RGPD et site web : guide de conformite pour les proprietaires de sites
Votre site web est-il conforme au RGPD ? Guide pratique : mentions legales, cookies, politique de confidentialite, formulaires et obligations concretes.
Développeur web & SEO
Sommaire (9 sections)
Le RGPD n'est pas un sujet reserve aux juristes ou aux grandes entreprises. Si votre site web collecte la moindre donnee personnelle -- un formulaire de contact, un cookie analytique, une adresse email via une newsletter -- vous etes concerne. Et les sanctions ne sont pas theoriques : en 2025, la CNIL a prononce un montant record de 478 millions d'euros d'amendes, et les controles automatises se multiplient.
Pourtant, la majorite des sites de TPE, PME et independants ne sont toujours pas conformes. Pas par mauvaise volonte, mais par meconnaissance des obligations concretes.
Ce guide vous donne une vision claire et pragmatique de ce que le RGPD implique pour votre site internet : ce que vous devez mettre en place, comment le faire, et les outils qui vous simplifieront la tache.
Avertissement : cet article a une vocation informative et ne constitue pas un conseil juridique. Pour une situation specifique, consultez un avocat specialise en droit du numerique ou un Delegue a la Protection des Donnees (DPO).
Qu'est-ce que le RGPD ?
Le Reglement General sur la Protection des Donnees (RGPD) est un reglement europeen entre en application le 25 mai 2018. Il encadre la collecte, le traitement et le stockage des donnees personnelles des residents de l'Union europeenne.
A qui s'applique-t-il ?
Le RGPD s'applique a toute organisation, quelle que soit sa taille, qui :
- Collecte ou traite des donnees personnelles de residents de l'UE
- Est etablie dans l'Union europeenne
- Propose des biens ou des services a des personnes dans l'UE, meme depuis l'etranger
Concretement, si vous avez un site web accessible depuis la France et que vous collectez ne serait-ce qu'une adresse email via un formulaire, le RGPD s'applique a vous. Il n'y a pas de seuil minimum : une auto-entreprise est soumise aux memes regles de base qu'une multinationale.
Qu'est-ce qu'une donnee personnelle ?
Toute information permettant d'identifier directement ou indirectement une personne physique :
- Nom, prenom, adresse email
- Adresse IP
- Numero de telephone
- Donnees de localisation
- Identifiants de cookies
- Toute combinaison d'informations permettant d'identifier quelqu'un
Les obligations concretes pour un site web
Passons au concret. Voici les cinq piliers de la conformite RGPD pour un site internet.
1. Les mentions legales obligatoires
Les mentions legales sont une obligation legale en France (loi pour la confiance dans l'economie numerique -- LCEN). Elles doivent identifier clairement l'editeur du site et son hebergeur.
Elements obligatoires pour un professionnel :
- Raison sociale, forme juridique et montant du capital social
- Adresse du siege social
- Numero d'inscription au RCS ou au Repertoire des Metiers
- Numero de TVA intracommunautaire
- Coordonnees de contact (email, telephone)
- Nom du directeur de la publication
- Nom, denomination sociale et adresse de l'hebergeur
Pour un auto-entrepreneur :
- Nom et prenom
- Adresse (ou domiciliation)
- Numero SIRET
- Coordonnees de contact
Les mentions legales doivent etre accessibles depuis toutes les pages du site, generalement via un lien dans le footer. Leur absence est passible d'une amende pouvant aller jusqu'a 75 000 EUR pour une personne physique et 375 000 EUR pour une personne morale.
2. La politique de confidentialite
Distincte des mentions legales, la politique de confidentialite (ou politique de protection des donnees) informe les visiteurs sur la maniere dont leurs donnees personnelles sont collectees, utilisees et protegees.
Elle est obligatoire des lors que votre site collecte des donnees personnelles -- ce qui est le cas de pratiquement tous les sites, ne serait-ce que via les cookies.
