Aller au contenu principal
RADIANK

CONFORMITÉ

RGPD : checklist 2026 pour mettre en conformité un site PME

Billy Berthod · · 14 min
RGPD : checklist 2026 pour mettre en conformité un site PME

En 2025, la CNIL a prononcé près de 280 sanctions. Parmi les entreprises sanctionnées, plus de 60 % étaient des PME ou des TPE, et non des grandes entreprises. Pourtant, la quasi-totalité des dirigeants concernés pensaient être “à peu près conformes”. Politique de confidentialité copiée-collée, cookie banner sans bouton de refus, formulaire de contact sans base légale : les manquements sont souvent simples, et facilement corrigeables.

Cet article n’est pas un cours de droit. C’est une checklist opérationnelle, pensée pour que vous puissiez faire le point sur votre site en deux heures et corriger les points critiques avant d’attirer l’attention d’un contrôle. Pas de jargon inutile, des actions concrètes.


RGPD en 2026 : ce qui a réellement changé

Le RGPD est en vigueur depuis 2018. Ce qui a changé, c’est l’intensité des contrôles et quelques nouvelles réalités techniques.

Contrôles CNIL renforcés depuis 2024. La CNIL a structuré des cycles de contrôle thématiques par secteur. Les sites internet de TPE et PME entrent désormais dans les cibles prioritaires, notamment via des contrôles en ligne automatisés (scan des cookies, vérification des bannières). Une plainte d’un seul utilisateur suffit à déclencher un contrôle formel.

Les cookies tiers disparaissent (enfin, presque). Chrome avait annoncé la suppression des cookies tiers pour 2024, reportée puis abandonnée dans sa forme initiale. En pratique, les alternatives au tracking (Privacy Sandbox, fingerprinting) restent dans un cadre juridique flou. Ce qui ne change pas : vous êtes responsable de ce qui se dépose dans le navigateur de vos visiteurs.

Les sanctions s’adaptent au CA des PME. La règle des 4 % du chiffre d’affaires mondial ou 20 millions d’euros s’applique théoriquement. En pratique, les sanctions pour les PME se situent entre 5 000 et 75 000 euros pour les manquements courants — suffisant pour mettre en difficulté une petite structure.

IA Act et traitements automatisés. Depuis août 2025, les premières obligations de l’IA Act s’appliquent aux systèmes IA à “risque inacceptable”. Pour un site PME, la contrainte concrète : si vous utilisez un chatbot IA, un système de recommandation ou un scoring client automatisé, vous devez l’indiquer clairement dans votre politique de confidentialité et permettre à l’utilisateur de s’y opposer.


Les 12 obligations RGPD pour un site PME

Voici les 12 points à auditer sur votre site. Pour chacun, deux à trois lignes de contexte et un outil ou exemple concret.

  • 1. Mentions légales complètes Raison sociale, adresse postale complète, e-mail de contact, numéro RCS ou SIREN, numéro de TVA intracommunautaire, nom et prénom du directeur de publication, nom et adresse de l’hébergeur. Ces informations doivent être accessibles depuis toutes les pages (lien en pied de page). L’absence de mentions légales est une infraction à la loi pour la confiance dans l’économie numérique (LCEN), indépendamment du RGPD.

  • 2. Politique de confidentialité claire et accessible Elle doit expliquer quelles données sont collectées, pourquoi (finalité), sur quelle base légale (consentement, contrat, intérêt légitime), combien de temps elles sont conservées, et qui y a accès. Accessible depuis le pied de page et depuis chaque formulaire. Un lien “Politique de confidentialité” en bas de page suffit, à condition que le document soit réellement complet.

  • 3. Cookie banner conforme Le consentement doit être libre, éclairé, spécifique et univoque. Concrètement : un bouton “Refuser tout” aussi visible (même taille, même couleur) que “Accepter tout”. Pas de case pré-cochée. Pas de cookie posé avant le consentement. La CNIL a condamné plusieurs entreprises pour avoir mis le bouton “Refuser” en gris clair sur fond blanc.

  • 4. Analytics anonymisés ou consentement collecté Google Analytics 4 en configuration standard dépose des cookies de mesure qui nécessitent un consentement préalable. Deux options conformes : activer l’anonymisation complète de l’IP et désactiver le partage de données avec Google (mode “sans cookie”, dit Consent Mode v2) — ou basculer vers une solution sans cookie comme Plausible ou Matomo hébergé en France, qui ne nécessitent pas de bannière.

