Guide complet RGPD pour les sites web en 2026

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018, mais force est de constater que de nombreux sites web ne sont toujours pas conformes en 2026. Que vous soyez freelance, auto-entrepreneur ou dirigeant de PME, ce guide vous explique concrètement ce que vous devez mettre en place sur votre site internet. C'est la page de référence : chaque section renvoie vers un guide détaillé si vous voulez aller plus loin.

Qu'est-ce que le RGPD ?

Le RGPD est un règlement européen qui encadre le traitement des données personnelles. Il s'applique à toute organisation qui collecte ou traite des données de résidents européens, quelle que soit sa taille ou sa localisation géographique.

Une donnée personnelle, c'est toute information qui permet d'identifier directement ou indirectement une personne : nom, email, adresse IP, cookies, identifiants de connexion, données de navigation, etc.

Point important : le RGPD ne concerne pas uniquement les formulaires de contact. Dès que votre site utilise Google Analytics, un pixel Facebook, un système de commentaires ou même une simple newsletter, vous traitez des données personnelles. Selon votre statut, voyez nos guides dédiés auto-entrepreneur, freelance et consultant ou agence web.

Les 6 obligations principales pour votre site web

1. Informer les utilisateurs de manière transparente

Votre site doit disposer d'une politique de confidentialité claire et accessible. Ce document doit préciser :

• Quelles données vous collectez et pourquoi
• La base légale de chaque traitement (consentement, intérêt légitime, obligation légale)
• La durée de conservation des données
• Les droits des utilisateurs et comment les exercer
• L'identité du responsable de traitement
• Les éventuels transferts de données hors UE

Cette politique doit être rédigée en langage simple, pas en jargon juridique. L'objectif est que n'importe quel visiteur puisse comprendre ce que vous faites de ses données. Vous pouvez partir de notre modèle de politique de confidentialité gratuit.

2. Obtenir un consentement valide pour les cookies

Depuis les recommandations de la CNIL de 2020, les règles sont strictes :

• Le consentement doit être libre, spécifique, éclairé et univoque
• Refuser les cookies doit être aussi simple que les accepter
• Aucun cookie non essentiel ne doit être déposé avant le consentement
• Le consentement doit être renouvelable et révocable à tout moment
• La preuve du consentement doit être conservée

Les cookie walls (bloquer l'accès au site sans acceptation) sont généralement considérés comme non conformes par la CNIL. Pour la mise en œuvre technique, voir notre guide bannière cookie conforme RGPD et le point spécifique sur Google Analytics.

3. Afficher des mentions légales complètes

La loi LCEN (Loi pour la Confiance dans l'Économie Numérique) impose des mentions légales obligatoires sur tout site web. Ces mentions doivent inclure l'identité de l'éditeur, les coordonnées de l'hébergeur et les informations de contact. Combinée avec le RGPD, cette page doit aussi mentionner le responsable de traitement. Détails et modèle dans notre guide mentions légales obligatoires.

4. Permettre l'exercice des droits

Les utilisateurs disposent de droits fondamentaux :

• Droit d'accès : obtenir une copie de leurs données
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement : demander la suppression de leurs données
• Droit à la portabilité : récupérer leurs données dans un format lisible
• Droit d'opposition : s'opposer à un traitement
• Droit à la limitation : geler temporairement un traitement

Vous devez répondre à toute demande dans un délai d'un mois. Prévoyez un processus interne clair et une adresse de contact dédiée.

5. Sécuriser les données collectées

Le RGPD impose de mettre en œuvre des mesures techniques et organisationnelles appropriées :

• Chiffrement HTTPS obligatoire
• Mots de passe hashés (bcrypt, argon2)
• Accès restreints aux données (principe du moindre privilège)
• Sauvegardes régulières et testées
• Mise à jour des logiciels et plugins
• Journalisation des accès aux données sensibles

En cas de violation de données, vous avez 72 heures pour notifier la CNIL si la fuite présente un risque pour les droits des personnes.

6. Tenir un registre des traitements

Même si votre entreprise a moins de 250 salariés, vous devez tenir un registre si vous traitez des données de manière régulière (ce qui inclut un simple site avec analytics et newsletter). Ce registre documente les finalités, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité. Nous détaillons tout, avec un modèle prêt à remplir, dans notre guide registre des traitements RGPD.

Les erreurs les plus fréquentes

Voici ce que nous constatons régulièrement sur les sites audités :

1. Pas de bannière cookies ou une bannière qui dépose des cookies avant le consentement
2. Politique de confidentialité générique copiée-collée d'un autre site, sans correspondance avec la réalité
3. Google Analytics installé sans consentement : même en version GA4, le consentement reste obligatoire selon la CNIL
4. Formulaires sans information : un formulaire de contact sans mention de la finalité et de la durée de conservation
5. Pas de processus pour les demandes de droits : aucun moyen clair pour les utilisateurs de faire valoir leurs droits
6. Données conservées indéfiniment : aucune politique de purge des anciennes données

Comment vérifier la conformité de votre site

Un audit RGPD de votre site web devrait couvrir les points suivants :

Cookies et traceurs :

• Lister tous les cookies déposés par votre site
• Vérifier qu'aucun cookie non essentiel n'est déposé sans consentement
• S'assurer que la bannière respecte les recommandations CNIL

Documents juridiques :

• Vérifier la présence et l'exactitude des mentions légales
• Contrôler la politique de confidentialité (exhaustivité, clarté)
• Vérifier les mentions sur chaque formulaire

Sécurité :

• Certificat SSL valide et forcé
• Formulaires protégés contre les injections
• Données sensibles chiffrées

Organisationnel :

• Registre des traitements à jour
• Processus de réponse aux demandes de droits
• Contrats avec les sous-traitants (DPA)

Notre scanner RGPD gratuit automatise la partie cookies et traceurs en quelques secondes : il liste les cookies déposés, détecte les bannières non conformes et les outils tiers chargés sans consentement.

Les sanctions en cas de non-conformité

La CNIL dispose d'un pouvoir de sanction significatif :

• Avertissement : mise en demeure de se mettre en conformité sous un délai imparti
• Amende administrative : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial
• Injonction : obligation de cesser un traitement non conforme
• Limitation temporaire : interdiction temporaire de traiter certaines données

En pratique, les PME reçoivent généralement des amendes entre 5 000 et 150 000 euros. Mais même sans sanction financière, une mise en demeure publique peut gravement nuire à la réputation de votre entreprise. Voir notre analyse des sanctions CNIL récentes et du coût réel de la mise en conformité.

Par où commencer ?

Si votre site n'est pas encore conforme, voici un plan d'action par priorité :

1. Immédiat : Installer une bannière cookies conforme et bloquer les scripts avant consentement
2. Cette semaine : Rédiger ou mettre à jour votre politique de confidentialité
3. Ce mois : Vérifier vos mentions légales, ajouter les mentions sur les formulaires
4. Ce trimestre : Établir votre registre des traitements, mettre en place un processus de gestion des droits
5. En continu : Auditer régulièrement, former vos équipes, mettre à jour vos documents

La conformité RGPD n'est pas un projet ponctuel mais une démarche continue. L'essentiel est de commencer et de progresser méthodiquement.