Nous detaillons son contenu dans une section dediee plus bas.
3. Le bandeau de cookies et le consentement
Depuis les lignes directrices de la CNIL de 2020, tout depot de cookies non essentiels necessite le consentement prealable de l'utilisateur. Cela signifie que votre bandeau de cookies ne peut pas etre une simple notification : il doit permettre un vrai choix.
Regles a respecter :
- Le consentement doit etre libre, specifique, eclaire et univoque
- L'utilisateur doit pouvoir refuser aussi facilement qu'il accepte (pas de bouton "Accepter" mis en valeur et de lien "Refuser" cache)
- Le choix doit etre enregistre et respecte (ne pas re-deposer de cookies apres un refus)
- L'utilisateur doit pouvoir retirer son consentement a tout moment
- La poursuite de la navigation ne vaut pas consentement
4. Les formulaires de contact et la collecte de donnees
Chaque formulaire qui collecte des donnees personnelles doit respecter plusieurs principes :
- Minimisation : ne collectez que les donnees strictement necessaires. Si vous n'avez pas besoin du numero de telephone, ne le demandez pas (ou rendez-le facultatif).
- Information : indiquez sous le formulaire la finalite de la collecte, la base legale et le responsable du traitement, ou renvoyez vers votre politique de confidentialite.
- Consentement : si les donnees sont utilisees a des fins de prospection commerciale, une case a cocher (non pre-cochee) est obligatoire.
- Securite : les donnees transmises doivent transiter via une connexion securisee (HTTPS).
5. Les droits des utilisateurs
Le RGPD confere aux personnes des droits sur leurs donnees que vous devez faciliter :
- Droit d'acces : toute personne peut demander a connaitre les donnees que vous detenez sur elle
- Droit de rectification : corriger des donnees inexactes
- Droit a l'effacement (droit a l'oubli) : demander la suppression de ses donnees
- Droit a la portabilite : recevoir ses donnees dans un format lisible
- Droit d'opposition : s'opposer a certains traitements, notamment le profilage
- Droit a la limitation du traitement : demander le gel du traitement dans certains cas
Vous devez indiquer clairement dans votre politique de confidentialite comment exercer ces droits (adresse email dediee, formulaire de contact) et repondre dans un delai d'un mois maximum.
Les cookies : ce qu'il faut savoir
Les cookies sont le sujet de conformite le plus visible pour les visiteurs -- et le plus controle par la CNIL. Voici ce que vous devez comprendre.
Les categories de cookies
| Categorie | Exemples | Consentement requis |
|---|---|---|
| Cookies strictement necessaires | Session utilisateur, panier d'achat, choix de consentement, authentification | Non |
| Cookies analytiques (exemptes) | Mesure d'audience anonymisee, respectant les conditions CNIL | Non (sous conditions) |
| Cookies analytiques (standard) | Google Analytics, Hotjar, outils de mesure standard | Oui |
| Cookies marketing / publicitaires | Retargeting, pixels Facebook/Google Ads, affiliation | Oui |
| Cookies de reseaux sociaux | Boutons de partage, widgets integres | Oui |
L'exemption pour les cookies analytiques
La CNIL accorde une exemption de consentement pour les cookies de mesure d'audience, a condition que :
- Les traceurs servent uniquement a produire des statistiques anonymes
- Ils aient une duree de vie maximale de 13 mois
- Les donnees soient conservees 25 mois maximum
- L'adresse IP soit anonymisee (dernier octet tronque)
- Les donnees ne soient pas recoupees avec d'autres traitements
- Le perimetre se limite a un seul site ou une seule application
Des outils comme Matomo (en configuration exemptee) ou la solution recommandee par la CNIL repondent a ces criteres. Google Analytics, en configuration standard, ne beneficie pas de cette exemption.
Les outils de gestion du consentement (CMP)
Un bandeau cookie "fait maison" ne suffit generalement pas a garantir la conformite. Voici les principales solutions du marche :
- Tarteaucitron.js : solution open source francaise, gratuite, tres repandue. Necessite une integration technique.