  • 5. Hébergement UE ou clauses contractuelles de transfert Si votre site est hébergé chez OVH, Infomaniak ou Hetzner (serveurs UE), vous êtes bien. Si vous utilisez des services américains (AWS, Google Cloud, Cloudflare Workers), vous devez vous assurer que des Clauses Contractuelles Types (CCT) sont en place et que le sous-traitant offre des garanties équivalentes. Vérifiez les conditions générales de votre hébergeur.

  • 6. Formulaires avec base légale et droits explicites Chaque formulaire collectant des données personnelles (contact, devis, inscription) doit indiquer : qui traite les données, pourquoi, sur quelle base légale, et un lien vers la politique de confidentialité. Une ligne sous le champ e-mail suffit : “Vos données sont utilisées pour traiter votre demande. En savoir plus : [Politique de confidentialité].”

  • 7. Newsletter avec double opt-in L’inscription à une newsletter requiert un double opt-in (confirmation par e-mail après inscription). L’envoi commercial sans ce processus est une infraction à la fois au RGPD et à la directive ePrivacy. La case “je souhaite recevoir la newsletter” ne doit pas être pré-cochée. Pour aller plus loin, consultez notre article sur les bonnes pratiques de l’email marketing.

  • 8. Données clients chiffrées et sauvegardées Les mots de passe doivent être stockés en hash (bcrypt ou Argon2, jamais en clair). Les données de paiement ne doivent pas être stockées sur votre serveur (déléguez à Stripe ou PayPlug). La base de données doit être sauvegardée régulièrement (quotidiennement pour un e-commerce) et les sauvegardes chiffrées. Pour les points techniques, notre article sur la sécurité web détaille les bonnes pratiques.

  • 9. Procédure de réponse aux droits des personnes Toute personne peut demander l’accès à ses données, leur rectification, leur suppression ou leur portabilité. Vous avez 30 jours pour répondre. Il vous faut donc : une adresse e-mail dédiée (ou mentionnée dans la politique de confidentialité), un processus interne pour identifier et exporter les données d’un contact, et une procédure de suppression. Un simple Google Doc de suivi suffit au départ.

  • 10. Registre des traitements Obligatoire dès lors que vous traitez des données à titre professionnel. Il liste tous les traitements (gestion clients, newsletter, analytics, comptabilité), leur finalité, leur base légale, les catégories de données, les destinataires et la durée de conservation. La CNIL propose un modèle Excel téléchargeable gratuit. Ce registre n’est pas à envoyer à la CNIL mais doit être disponible en cas de contrôle.

  • 11. DPA (Data Processing Agreement) signé avec vos sous-traitants Tout service tiers qui traite des données pour votre compte est un “sous-traitant” au sens RGPD : Mailchimp, Stripe, HubSpot, votre hébergeur, votre prestataire de chat en ligne. Vous devez signer un DPA avec chacun. La bonne nouvelle : ces contrats sont généralement disponibles en ligne dans les paramètres du compte (Stripe : “Data Processing Agreement” dans le dashboard) ou sur demande.

  • 12. DPO désigné si traitements à risque La désignation d’un Délégué à la Protection des Données (DPO) est obligatoire si vos traitements présentent un risque élevé (traitement à grande échelle de données sensibles, surveillance systématique, profiling). Pour la plupart des PME avec un site vitrine et un CRM standard, ce n’est pas obligatoire. Mais si vous traitez des données de santé, financières ou sensibles, consultez un spécialiste.


