“ RGPD et site internet en 2026 : cookies, mentions légales, collecte de données… Découvrez toutes vos obligations légales pour être conforme et éviter les amendes.”

RGPD et site internet : les obligations légales à connaître absolument en 2026

"Mon site est un petit site vitrine, le RGPD ne me concerne pas." Cette idée reçue, encore très répandue chez les TPE et PME françaises, peut coûter très cher. En 2026, la CNIL (Commission Nationale de l'Informatique et des Libertés) a renforcé ses contrôles et n'hésite plus à sanctionner les petites structures. Une amende peut atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, même pour une PME.

Le RGPD (Règlement Général sur la Protection des Données) s'applique à tout site internet qui collecte ou traite des données personnelles de résidents européens. Or, dès que vous avez un formulaire de contact, Google Analytics, des cookies publicitaires ou une newsletter, vous collectez des données personnelles. En clair : si vous avez un site internet et des visiteurs, le RGPD vous concerne.

Dans ce guide complet, vous allez découvrir quelles sont vos obligations légales concrètes, ce que vous devez afficher sur votre site, comment gérer les cookies correctement et comment éviter les erreurs les plus fréquentes. Chez Pixeli Web, nous intégrons la conformité RGPD dans chaque projet de création site internet. Voici l'essentiel de ce que nous mettons en place.

Qu'est-ce que le RGPD et pourquoi s'applique-t-il à votre site internet ?

Le RGPD est un règlement européen entré en vigueur en mai 2018 qui encadre la collecte, le stockage et l'utilisation des données personnelles. Une donnée personnelle est toute information permettant d'identifier directement ou indirectement une personne physique : nom, email, adresse IP, numéro de téléphone, cookie de suivi, localisation géographique…

Le RGPD s'applique à votre site internet si vous remplissez l'une de ces conditions :

• Vous avez un formulaire de contact, d'inscription ou de devis (collecte d'email, nom, téléphone)
• Vous utilisez Google Analytics, Meta Pixel ou tout autre outil de mesure d'audience
• Vous avez une boutique en ligne (e-commerce) avec des comptes clients et commandes
• Vous envoyez une newsletter ou des emails marketing
• Votre site utilise des cookies de publicité ciblée ou de retargeting

En pratique, la quasi-totalité des sites professionnels français sont concernés. Voyons maintenant quelles obligations concrètes cela implique.

Obligation 1 Les mentions légales : ce qui doit obligatoirement figurer sur votre site

En France, la loi pour la confiance dans l'économie numérique (LCEN) impose à tout éditeur de site internet d'afficher des mentions légales accessibles depuis toutes les pages. Ces mentions légales sont distinctes de la politique de confidentialité RGPD, mais les deux sont obligatoires.

Les mentions légales obligatoires pour un professionnel ou une entreprise :

• Nom et prénom ou raison sociale de l'entreprise
• Adresse du siège social
• Numéro de téléphone et email de contact
• Numéro SIRET ou RCS (numéro d'immatriculation au registre du commerce)
• Numéro de TVA intracommunautaire (si applicable)
• Nom de l'hébergeur du site (raison sociale, adresse, téléphone)

L'absence de mentions légales est une infraction sanctionnée d'une amende pouvant atteindre 75 000 euros pour une personne morale. Ne prenez pas ce risque : c'est une page simple à créer et à tenir à jour.

Obligation 2 La politique de confidentialité RGPD : ce qu'elle doit contenir

La politique de confidentialité (ou politique de traitement des données) est le document qui explique à vos visiteurs comment vous collectez, utilisez, stockez et protégez leurs données personnelles. Elle doit être rédigée en langage clair et accessible pas en jargon juridique incompréhensible.

Votre politique de confidentialité doit obligatoirement mentionner :

1. L'identité et les coordonnées du responsable du traitement (votre entreprise)
2. Les types de données collectées (email, nom, adresse IP, cookies…)
3. La finalité de chaque traitement (pour quoi vous utilisez ces données : répondre aux demandes, envoyer une newsletter, mesurer l'audience…)
4. La base légale du traitement (consentement, contrat, intérêt légitime, obligation légale)
5. La durée de conservation des données
6. Les droits des personnes concernées (accès, rectification, suppression, portabilité, opposition)
7. Les éventuels transferts de données vers des pays hors UE (si vous utilisez des outils américains comme Google Analytics, Meta, etc.)

Obligation 3 La gestion des cookies : la règle du consentement explicite

C'est probablement l'aspect RGPD le plus visible sur les sites internet : le bandeau cookies. Mais attention, avoir un bandeau ne suffit pas. La CNIL a durci ses exigences et les contrôles sont devenus fréquents. En 2025, la CNIL a prononcé plusieurs dizaines de mises en demeure et amendes contre des entreprises dont le bandeau cookies ne respectait pas les règles.

Les règles imposées par la CNIL pour les cookies en 2026 :

• Le consentement doit être libre, éclairé, spécifique et non ambigu : l'utilisateur doit pouvoir accepter ou refuser chaque catégorie de cookies séparément.
• Refuser doit être aussi simple qu'accepter : le bouton "Refuser tout" doit être aussi visible et accessible que le bouton "Accepter tout".
• Aucun cookie non essentiel ne doit se déposer avant le consentement : Google Analytics, Meta Pixel, et tous les traceurs publicitaires ne peuvent s'activer qu'après accord explicite.
• Le consentement doit être renouvelé tous les 13 mois maximum.
• Les cookies strictement nécessaires au fonctionnement du site (session, panier, authentification) sont exemptés de consentement.