- Axeptio : interface soignee, conforme CNIL, offre freemium adaptee aux petits sites.
- Cookiebot (Usercentrics) : solution europeenne, scan automatique des cookies, plan gratuit pour les petits sites.
- Didomi : solution enterprise, adaptee aux sites a fort trafic et aux groupes media.
Quel que soit l'outil choisi, verifiez qu'il bloque effectivement les scripts avant le consentement (et non qu'il affiche simplement un bandeau decoratif). La CNIL verifie le comportement reel du site, pas seulement la presence d'un bandeau.
Comment rediger ses mentions legales
Vos mentions legales doivent etre une page dediee, accessible depuis le footer de votre site. Voici un modele de structure :
1. Edition du site
- Nom / Raison sociale
- Forme juridique et capital social
- Adresse du siege
- SIRET / RCS
- Numero TVA intracommunautaire
- Directeur de la publication : Prenom Nom
- Contact : email, telephone
2. Hebergement
- Nom de l'hebergeur
- Adresse de l'hebergeur
- Telephone ou site web
3. Propriete intellectuelle
- Mention de protection du contenu (textes, images, logos)
- Conditions d'utilisation et de reproduction
4. Donnees personnelles
- Rappel des droits (acces, rectification, suppression)
- Contact pour exercer ses droits
- Renvoi vers la politique de confidentialite
5. Cookies
- Renvoi vers la politique de cookies ou la section correspondante dans la politique de confidentialite
Lorsque vous faites creer votre site internet, integrez les mentions legales des la mise en ligne. Ce n'est pas un element a "ajouter plus tard" : c'est une obligation legale des le premier jour.
La politique de confidentialite : que doit-elle contenir ?
Votre politique de confidentialite doit etre un document clair, accessible et complet. Voici les 9 elements obligatoires selon le RGPD :
1. Identite du responsable de traitement
Nom ou raison sociale, adresse, coordonnees de contact. Si vous avez designe un DPO, ses coordonnees.
2. Types de donnees collectees
Listez exhaustivement les categories de donnees : nom, email, adresse IP, donnees de navigation, donnees de paiement, etc.
3. Finalites du traitement
Expliquez pourquoi vous collectez ces donnees : repondre a une demande de contact, envoyer une newsletter, analyser la frequentation du site, traiter une commande...
4. Base legale de chaque traitement
Le RGPD prevoit six bases legales possibles. Les plus courantes pour un site web :
- Consentement : newsletters, cookies marketing
- Interet legitime : securite du site, prevention des fraudes
- Execution d'un contrat : traitement d'une commande, livraison
- Obligation legale : conservation de factures, mentions legales
5. Destinataires des donnees
Qui a acces aux donnees ? Vos equipes internes, votre hebergeur, vos sous-traitants (outil emailing, CRM, outil analytique) ?
6. Transferts hors UE
Si vous utilisez des services americains (Google, Mailchimp, etc.), vous devez le mentionner et preciser les garanties mises en place (Clauses Contractuelles Types, adequation, etc.).
7. Duree de conservation
Indiquez combien de temps vous conservez chaque type de donnees. Par exemple : les donnees de contact sont conservees 3 ans apres le dernier contact, les cookies de mesure d'audience sont conserves 13 mois, etc.
8. Droits des utilisateurs
Rappelez chaque droit (acces, rectification, effacement, portabilite, opposition, limitation) et indiquez la procedure pour les exercer : adresse email dediee, formulaire, delai de reponse.
9. Droit de reclamation aupres de la CNIL
Mentionnez le droit de deposer une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes), avec un lien vers le site cnil.fr.
La politique de confidentialite doit etre redigee dans un langage clair et simple. Evitez le jargon juridique : le RGPD insiste sur la transparence et l'accessibilite de l'information. Si un non-juriste ne comprend pas votre politique, elle n'est probablement pas conforme.