Cookies en 2026 : ce qu’il faut absolument savoir

La bannière de cookies est souvent le premier point de contrôle de la CNIL lors d’un audit en ligne. Les exigences sont claires depuis 2022 :

Ce que doit contenir votre bannière :

  • Un titre explicite (“Ce site utilise des cookies”)
  • Une description des catégories (essentiels, mesure d’audience, marketing)
  • Un bouton “Accepter tout” et un bouton “Refuser tout” au même niveau visuel
  • Un lien “Gérer mes préférences” pour un choix granulaire
  • La possibilité de retirer son consentement à tout moment

Ce qui est illégal :

  • Le “cookie wall” : bloquer l’accès au site si l’utilisateur refuse les cookies (condamné par la CNIL en France)
  • Déposer des cookies analytiques ou marketing avant le consentement
  • Un bouton “Refuser” caché dans un menu “Paramètres” à trois clics

Outils conformes gratuits ou freemium :

OutilTarifPoints forts
Tarteaucitron.jsGratuit (open source)Installation simple, conforme CNIL
AxeptioFreemiumInterface soignée, onboarding guidé
CookiebotFreemium (1 domaine gratuit)Scan automatique des cookies, rapport
DidomiSur devisPour les usages avancés

“La simple présence d’un bandeau cookies ne suffit pas. Le refus doit être aussi simple que l’acceptation.” — CNIL, Recommandation cookies, 2022


Mentions légales et politique de confidentialité : ce qui doit y figurer

Mentions légales — liste complète 2026

La loi LCEN impose les informations suivantes pour tout professionnel :

  • Dénomination sociale ou nom/prénom (pour les auto-entrepreneurs)
  • Adresse du siège social ou adresse professionnelle
  • Numéro de téléphone
  • Adresse e-mail
  • RCS + ville d’immatriculation (ou SIREN pour les auto-entrepreneurs)
  • Numéro de TVA intracommunautaire
  • Nom du directeur de publication
  • Nom, raison sociale et adresse de l’hébergeur (+ numéro de téléphone de l’hébergeur)

Pour les professions réglementées : autorité de tutelle, titre professionnel, référence aux règles professionnelles.

Politique de confidentialité — ajouts obligatoires en 2026

Aux éléments classiques, ajoutez désormais :

  • DPO : nom et coordonnées si désigné, ou mention de l’absence de désignation obligatoire
  • Transferts hors UE : liste des pays tiers concernés et garanties mises en place (CCT, décision d’adéquation)
  • Durées de conservation : tableau par catégorie de données (prospects : 3 ans, clients : durée légale comptable + 5 ans, cookies : 13 mois maximum)
  • Profilage et décisions automatisées : si vous utilisez une IA pour scorer des leads ou personnaliser le contenu, vous devez l’indiquer et expliquer la logique utilisée
  • Droits des personnes : liste exhaustive (accès, rectification, suppression, portabilité, limitation, opposition, retrait du consentement) + délai de réponse (30 jours) + droit de recours auprès de la CNIL

La CNIL propose des modèles de politique de confidentialité adaptables à votre situation.


Sanctions CNIL : combien risquez-vous vraiment ?

Le plafond légal (4 % du CA ou 20 M€) s’applique aux grands groupes. Pour une PME, le risque réel est différent, mais bien existant.

Le déroulement habituel d’un contrôle CNIL :

  1. Réception d’une plainte d’un utilisateur ou détection automatique via scan
  2. Mise en demeure avec délai de correction (souvent 1 à 3 mois)
  3. Vérification post-mise en demeure
  4. Sanction si non-conformité persistante

La mise en demeure seule n’est pas publiée. La sanction, si elle dépasse un certain seuil, l’est (procédure dite “publication de la sanction”).

Montants observés pour les PME (2023-2025) :

Type de manquementFourchette habituelle
Cookie banner non conforme5 000 € – 30 000 €
Absence de politique de confidentialité10 000 € – 20 000 €
Défaut de sécurisation des données15 000 € – 75 000 €
Prospection sans consentement10 000 € – 50 000 €

Exemples réels publiés par la CNIL en 2024-2025 : une société de courtage condamnée à 200 000 € pour prospection téléphonique sans consentement ; un cabinet de santé à 380 000 € pour absence de sécurisation d’un formulaire en ligne exposant des données médicales. Ces montants restent proportionnés mais significatifs pour des structures de taille intermédiaire.

La bonne nouvelle : la CNIL laisse toujours une chance de se corriger avant de sanctionner. Être proactif et corriger vite après une mise en demeure réduit très sensiblement le risque de sanction.


RGPD et IA en 2026 : nouvelles obligations pour votre site

L’IA Act européen est entré en phase d’application progressive en 2024-2025. Pour un site PME, les impacts concrets sont encore limités mais réels.

