A lire aussi
Nos formules incluent les pages legales
RGPD et site web : ce que votre entreprise doit vraiment faire
Quand nous auditons un site, nous vérifions systématiquement la conformité RGPD. Le résultat est presque toujours le même : un bandeau cookies non conforme (« En continuant, vous acceptez »), des mentions légales incomplètes, et Google Analytics qui traque sans consentement. Ce n’est pas par malveillance — c’est par confusion. Le RGPD est en vigueur depuis 2018, mais les règles ont changé plusieurs fois depuis. Voici l’état exact de ce que votre site web doit faire en 2026.
En bref
Le RGPD impose a tout site web 4 obligations concretes : un bandeau cookies conforme (pas de cases pre-cochees), une page de politique de confidentialite, un formulaire de contact qui informe sur l’utilisation des donnees, et la possibilite pour l’utilisateur de demander la suppression de ses donnees. L’essentiel : etre transparent et honnete avec les donnees de vos visiteurs.
1. Le bandeau cookies : la CNIL ne plaisante plus
Non, le bandeau « En poursuivant votre navigation, vous acceptez l’utilisation de cookies » n’est pas conforme. La CNIL l’a dit en 2021, et en 2025 elle a distribué plus de 30 millions d’euros d’amendes liées aux cookies — dont certaines à des PME.
Les règles précises :
- Le bouton « Refuser » doit être aussi visible et accessible que le bouton « Accepter » (même taille, même couleur, même niveau de clic)
- Aucun cookie non essentiel ne doit être déposé avant le consentement explicite — pas de tracking Google Analytics, pas de Facebook Pixel, pas de chat tiers
- Le consentement doit être renouvelé tous les 13 mois maximum
- Le visiteur doit pouvoir retirer son consentement à tout moment (lien « Gérer mes cookies » dans le footer)
Les solutions conformes : Tarteaucitron (gratuit, français, open source), Axeptio (freemium, interface élégante), Cookiebot (payant, très complet). Tous les trois gèrent le blocage des scripts avant consentement et s’intègrent en 15 minutes sur WordPress.
2. Google Consent Mode v2 — Obligatoire depuis mars 2024
C’est le changement majeur que beaucoup de sites ignorent encore. Si vous utilisez Google Ads ou Google Analytics, vous devez implémenter le Consent Mode v2. Sans lui, Google ne peut plus mesurer correctement vos conversions en Europe, et vos campagnes Ads perdent en efficacité (modélisation de conversion dégradée).
Comment ça fonctionne : le Consent Mode transmet automatiquement à Google le statut de consentement de chaque visiteur. Si le visiteur refuse les cookies, Google reçoit des données anonymisées (pings sans identifiant) au lieu de données complètes. Résultat : vous restez conforme ET vous gardez une visibilité sur vos performances Ads.
Mise en place : Tarteaucitron, Axeptio et Cookiebot intègrent nativement le Consent Mode v2. Si vous utilisez un bandeau cookies fait maison, vous devez implémenter l’API gtag('consent', 'update', {...}) manuellement — ou passer à une solution qui le fait pour vous.
3. Mentions légales : le minimum syndical (souvent absent)
L’article 6 de la LCEN impose à tout site web professionnel d’afficher :
- Raison sociale, forme juridique, adresse du siège, capital social
- Numéro SIRET et RCS
- Nom du directeur de publication
- Coordonnées complètes de l’hébergeur (nom, adresse, téléphone)
- Numéro de TVA intracommunautaire si applicable
L’absence de mentions légales est passible d’une amende de 75 000 € pour une personne physique. On voit encore des sites en 2026 avec une page « Mentions légales » qui contient juste le nom de l’entreprise et un numéro SIRET. Ce n’est pas suffisant.
4. Politique de confidentialité : ce que le RGPD exige vraiment
Ce document doit expliquer en langage clair (pas en jargon juridique) :
- Quelles données vous collectez (nom, email, téléphone, adresse IP, cookies…)
- Pourquoi vous les collectez (répondre à un formulaire, envoyer une newsletter, analyser le trafic…)
- La base légale du traitement (consentement, intérêt légitime, exécution de contrat)
- Combien de temps vous les conservez (ex : 3 ans pour les prospects, durée du contrat pour les clients)
- Avec qui vous les partagez (hébergeur, Brevo, Google Analytics, Stripe…)
- Les droits de l’utilisateur : accès, rectification, suppression, portabilité, opposition
- Comment exercer ces droits (adresse email dédiée)
5. Formulaires : les 3 règles à respecter
- Minimisation : ne collectez que ce qui est strictement nécessaire. Un formulaire de contact n’a pas besoin de la date de naissance.
- Information : sous le formulaire, un texte court + lien vers la politique de confidentialité. Exemple : « Vos données sont traitées pour répondre à votre demande. En savoir plus. »
- Consentement marketing : si vous allez utiliser l’email pour envoyer des newsletters, ajoutez une case à cocher (non pré-cochée) : « J’accepte de recevoir des communications commerciales. »
6. Google Analytics : le cas qui fâche
GA4 transfère des données vers les États-Unis. Depuis les décisions de la CNIL (2022-2023), vous devez soit :
- Conditionner le chargement de GA au consentement cookies (le plus courant)
- Utiliser une alternative conforme : Matomo (auto-hébergé, exempté de consentement par la CNIL), Plausible ou Fathom
Si vous conditionnez GA au consentement, attendez-vous à perdre 30 à 50 % de vos données de trafic (les visiteurs qui refusent). C’est le prix de la conformité — et c’est pour ça que le Consent Mode v2 existe : il comble partiellement ce trou avec de la modélisation.
La checklist en 1 heure
- Installez Tarteaucitron ou Axeptio (15 min)
- Activez le Consent Mode v2 dans les paramètres du bandeau (5 min)
- Vérifiez/complétez vos mentions légales (15 min)
- Rédigez/mettez à jour votre politique de confidentialité (20 min)
- Ajoutez une mention + lien sous chaque formulaire (5 min)
La conformité RGPD de votre site web n’est pas un projet pharaonique. C’est une heure de travail qui vous protège légalement, renforce la confiance de vos visiteurs et — avec le Consent Mode v2 — préserve l’efficacité de vos campagnes publicitaires. Si votre site n’est pas conforme, chaque jour qui passe est un risque inutile.
Questions fréquentes
Mon site n’a qu’un formulaire de contact. Le RGPD s’applique quand meme ?
Oui. Des que vous collectez un nom, un email ou un numero de telephone, le RGPD s’applique. Vous devez informer l’utilisateur de ce que vous faites de ses donnees.
Comment mettre un bandeau cookies conforme ?
Utilisez un plugin WordPress gratuit comme Complianz ou CookieYes. Le bandeau doit permettre de refuser tous les cookies aussi facilement que de les accepter.
Que risque-t-on concretement en cas de non-conformite ?
Pour une TPE, le risque immediat est une mise en demeure de la CNIL avec un delai pour se mettre en conformite. Les amendes lourdes visent surtout les grandes entreprises.