chiffrent en dizaines de milliers d’euros pour des PME, contrôles ciblés sur les cookies, et notification désormais quasi systématique aux utilisateurs en cas de plainte. Voici ce qu’il faut vérifier sur ton site, sans jargon.
L’essentiel en 5 obligations
| Obligation | Visible où | Pénalité encourue |
|---|---|---|
| Mentions légales accessibles | Footer | Jusqu’à 75 000 € (loi française) |
| Politique de confidentialité claire | Footer + au moment des formulaires | RGPD : jusqu’à 4% du CA |
| Bandeau cookies conforme | À l’arrivée sur le site | CNIL : 20 000 à 300 000 € constaté |
| Consentement explicite (opt-in) | Formulaires, newsletters | RGPD : jusqu’à 20 M€ ou 4% du CA |
| Sécurité technique (HTTPS, sauvegardes) | Invisible mais auditable | Sanction si fuite de données |
1. Les mentions légales
Obligatoires depuis la LCEN (2004), ce sont les informations qui permettent d’identifier qui édite le site :
- Nom de l’entreprise / nom et prénom si auto-entrepreneur
- Adresse du siège social
- Numéro de téléphone et email de contact
- Numéro RCS ou SIRET
- Capital social (pour les sociétés)
- Nom du directeur de la publication
- Coordonnées de l’hébergeur (nom, adresse, téléphone)
Une page /mentions-legales accessible depuis le footer suffit. C’est non négociable : l’absence de mentions légales est l’une des infractions les plus simples à constater par la CNIL ou un concurrent.
2. La politique de confidentialité
À distinguer des mentions légales. Elle explique :
- Quelles données tu collectes (nom, email, comportement de navigation…)
- Pourquoi tu les collectes (gestion commerciale, newsletter, analytics…)
- Combien de temps tu les conserves
- Avec qui tu les partages (sous-traitants, services tiers comme Stripe, Mailchimp, Google…)
- Quels sont les droits de l’utilisateur (accès, rectification, effacement, portabilité)
- Comment exercer ces droits (email du DPO ou de l’entreprise)
Ne copie pas une politique de confidentialité trouvée sur internet — elle ne reflétera pas ton activité réelle. Adapte-la vraiment.
3. Les cookies — là où la plupart des sites pèchent
Depuis les lignes directrices CNIL de 2020 (et leur application stricte depuis 2022), les règles sont claires :
- Les cookies non essentiels nécessitent un consentement explicite (pas de “consentement par défaut”)
- Le refus doit être aussi simple que l’acceptation (un bouton “Tout refuser” obligatoire et visible)
- Aucun cookie déposé avant le consentement (sauf cookies strictement nécessaires)
- Le consentement doit pouvoir être retiré aussi facilement qu’il a été donné
Ce qui est interdit en 2026
- Bandeau sans bouton “Refuser” ou avec un “Refuser” caché derrière 3 clics
- Pré-cocher les cases de consentement
- Déposer Google Analytics avant le consentement (même en mode “anonymisé”)
- Bloquer l’accès au site si l’utilisateur refuse les cookies (sauf cookie walls validés)
Les outils de gestion de consentement (CMP)
Pour un site pro, utilise une CMP (Consent Management Platform) :
- Axeptio : très français, simple, ~30 €/mois pour un site standard
- Didomi : leader européen, robuste, à partir de 30 €/mois
- Cookiebot : très complet, scan automatique des cookies
- Solutions self-hosted : plus techniques mais gratuites (Klaro, etc.)
Chez Peechy on intègre une bannière custom alignée sur le design du site, conforme et performante (pas de bloat).
4. Le consentement sur les formulaires
Chaque formulaire qui collecte des données personnelles doit :
- Préciser la finalité (“Vos données seront utilisées pour vous recontacter dans le cadre de votre demande”)
- Comporter une case à cocher si tu inscris la personne à autre chose qu’à ce qu’elle demande (ex : newsletter)
- Renvoyer vers la politique de confidentialité
- Demander uniquement les données nécessaires (principe de minimisation : si l’âge n’est pas pertinent, ne le demande pas)
Exemple correct sous un formulaire de contact :
Les informations recueillies sont enregistrées dans un fichier client. Elles sont conservées pendant 3 ans et destinées à [Nom de l’entreprise]. Conformément à la loi “informatique et libertés”, vous pouvez exercer vos droits en nous contactant à privacy@exemple.fr. [Voir notre politique de confidentialité].
5. Les analytics — Google Analytics est-il toujours problématique ?
Question récurrente depuis 2020. État en 2026 :
- Google Analytics 4 (GA4) : utilisable avec un cadre de transfert validé (DPF entre l’UE et les US, ratifié en 2023). Mais les transferts restent à risque juridique.
- Avec consentement explicite préalable, GA4 est utilisable
- Alternatives “privacy-friendly” : Plausible, Matomo (auto-hébergé), Fathom, Simple Analytics. Avantage : pas de cookie, pas de bannière nécessaire pour analytics (selon recommandation CNIL).
Pour un site vitrine, on recommande Plausible ou Matomo : moins de friction RGPD, données suffisantes pour piloter le site, conformes par construction.
6. La sécurité — la conformité invisible
Le RGPD impose des “mesures techniques et organisationnelles appropriées”. Sur un site web ça veut dire :
- HTTPS sur tout le site (certificat SSL/TLS valide)
- Sauvegardes régulières (au moins quotidiennes pour un e-commerce)
- Mises à jour de sécurité appliquées (CMS, plugins, dépendances)
- Accès admin protégés (mots de passe forts, idéalement 2FA)
- Plan en cas de fuite : notifier la CNIL sous 72h si fuite de données personnelles
Un site WordPress non mis à jour est un risque RGPD direct : une faille = une fuite = une notification obligatoire.
Cas particuliers
- Newsletter : double opt-in fortement recommandé (l’utilisateur clique sur un lien dans un email de confirmation)
- Espace client : pseudonymisation, droit à l’effacement opérationnel
- E-commerce : conservation des commandes : 10 ans (comptabilité), mais le compte client peut être supprimé
- Traceurs publicitaires (Meta Pixel, Google Ads…) : consentement explicite obligatoire avant tout dépôt
Combien coûte la mise en conformité ?
| Format | Fourchette | Inclus |
|---|---|---|
| Audit RGPD ponctuel | 800 à 2 500 € | Diagnostic + plan d’action |
| Mise en conformité d’un site existant | 1 500 à 4 000 € | Bannière, mentions, politique, CMP |
| Conformité incluse dans une création de site | + 500 à 1 200 € | Mentions, politique, bandeau, GA conforme |
| DPO externalisé | 100 à 500 €/mois | Pour les sociétés qui en ont besoin |
L’approche Peechy
On considère la conformité RGPD comme du soin par défaut sur tous nos sites. Pas comme un module qu’on rajoute en fin de projet — comme une exigence intégrée à la conception. Le client n’a pas à se demander si son site est conforme, il l’est.
Pour aller plus loin
Si ta refonte arrive, c’est le bon moment pour repartir sur des bases conformes : lire refonte de site web : quand et comment. Pour comprendre les coûts globaux d’un site conforme et performant, lis combien coûte un site web en 2026.
Un projet web en tête ?
Yoann ou Dan vous répondent directement. Premier échange sans engagement.
Prendre rendez-vous