Chatbot IA sur votre site. Si vous utilisez un widget d’assistance IA (ChatGPT API, Intercom avec IA, etc.), c’est un traitement automatisé de données personnelles. Vous devez :

  • L’indiquer dans votre politique de confidentialité
  • Préciser quelles données sont transmises au fournisseur du modèle
  • Indiquer si les conversations sont conservées et pour combien de temps

Systèmes de recommandation ou de scoring. Si votre site adapte son contenu en fonction du profil visiteur (retargeting, personnalisation, score de lead), vous êtes dans le cadre des “décisions automatisées” au sens de l’article 22 du RGPD. L’utilisateur a le droit de s’y opposer et d’obtenir une explication humaine.

Ce que l’IA Act ajoute pour 2026. Les systèmes d’IA à risque limité (chatbots, générateurs de contenu) doivent être identifiés clairement comme tels auprès de l’utilisateur. La transparence sur le caractère automatisé de l’interaction devient une obligation, pas une bonne pratique. Pour approfondir le sujet des chatbots IA en entreprise, consultez notre article dédié. Pour les possibilités offertes par l’intelligence artificielle dans votre activité, voir nos services.


Audit RGPD : testez votre conformité en 30 minutes

Pas besoin de DPO ni de cabinet juridique pour faire un premier état des lieux. Voici la méthode.

Étape 1 — Parcours utilisateur (10 min)

Ouvrez votre site en navigation privée et notez :

  • Une bannière cookies s’affiche-t-elle dès l’arrivée ?
  • Le bouton “Refuser” est-il aussi visible que “Accepter” ?
  • Des cookies sont-ils déposés avant toute interaction ? (Vérifiez via F12 > Application > Cookies)
  • Le lien “Mentions légales” est-il visible en pied de page ?
  • Le lien “Politique de confidentialité” est-il visible en pied de page ?

Étape 2 — Vérification des formulaires (5 min)

Pour chaque formulaire de contact, devis ou inscription :

  • La finalité du traitement est-elle indiquée ?
  • Un lien vers la politique de confidentialité est-il présent ?
  • La case newsletter n’est-elle pas pré-cochée ?

Étape 3 — Vérification des sous-traitants (10 min)

Listez les services tiers actifs sur votre site (Google Analytics, Mailchimp, plugin de chat, Hotjar, Facebook Pixel, etc.) et vérifiez pour chacun :

  • Un DPA est-il signé (disponible dans les paramètres du compte) ?
  • Le service est-il déclaré dans votre politique de confidentialité ?

Étape 4 — Registre des traitements (5 min)

  • Existe-t-il un document listant vos traitements de données ?
  • Est-il accessible en 5 minutes si la CNIL le demandait ?

Outils gratuits pour aller plus loin :

Quand faire appel à un prestataire ? Si votre site collecte des données sensibles (santé, finances, mineurs), si vous gérez une base de plus de 1 000 contacts, ou si votre activité principale repose sur le traitement de données personnelles, un DPO externe ponctuel (souvent 500-2 000 € pour un premier audit) est un investissement raisonnable.


Conclusion

80 % des sites de PME présentent au moins un manquement RGPD documentable. La mise en conformité complète représente rarement plus d’une journée de travail bien ciblée : rédiger ou mettre à jour les mentions légales et la politique de confidentialité, configurer un outil de gestion des cookies conforme, ajouter les mentions sur les formulaires, et signer les DPA avec vos sous-traitants.

Ce n’est pas une contrainte administrative abstraite. C’est aussi un signal de confiance pour vos prospects : un site clairement conforme rassure et différencie.

Si vous souhaitez faire auditer la conformité RGPD de votre site, vous pouvez me contacter directement via /contact/. Pour un site conçu dès le départ selon les bonnes pratiques, consultez notre service de création de site internet conforme RGPD. Pour les sites déjà en ligne, notre service de maintenance inclut les vérifications de conformité régulières.


Pour aller plus loin

RGPD CNIL Sécurité Conformité PME
Billy Berthod

Billy Berthod

Développeur web freelance et expert SEO basé dans le Jura. J'accompagne les entreprises dans leur transformation digitale depuis 2018.

En savoir plus

VOTRE PROJET

Votre freelance SEO dans le Jura.

Vous souhaitez améliorer votre référencement ou créer un site performant ? Discutons de votre projet.