PAYTONSITE
← Tous les articles
Legal7 min de lecture1 juillet 2026

RGPD et site web : guide de conformité pour PME

Le RGPD fait peur mais n'est pas si compliqué pour un site vitrine. Voici exactement ce que vous devez faire — sans jargon juridique.

RGPD et site web : guide de conformité pour PME

Le RGPD en 30 secondes

Le RGPD (Règlement Général sur la Protection des Données) est la loi européenne qui protège les données personnelles des citoyens. En vigueur depuis 2018, il s'applique à tout site web qui collecte des données de visiteurs européens — y compris votre site vitrine de PME.

Les sanctions théoriques font peur (jusqu'à 4% du CA mondial), mais en pratique, la CNIL cible d'abord les gros acteurs. Ce qui ne veut pas dire que vous pouvez ignorer le sujet : les contrôles existent aussi pour les PME, et la conformité est plus simple qu'on ne le croit.

Ce que le RGPD exige concrètement pour votre site

1. Le bandeau cookies

Si votre site utilise des cookies non essentiels (Google Analytics, Facebook Pixel, publicités), vous devez :

  • Informer le visiteur avant de déposer les cookies
  • Obtenir son consentement explicite — un vrai bouton "Accepter" et un vrai bouton "Refuser"
  • Ne rien déposer avant l'acceptation — pas de cookies Google Analytics avant le clic
  • Permettre de changer d'avis — un lien "Gérer mes cookies" accessible à tout moment

Attention : les bandeaux qui ne proposent que "Accepter" ou qui utilisent des dark patterns (bouton "Refuser" caché, couleur grisée) ne sont pas conformes. La CNIL sanctionne activement ces pratiques.

2. La politique de confidentialité

Obligatoire dès que vous collectez la moindre donnée (même un simple formulaire de contact). Elle doit indiquer :

  • Quelles données vous collectez et pourquoi
  • Combien de temps vous les conservez
  • Avec qui vous les partagez (hébergeur, outils marketing, etc.)
  • Les droits du visiteur (accès, rectification, suppression, portabilité)
  • Comment exercer ces droits (email, formulaire)
  • Vos coordonnées en tant que responsable de traitement

3. Les formulaires de contact

Chaque formulaire qui collecte des données doit :

  • Ne collecter que les données strictement nécessaires (principe de minimisation)
  • Indiquer la finalité — "Vos données sont utilisées uniquement pour répondre à votre demande"
  • Proposer un lien vers la politique de confidentialité
  • Ne pas pré-cocher de case d'inscription newsletter

4. La sécurité des données

  • HTTPS obligatoire — votre site doit être en HTTPS (certificat SSL)
  • Mots de passe sécurisés si vous avez un espace client
  • Hébergement en Europe — recommandé pour simplifier la conformité

Les cas concrets pour une PME

Site vitrine avec formulaire de contact

C'est le cas le plus courant. Vous collectez : nom, email, téléphone, message.

Ce qu'il faut :

  • Politique de confidentialité (lien dans le footer)
  • Mention sous le formulaire : "Vos données sont traitées pour répondre à votre demande. En savoir plus"
  • Bandeau cookies si vous utilisez Google Analytics
  • Pas besoin de DPO (délégué à la protection des données) pour une PME sauf cas spécifique

Site avec prise de rendez-vous en ligne

Vous collectez les mêmes données + date, heure, prestation choisie.

En plus : précisez la durée de conservation (ex: "Vos données de réservation sont conservées 3 ans après votre dernière visite").

Site avec newsletter

L'inscription à la newsletter nécessite un consentement explicite et séparé. Pas de case pré-cochée. Le double opt-in (email de confirmation) est recommandé.

Chaque newsletter doit contenir un lien de désinscription visible.

Site e-commerce

Le plus complexe. En plus de tout le reste, vous gérez des données de paiement, des adresses de livraison et un historique d'achats. Un registre des traitements est fortement recommandé.

Checklist de conformité en 10 points

  1. HTTPS activé sur tout le site
  2. Bandeau cookies avec Accepter ET Refuser
  3. Politique de confidentialité complète et accessible
  4. Mentions légales à jour (voir notre guide)
  5. Formulaires avec finalité indiquée et lien vers la politique
  6. Pas de case pré-cochée pour la newsletter
  7. Durée de conservation définie pour chaque type de donnée
  8. Procédure de suppression — vous savez comment supprimer les données d'un client sur demande
  9. Sous-traitants identifiés — vous savez qui a accès aux données (hébergeur, outil d'emailing, etc.)
  10. Contact visible pour exercer ses droits RGPD

Bonne nouvelle : pour un site vitrine classique, cette mise en conformité prend 1 à 2 heures. Ce n'est pas le monstre juridique que l'on imagine.

Les outils pour se mettre en conformité

Bandeau cookies

  • Tarteaucitron.js — solution française, gratuite, open source. La référence pour les PME
  • Axeptio — joli design, freemium, made in France
  • Cookiebot — solution danoise, conforme, gratuit jusqu'à 100 pages

Politique de confidentialité

  • Générateurs gratuits : CNIL (modèle de registre), Legalstart, Captain Contrat
  • Modèle personnalisé : 100-300 euros chez un avocat spécialisé

Registre des traitements

Obligatoire pour les entreprises de 250+ salariés. Recommandé pour toutes. La CNIL propose un modèle Excel gratuit sur son site.

Avec PAYTONSITE, nos sites clé en main incluent les mentions légales et une politique de confidentialité pré-formatée. Vous complétez vos informations, on intègre le tout. Voir nos offres.

Découvrir nos sites professionnels

Sites prêts à l'emploi, livrés en 48h. À partir de 179 €.

Voir le catalogue

Articles similaires

Combien coûte un site web professionnel en 2026 ?

Combien coûte un site web professionnel en 2026 ?

Site web pour salon de coiffure : le guide complet

Site web pour salon de coiffure : le guide complet

Créer un site internet pour son restaurant : guide pratique

Créer un site internet pour son restaurant : guide pratique