Vous avez sûrement dû le remarquer : depuis quelques années, des fenêtres pop-up apparaissent à chaque fois que vous arrivez sur un site web. Le message est presque toujours le même : « Nous utilisons des cookies pour améliorer votre expérience et vous proposer de la publicité personnalisée. Veuillez confirmer que vous acceptez notre politique de confidentialité. »
Derrière ces bandeaux se cache une réglementation entrée en vigueur le 25 mai 2018 : le Règlement Général pour la Protection des Données, plus connu sous le nom de RGPD. Huit ans plus tard, en 2026, beaucoup de sites ne sont toujours pas en règle. Et c’est un vrai problème, car les sanctions, elles, n’ont jamais été aussi lourdes.
Le RGPD, c’est quoi exactement ?
Le RGPD encadre la façon dont les propriétaires de sites internet collectent et utilisent les données à caractère personnel de leurs visiteurs. Il poursuit deux objectifs principaux : rendre obligatoire le recueil du consentement de l’internaute, et garantir à l’utilisateur une protection et un contrôle sur ses données.
Une donnée personnelle, c’est toute information permettant d’identifier directement ou indirectement un individu : son nom, son adresse IP, son adresse mail, son numéro de téléphone, ses données géographiques, mais aussi les actions menées sur votre site (clics, visites, etc.).
Une règle simple à retenir : tous les sites établis sur le territoire européen ou visant un public européen doivent s’y plier, sans exception. Que vous soyez une multinationale ou un artisan avec un site vitrine, la règle est la même.
Pourquoi il ne faut surtout pas tarder en 2026
Pendant longtemps, beaucoup ont parié que la CNIL ne contrôlerait jamais leur petit site. C’est un pari de plus en plus risqué. En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé record de près de 487 millions d’euros, contre 55 millions en 2024. Une explosion qui s’explique en partie par deux sanctions historiques liées aux cookies : 325 millions d’euros pour Google et 150 millions pour Shein, sanctionnés notamment pour des cookies déposés avant tout consentement.
Le plus important à comprendre : ce ne sont pas que les géants qui sont visés. Grâce à sa procédure simplifiée, la CNIL sanctionne désormais beaucoup plus vite et beaucoup plus de structures, y compris des PME, sur des manquements aussi courants qu’un bandeau cookies mal conçu. Le problème du consentement mal géré, c’est exactement celui que rencontrent la majorité des sites français.
La bonne nouvelle, c’est que se mettre en conformité n’a rien d’insurmontable. Voici les quatre piliers à respecter.
Testez la conformité de votre site en 2 minutes
Avant d’aller plus loin, faites le point. Ce quiz de 10 questions évalue les principaux points de conformité de votre site et vous donne un score avec les points à corriger.
Votre site est-il conforme au RGPD ?
10 questions pour auditer votre site en 2 minutes. Score et recommandations à la fin.
Question 1 sur 10
1. Garantir une transparence complète à vos utilisateurs
Il est obligatoire de faire figurer un message clair lié à l’utilisation des cookies sur votre site. Vous devez informer vos internautes de manière précise sur l’utilisation de leurs données, et ce sur toutes les pages où vous en collectez. Cela passe par des pages « Politique de confidentialité » et « Mentions légales » à jour, et par un outil de gestion des cookies correctement configuré.
2. Recueillir le consentement, et pouvoir le prouver
La mise en conformité exige un consentement explicite de l’utilisateur. Vos visiteurs doivent aussi disposer d’un lien vers une page détaillant précisément comment leurs données sont collectées et utilisées. Concrètement, si votre site utilise un service externe comme Google Analytics, vous êtes obligé d’informer les utilisateurs et de demander leur accord.
Surtout, il est impératif de conserver une preuve de ce consentement. À titre indicatif, le consentement aux cookies est valable 13 mois maximum, tandis qu’aucune durée n’est imposée pour les données personnelles. Mais ne vous réjouissez pas trop vite de cette absence de limite :
Imaginons qu’un de vos utilisateurs, Thomas, s’inscrive aujourd’hui. Vous récoltez ses données, mais sans conserver la preuve de son consentement. Quelque temps plus tard, Thomas se plaint à la CNIL, qui vous demande de fournir cette preuve. Ce serait embêtant, n’est-ce pas ?
3. Respecter tous les droits de vos utilisateurs
Le RGPD est très clair : l’utilisateur possède des droits sur ses données personnelles, et gare à celui qui ne les respecte pas. Vos visiteurs doivent pouvoir facilement accéder à leurs données, les modifier, les supprimer et en limiter l’utilisation. L’idéal est de mettre en place un système qui leur permet de demander la suppression ou l’export de leurs données sans que vous ayez à intervenir manuellement.
4. Assurer une totale sécurité des données
La sécurité des données de vos utilisateurs n’est pas négociable. Le minimum indispensable est de faire passer votre site en « https » grâce à un certificat SSL, qui garantit un transfert sécurisé des informations. C’est aujourd’hui un standard, et un site encore en « http » envoie un très mauvais signal, autant à vos visiteurs qu’à Google.
Questions fréquentes sur le RGPD
Mon petit site vitrine est-il vraiment concerné ?
Oui. Dès lors que vous collectez la moindre donnée personnelle (un formulaire de contact suffit), vous êtes concerné. La taille de votre site ne vous exonère en rien.
Combien coûte une mise en conformité ?
Bien moins qu’une amende. Le coût dépend de la complexité de votre site et des outils à mettre en place, mais c’est un investissement raisonnable au regard du risque encouru et de la confiance que cela inspire à vos visiteurs.
Un simple bandeau cookies suffit-il ?
Non. Le bandeau n’est qu’une partie de la conformité. Il doit être correctement configuré (pas de cookies déposés avant consentement), accompagné de pages légales à jour, d’un système de preuve du consentement et de mesures de sécurité.
Je ne suis pas en règle, par où commencer ?
Le plus simple est de faire auditer votre site pour identifier les manquements, puis de les corriger un par un. C’est exactement le type d’accompagnement que je propose.
Ne prenez pas de risques, mettez-vous en conformité
La conformité RGPD n’est pas qu’une obligation légale : c’est aussi un gage de sérieux qui rassure vos visiteurs et protège votre entreprise. Je peux auditer votre site, identifier les points à corriger et mettre en place les outils nécessaires (gestion des cookies, recueil et conservation du consentement, pages légales, certificat SSL) pour que vous soyez tranquille.
Vous voulez savoir si votre site est aux normes ? Parlons-en ensemble, le premier échange est gratuit et sans engagement.
Sources : CNIL, bilan des sanctions 2025. Chiffres relevés début 2026.
