Retour au blog
Tutoriel2 mai 2026

RGPD et site web : ce que vous devez faire en pratique

Le RGPD vous concerne même si vous n'avez que 10 visiteurs par jour. Voici les obligations concrètes, sans jargon juridique.

Tu as entendu parler du RGPD (Règlement Général sur la Protection des Données) et tu te demandes si ça te concerne.

La réponse est oui. Même si tu es chirurgien, artisan ou avocat. Même si ton site a 10 visiteurs par jour. Même si tu ne collectes "que des emails".

Le RGPD ne punit pas les petits sites. Mais il te protège, toi et tes clients.

Voici ce que tu dois faire, concrètement. Pas de jargon juridique. Juste des actions simples.

Le RGPD en une phrase

Le RGPD est une loi européenne qui protège les données personnelles des citoyens. Une donnée personnelle, c'est n'importe quelle information qui permet d'identifier quelqu'un.

Exemples : nom, email, numéro de téléphone, adresse IP, cookie de tracking.

Si ton site récupère une de ces informations, tu es concerné. Point barre.

Et attention : depuis 2023, les amendes peuvent aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. C'est l'AMF qui les applique en France (ex-CNIL).

Concrètement, les petits professionnels reçoivent d'abord un avertissement ou une amende de quelques milliers d'euros. Mais l'amende peut monter vite si tu ignores les rappels.

Obligation 1 : le bandeau cookies

C'est la première chose que tes visiteurs voient. Et c'est souvent la plus mal faite.

Un bon bandeau cookies doit :

  • Permettre de refuser aussi facilement que d'accepter. Pas de bouton "Accepter" en couleur et "Paramètres" en tout petit gris.
  • Ne tracer aucun cookie avant que l'utilisateur ait donné son accord explicite.
  • Proposer un bouton "Tout refuser" visible.
  • Permettre de choisir cookie par cookie.

Le piège le plus fréquent : utiliser le bandeau d'un hébergeur ou d'un CMS sans vérifier s'il respecte les règles. Beaucoup de sites utilisent des bandeaux "accept only" qui sont illégaux depuis 2021.

Solution simple : utilise un outil comme Cookie Consent (gratuit) ou un plugin RGPD certifié. Ne bricole pas ton propre bandeau.

Obligation 2 : la politique de confidentialité

Chaque site doit avoir une page "Politique de confidentialité" facile à trouver. Pas dans le footer en police 8, mais accessible et lisible.

Cette page doit expliquer clairement :

  • Quelles données tu collectes (nom, email, cookies, etc.)
  • Pourquoi tu les collectes (répondre à un formulaire, analytics, newsletter)
  • Combien de temps tu les conserves (exemple : 3 ans après le dernier contact)
  • Qui y a accès (toi, ton hébergeur, Google Analytics, etc.)
  • Quels sont les droits de la personne (accès, rectification, suppression, opposition)
  • Comment exercer ces droits (un email, un formulaire de contact, un numéro)

Ne copie pas une politique de confidentialité d'un autre site. Tu dois l'adapter à ce que tu fais vraiment.

Exemple concret : si tu utilises Google Analytics, tu dois le mentionner. Si tu stockes les emails dans Mailchimp, tu dois le dire. Si tu héberges sur OVH, tu dois le préciser.

Obligation 3 : le formulaire de contact

Ton formulaire de contact collecte des données personnelles. Il doit respecter des règles simples :

  • Une case à cocher pour accepter la politique de confidentialité : "J'accepte la politique de confidentialité"
  • Pas de case pré-cochée. L'utilisateur doit cocher lui-même.
  • Un message clair sur l'utilisation des données : "Ces informations servent uniquement à vous répondre. Elles ne sont pas revendues."
  • Optionnel mais recommandé : un lien vers la politique de confidentialité juste à côté de la case.

Encore une erreur fréquente : un formulaire avec juste "Nom, Email, Message, Envoyer". Pas de case RGPD. Tu encaisses une amende potentielle sur chaque formulaire.

Obligation 4 : la collecte de newsletter

Si tu proposes une newsletter ou un téléchargement gratuit en échange d'un email, les règles sont strictes :

  • Double opt-in obligatoire : la personne s'inscrit, reçoit un email de confirmation, et clique pour valider. Pas de simple inscription directe.
  • Lien de désabonnement visible dans chaque email. Si quelqu'un se désabonne, tu dois le retirer sous 48h maximum.
  • Preuve de consentement : tu dois pouvoir prouver que la personne a donné son accord. La date, l'heure, et l'IP de confirmation doivent être conservés.
  • Finalité claire : dis exactement ce que la personne va recevoir et à quelle fréquence. Pas de "on vous enverra des offres de temps en temps" trop vague.