Pour gérer les cookies en conformité, utilisez une solution de Consent Management Platform (CMP) certifiée CNIL comme Axeptio, Cookiebot ou Didomi. Ces outils gèrent automatiquement le recueil et le stockage des consentements.

Obligation 4 Les formulaires de contact et la collecte de données

Chaque formulaire de votre site qui collecte des données personnelles doit respecter plusieurs règles RGPD. Un formulaire de contact basique (nom, email, message) est concerné au même titre qu'un formulaire d'inscription à une newsletter ou un devis en ligne.

Les règles RGPD à respecter pour chaque formulaire :

1. Information claire sur l'utilisation des données : une mention courte sous le formulaire expliquant pourquoi vous collectez ces informations et comment elles seront utilisées.
2. Lien vers la politique de confidentialité : chaque formulaire doit pointer vers votre politique de confidentialité complète.
3. Consentement séparé pour la newsletter : si vous souhaitez ajouter un contact à votre liste de diffusion, vous devez obtenir un consentement explicite séparé (case à cocher non pré-cochée).
4. Collecte minimale : ne demandez que les informations strictement nécessaires au traitement. Évitez de collecter la date de naissance, le secteur d'activité ou tout champ superflu.
5. Durée de conservation définie : les données d'un formulaire de contact doivent être supprimées ou anonymisées au bout de 3 ans maximum sans activité.

Les sanctions CNIL en 2026 : ce que risque vraiment votre entreprise

La CNIL a considérablement renforcé son activité de contrôle. En 2024, elle a prononcé plus de 80 sanctions dont plusieurs contre des PME et des artisans pas uniquement contre les géants du numérique. Les montants varient selon la taille de l'entreprise et la gravité des manquements.

Les infractions les plus fréquemment sanctionnées :

• Bandeau cookies non conforme ou absent (infraction la plus courante en 2025-2026)
• Absence de politique de confidentialité ou document incomplet
• Conservation excessive des données (garder des emails de prospects depuis 10 ans sans renouvellement de consentement)
• Absence de sécurisation des données (base de données accessible sans authentification, absence de HTTPS)
• Non-respect des droits des personnes (ne pas répondre à une demande de suppression de données dans les 30 jours)

Au-delà des sanctions financières, une mise en demeure CNIL rendue publique peut nuire durablement à votre image de marque. La conformité RGPD est aussi un argument de confiance auprès de vos clients.

Questions fréquentes sur le RGPD et les sites internet

Est-ce que le RGPD s'applique aux petits sites vitrine ?

Oui, sans exception. Dès qu'un site collecte des données personnelles même un simple formulaire de contact ou Google Analytics le RGPD s'applique, quelle que soit la taille de l'entreprise. Un auto-entrepreneur, un artisan ou un commerçant avec un site vitrine est autant concerné qu'une grande entreprise. La taille de l'entreprise influence uniquement le montant des amendes potentielles.

Comment savoir si mon site est conforme au RGPD ?

La réponse courte est : vérifiez quatre points essentiels. Premièrement, avez-vous des mentions légales complètes ? Deuxièmement, avez-vous une politique de confidentialité accessible ? Troisièmement, votre bandeau cookies permet-il un refus aussi simple qu'un accord ? Quatrièmement, vos formulaires informent-ils clairement les utilisateurs sur l'utilisation de leurs données ? Si l'une de ces réponses est non, votre site n'est pas conforme.

Combien coûte la mise en conformité RGPD d'un site internet ?

Pour un site vitrine standard, la mise en conformité est accessible : une CMP (outil de gestion des cookies) comme Axeptio coûte entre 0 et 30 euros par mois selon la formule. La rédaction des mentions légales et de la politique de confidentialité peut être gérée avec des générateurs en ligne (CNIL propose des ressources gratuites) ou confiée à un juriste pour 200 à 500 euros. L'intégration technique est souvent incluse dans les prestations d'une agence web.

Quelle est la différence entre les mentions légales et la politique de confidentialité ?

Les mentions légales identifient l'éditeur du site (qui est derrière le site) et sont imposées par la loi française LCEN. La politique de confidentialité explique comment les données personnelles des visiteurs sont collectées et traitées, conformément au RGPD européen. Ces deux documents sont obligatoires et distincts certains sites les regroupent sur une même page, ce qui est autorisé.

Pourquoi Google Analytics nécessite-t-il un consentement RGPD ?

Google Analytics collecte des données personnelles (adresses IP, comportement de navigation) et les transfère vers des serveurs aux États-Unis. Ce transfert hors UE nécessite un consentement explicite selon le RGPD et les décisions de la CNIL. Pour être conforme, vous devez soit obtenir ce consentement via une CMP, soit utiliser une alternative respectueuse de la vie privée hébergée en Europe comme Matomo ou Plausible Analytics.

Conclusion : la conformité RGPD est un investissement, pas une contrainte

Le RGPD peut sembler intimidant, mais ses obligations sont claires et accessibles à toutes les tailles d'entreprise. Mentions légales complètes, politique de confidentialité transparente, bandeau cookies conforme, formulaires informés : ce sont les quatre piliers d'un site internet légalement irréprochable en 2026. Au-delà de la conformité légale, ces pratiques renforcent la confiance de vos visiteurs un atout commercial indéniable.

Vous souhaitez vous assurer que votre site internet est pleinement conforme au RGPD ? Chez Pixeli Web, nous intégrons toutes les obligations légales dans chaque projet de création site internet : CMP certifiée CNIL, mentions légales, politique de confidentialité et formulaires conformes. Contactez-nous pour un audit de conformité gratuit et mettez votre entreprise à l'abri des sanctions.