Les sanctions en cas de non-conformite
Si la conformite RGPD vous semble contraignante, les sanctions en cas de manquement devraient finir de vous convaincre.
Les pouvoirs de la CNIL
La CNIL dispose de plusieurs niveaux de sanctions :
- Rappel a l'ordre : un avertissement officiel
- Injonction de mise en conformite : avec un delai impose et potentiellement sous astreinte (jusqu'a 100 EUR par jour de retard)
- Limitation temporaire ou definitive du traitement : la CNIL peut vous interdire de traiter certaines donnees
- Amende administrative : jusqu'a 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus eleve)
Des sanctions bien reelles
En 2025, la CNIL a prononce des sanctions record : 530 millions d'euros pour TikTok, 325 millions pour Google, 150 millions pour Shein. En janvier 2026, Free a ete sanctionne de 42 millions d'euros pour des failles de securite des donnees. Ces montants concernent les grandes entreprises, mais la procedure simplifiee de la CNIL permet aussi de sanctionner rapidement les petites structures, avec des amendes jusqu'a 20 000 EUR.
Les controles automatises
Un point a ne pas sous-estimer : la CNIL utilise desormais des outils de scan automatise qui analysent les sites web a grande echelle. Votre bandeau cookies non conforme, l'absence de politique de confidentialite ou des cookies deposes avant consentement peuvent etre detectes sans qu'un agent ne visite jamais votre site manuellement.
Les cookies et la prospection commerciale figurent parmi les sujets de controle prioritaires de la CNIL en 2026.
Checklist RGPD pour un site web
Voici les 10 points a verifier pour vous assurer que votre site respecte les exigences du RGPD :
- Mentions legales : page dediee, accessible depuis le footer, avec toutes les informations obligatoires
- Politique de confidentialite : document complet avec les 9 elements obligatoires, accessible depuis le footer
- Bandeau de cookies conforme : consentement prealable, possibilite de refuser facilement, blocage effectif des scripts avant consentement
- Formulaires : collecte minimale, information sur la finalite, case de consentement non pre-cochee pour la prospection
- HTTPS : connexion securisee sur toutes les pages du site
- Registre des traitements : document interne listant tous les traitements de donnees (obligatoire pour les entreprises de plus de 250 salaries, recommande pour toutes)
- Durees de conservation definies : chaque type de donnee a une duree de conservation claire et respectee
- Procedure d'exercice des droits : processus defini pour repondre aux demandes d'acces, de rectification et de suppression
- Sous-traitants conformes : contrats avec vos prestataires (hebergeur, outil emailing, CRM) incluant des clauses RGPD
- Transferts hors UE encadres : si vous utilisez des services hors UE, les garanties appropriees sont en place
Si vous faites developper un site internet professionnel, exigez de votre prestataire qu'il integre ces elements des le cahier des charges. La conformite RGPD ne devrait jamais etre un ajout en derniere minute.
Les outils utiles pour la conformite
Vous n'avez pas besoin de tout faire a la main. Voici des outils qui facilitent la mise en conformite de votre site.
Gestion des cookies
| Outil | Type | Prix | Points forts |
|---|---|---|---|
| Tarteaucitron.js | Open source | Gratuit | Solution francaise, legerete, conforme CNIL |
| Axeptio | SaaS | Freemium (gratuit jusqu'a 300 visites/jour) | Interface agreable, conforme, facile a integrer |
| Cookiebot | SaaS | Gratuit jusqu'a 100 pages | Scan automatique, conforme, gestion multi-langues |
Generation de documents legaux
- Legalstart et LegalPlace : generateurs de mentions legales et politique de confidentialite personnalises
- Donneespersonnelles.fr : outil gratuit de la CNIL pour generer un registre des traitements
- CNIL (cnil.fr) : modeles et guides officiels, toujours a jour
Mesure d'audience conforme
- Matomo : alternative a Google Analytics, peut etre configure pour beneficier de l'exemption CNIL (pas de consentement requis)
- Plausible : solution legere, sans cookies, respectueuse de la vie privee
- Fathom : analytics simplifie, conforme RGPD, sans cookies
Si vous utilisez Google Analytics, sachez qu'il necessite le consentement prealable de vos visiteurs. Cela signifie que vous ne mesurerez que le trafic des visiteurs ayant accepte les cookies -- souvent entre 50 et 70 % seulement. Une solution exemptee comme Matomo vous donne une vue complete de votre audience.