Exemple concret : un chirurgien esthétique qui propose un guide PDF sur les prix des opérations doit : (1) demander l'email, (2) envoyer le guide par email, (3) demander de confirmer l'inscription à la newsletter dans le même email. Si la personne ne confirme pas, pas de newsletter. Simple.

Obligation 5 : Google Analytics

Google Analytics est un outil formidable, mais il pose des problèmes RGPD spécifiques.

Depuis 2022, la CNIL considère que les données transférées aux États-Unis via Google Analytics ne sont pas suffisamment protégées. Plusieurs sites ont reçu des amendes.

Que faire concrètement :

  • Option 1 : abandonner Google Analytics pour un outil européen comme Matomo (auto-hébergé) ou Plausible. Ces outils ne transfèrent pas les données hors Europe.
  • Option 2 : utiliser Google Analytics 4 avec des paramètres de confidentialité renforcés (anonymisation des IP, désactivation du partage de données avec Google). Mais la CNIL n'est toujours pas rassurée à 100%.
  • Option 3 : garder Google Analytics mais demander le consentement explicite avant chaque traceur via un cookie wall conforme. C'est la solution la plus contraignante.

La tendance 2026 : de plus en plus de sites professionnels passent à Matomo ou à des solutions analytics sans cookies. Moins de risques, moins de complexité.

Obligation 6 : la sécurité de base

Le RGPD exige aussi que tu protèges les données que tu collectes. Pas besoin d'être un expert en cybersécurité, mais un minimum est requis :

  • HTTPS obligatoire : ton site doit être en HTTPS. C'est le minimum, et Google le pénalise si ce n'est pas le cas.
  • Mots de passe forts : si tu as un espace admin, utilise des mots de passe complexes et change-les régulièrement.
  • Mises à jour : mets à jour ton CMS, tes plugins et ton thème. Les failles de sécurité sont souvent causées par des versions obsolètes.
  • Sauvegardes : sauvegarde ton site régulièrement. Si tu perds les données d'un client, tu dois pouvoir les restaurer.

Ce que tu n'es pas obligé de faire

Le RGPD fait peur, mais tout n'est pas obligatoire pour les petits sites :

  • Tu n'as pas besoin de nommer un DPO (Délégué à la Protection des Données) si ton activité principale n'est pas le traitement massif de données.
  • Tu n'as pas besoin de registre de traitement si tu es une entreprise de moins de 250 employés (sauf si tu traites des données sensibles de façon régulière).
  • Tu n'as pas besoin de faire une AIPD (Analyse d'Impact relative à la Protection des Données) pour un site vitrine standard.

Mais les obligations listées plus haut (cookies, politique de confidentialité, formulaire conforme, sécurité) sont non-négociables pour tout le monde.

Les erreurs les plus fréquentes

  1. Le bandeau cookies maison : tu bricoles un bandeau sans comprendre les règles. Résultat : tu es non conforme et tu ne le sais pas.
  2. La politique de confidentialité copiée : tu prends celle d'un concurrent. Elle ne correspond pas à ce que tu fais vraiment.
  3. Les cases pré-cochées : tu gagnes du temps, mais c'est illégal.
  4. Collecter sans consentement : tu ajoutes automatiquement les visiteurs à ta newsletter. Interdit.
  5. Les données qui traînent : tu gardes les emails de prospects depuis 2015 sans jamais les nettoyer.

Chacune de ces erreurs peut te coûter cher. Mais surtout, elles abîment la confiance de tes visiteurs.

Le RGPD est un avantage concurrentiel

Beaucoup de sites ignorent le RGPD par flemme ou par méconnaissance. Ceux qui le respectent gagnent la confiance des visiteurs.

Quand quelqu'un arrive sur ton site et voit un bandeau cookies clair, une politique de confidentialité détaillée, et un formulaire transparent, il se dit : "Ce professionnel est sérieux."

À l'inverse, un site sans politique de confidentialité et avec un bandeau "J'accepte" imposé donne une impression d'amateurisme.

Le RGPD n'est pas une contrainte. C'est une preuve de sérieux. Et dans un métier où la confiance est la clé pour convertir un visiteur en client, c'est un atout que tu ne peux pas négliger.

Tu veux savoir si ton site respecte ces règles ? Notre audit gratuit vérifie tout ça en 30 secondes, y compris les aspects techniques liés à la sécurité et à la conformité. Rendez-vous sur huitcents.co.

RGPDprotection des donnéesobligations site webconformité CNILcookies

Votre site perd des visiteurs ?

Découvrez combien en 30 secondes avec notre audit gratuit.

Faire mon audit gratuit