RGPD et site web : ce que vous devez vraiment mettre en place

En 2018, le RGPD (Règlement Général sur la Protection des Données) entrait en vigueur dans toute l'Union européenne. Huit ans plus tard, une grande majorité de sites web de PME ne sont toujours pas conformes — et leurs propriétaires ne le savent souvent pas. Pourtant, les sanctions existent : la CNIL peut infliger des amendes allant jusqu'à 4 % du chiffre d'affaires mondial, ou 20 millions d'euros.

Mais entre les exigences réelles et le flou entretenu par un marché de "solutions RGPD" plus ou moins sérieuses, difficile de savoir ce qu'on doit vraiment faire. Cet article vous donne une vision claire, sans jargon inutile.

Le constat : la conformité RGPD reste floue pour beaucoup de PME#

La confusion autour du RGPD vient en partie du fait que la loi est technologique et juridique à la fois. Et les obligations ne sont pas universelles — elles dépendent de ce que vous faites avec les données de vos visiteurs.

Voici une vérité souvent mal comprise : vous n'avez pas besoin d'une bannière cookies si votre site ne dépose aucun cookie non essentiel. Beaucoup de PME installent des bannières inutiles par précaution, alors que d'autres qui utilisent Google Analytics sans consentement sont réellement en infraction.

Les erreurs les plus fréquentes que nous observons sur les sites de PME :

• Google Analytics actif sans bannière de consentement
• Formulaires de contact sans case à cocher pour les conditions de traitement
• Politique de confidentialité absente ou copiée-collée d'un autre site
• Pas de mention légale complète
• Données collectées stockées sans durée de conservation définie

La solution : comprendre ce que vous collectez vraiment#

Le RGPD repose sur un principe fondamental : vous ne pouvez collecter des données personnelles que si vous avez une base légale pour le faire — et vous devez en informer clairement les personnes concernées.

Les cookies et traceurs

Tous les cookies ne sont pas soumis au consentement. Les cookies dits "strictement nécessaires" — ceux qui font fonctionner le site (session, panier, préférences de langue) — n'ont pas besoin d'une autorisation explicite.

En revanche, les cookies analytiques (Google Analytics, Matomo non configuré en mode exempté), les cookies publicitaires, et les cookies de réseaux sociaux nécessitent un consentement préalable, libre, éclairé et révocable.

Ce que cela implique concrètement :

• Une bannière de consentement qui ne valide pas le consentement par défaut (pas de cases pré-cochées)
• La possibilité de refuser aussi facilement qu'accepter
• Un mécanisme de retrait du consentement à tout moment

Les formulaires de contact et de devis

Chaque formulaire qui collecte des données personnelles (nom, email, téléphone) doit mentionner :

• Qui est responsable du traitement (votre entreprise)
• Pourquoi ces données sont collectées (finalité)
• Combien de temps elles seront conservées
• Les droits de la personne (accès, rectification, suppression)
• Comment exercer ces droits

La politique de confidentialité

Document obligatoire dès lors que vous collectez des données personnelles. Elle doit être accessible depuis toutes les pages du site (généralement en pied de page) et rédigée en langage clair.

Les mentions légales

Obligatoires pour tout site professionnel en France : raison sociale, adresse, numéro SIRET, coordonnées de contact, hébergeur.

Notre approche chez Webomax#

Quand nous développons un site web, la conformité RGPD est intégrée dès la conception — pas ajoutée à la fin comme un cache-misère.

Notre démarche concrète :

Audit des données collectées : avant tout développement, nous identifions précisément quels cookies et outils seront utilisés (analytics, fonts Google, widgets de chat, etc.) et leur statut RGPD.

Choix d'outils respectueux : nous privilégions Plausible Analytics ou Matomo en mode exempté pour les statistiques de trafic — ce qui évite la bannière de consentement tout en vous donnant des données utiles. Pour les fonts, nous les hébergeons en local plutôt que de les appeler depuis Google Fonts, qui transfère des données vers les États-Unis.

Bannière de consentement conforme : si des cookies soumis à consentement sont nécessaires, nous intégrons une solution conforme aux recommandations CNIL — avec vrai bouton de refus, mémorisation du choix, et interface accessible.

Documents légaux sur mesure : mentions légales, politique de confidentialité, et mentions des formulaires rédigées pour votre situation spécifique — pas copiées-collées depuis un générateur générique.

Registre des traitements simplifié : pour les clients qui en ont besoin, nous aidons à constituer le registre des activités de traitement — document obligatoire pour les entreprises qui traitent des données à grande échelle ou de manière régulière.

Si vous avez un doute sur la conformité de votre site actuel, contactez-nous pour un audit rapide.

Ce qu'il faut retenir#

Le RGPD n'est pas une contrainte impossible à respecter — c'est un cadre qui protège vos clients et vous oblige à être transparent sur ce que vous faites avec leurs données.

Les points essentiels à retenir :

• Bannière cookies : obligatoire uniquement si vous utilisez des cookies non essentiels (analytics standard, publicité, réseaux sociaux)
• Formulaires : doivent mentionner clairement la finalité du traitement et les droits des personnes
• Politique de confidentialité : obligatoire et doit être accessible depuis toutes les pages
• Mentions légales : obligatoires pour tout site professionnel en France
• Outils analytics : envisagez des alternatives conformes (Plausible, Matomo exempté) pour éviter la complexité du consentement

La bonne nouvelle : un site conçu correctement dès le départ peut être pleinement conforme sans être alourdi par des bandeaux intrusifs. La conformité et l'expérience utilisateur ne sont pas opposées — elles se renforcent mutuellement.