Integrer la conformite RGPD dans votre projet web
La conformite RGPD ne devrait pas etre traitee comme une corvee administrative a faire apres la mise en ligne. C'est un element a integrer des la conception du site, selon le principe du "privacy by design" inscrit dans le reglement.
Quand vous planifiez la creation de votre site internet ou que vous redigez votre cahier des charges, incluez systematiquement un volet RGPD :
- Quelles donnees seront collectees et pourquoi ?
- Quels outils de mesure d'audience seront utilises ?
- Quel CMP sera integre pour la gestion des cookies ?
- Qui sera responsable de la redaction des documents legaux ?
- Quelle procedure est prevue pour repondre aux demandes d'exercice des droits ?
Pensez egalement a la maintenance de votre site : les obligations RGPD ne s'arretent pas a la mise en ligne. Les documents legaux doivent etre mis a jour en cas de changement (nouvel outil, nouvelle finalite de traitement, evolution reglementaire), les consentements doivent etre renouveles periodiquement, et les durees de conservation doivent etre respectees dans le temps.
Besoin d'aide pour mettre votre site en conformite ? Que ce soit pour un nouveau projet ou pour auditer un site existant, nous pouvons vous accompagner sur les aspects techniques de la conformite RGPD. Contactez-nous pour en discuter.
Questions frequentes
Un site vitrine sans formulaire est-il soumis au RGPD ?
Oui. Meme sans formulaire, votre site utilise probablement des cookies (analytiques, polices Google Fonts, videos YouTube integrees) qui collectent des donnees personnelles comme l'adresse IP. Les mentions legales sont obligatoires dans tous les cas. Si votre site depose le moindre cookie non essentiel, un bandeau de consentement est necessaire.
Puis-je utiliser un modele gratuit de politique de confidentialite ?
Un modele peut servir de point de depart, mais il doit etre personnalise a votre situation reelle : les donnees que vous collectez, les outils que vous utilisez, vos finalites de traitement. Une politique de confidentialite generique qui ne refleterait pas vos pratiques reelles ne vous protege pas en cas de controle.
Les cookies de Google Analytics necessitent-ils un consentement ?
Oui. Google Analytics, dans sa configuration standard, depose des cookies qui ne beneficient pas de l'exemption de consentement de la CNIL. Vos visiteurs doivent avoir donne leur accord avant que le script ne se charge. C'est pourquoi de nombreux sites passent a des alternatives conformes comme Matomo ou Plausible.
Combien de temps dois-je conserver les preuves de consentement ?
Le RGPD ne fixe pas de duree precise, mais la CNIL recommande de conserver les preuves de consentement cookies pendant la duree de vie du cookie (maximum 13 mois) et de pouvoir demontrer que le consentement a ete recueilli de maniere conforme. Pour le consentement a la prospection commerciale, la preuve doit etre conservee aussi longtemps que le traitement est en cours.
Que risque un petit site en cas de non-conformite ?
Le risque existe. La CNIL dispose d'une procedure simplifiee permettant de sanctionner rapidement les petites structures, avec des amendes jusqu'a 20 000 EUR et des astreintes de 100 EUR par jour de retard. Au-dela de l'amende, une plainte d'un visiteur peut declencher un controle et nuire a votre reputation. La mise en conformite de base (mentions legales, politique de confidentialite, bandeau cookies) represente un effort modeste compare au risque encouru.