RGPD et site web : ce que vous devez savoir

Depuis mai 2018, le Règlement Général sur la Protection des Données (RGPD) s'applique à tous les sites web qui collectent des données personnelles en Europe. Et oui, votre site de TPE/PME est concerné, même si vous n'avez qu'un simple formulaire de contact.

Pas de panique. Se mettre en conformité n'est ni compliqué ni coûteux. Encore faut-il savoir ce qui est vraiment obligatoire et ce qui relève du mythe. On vous explique tout, sans jargon juridique.

Qu'est-ce que le RGPD, concrètement ?

Le RGPD est un règlement européen qui encadre la collecte, le stockage et l'utilisation des données personnelles. Une donnée personnelle, c'est toute information qui permet d'identifier une personne : nom, prénom, adresse e-mail, numéro de téléphone, adresse IP…

Son objectif est simple : donner aux internautes le contrôle sur leurs données et obliger les entreprises à être transparentes sur ce qu'elles en font.

Qui est concerné ?

Toute entreprise, quelle que soit sa taille, qui dispose d'un site web accessible depuis l'Union européenne. Que vous soyez artisan, commerçant, consultant ou restaurateur, dès que votre site collecte une adresse e-mail via un formulaire, vous êtes concerné.

Les 4 obligations concrètes pour votre site web

1. Afficher une politique de confidentialité

C'est la base. Votre site doit comporter une page dédiée qui explique clairement :

  • Quelles données vous collectez (nom, e-mail, téléphone…)
  • Pourquoi vous les collectez (répondre à une demande de contact, envoyer une newsletter…)
  • Combien de temps vous les conservez
  • Qui y a accès (vous, votre hébergeur, un outil d'e-mailing…)
  • Les droits des utilisateurs : accès, rectification, suppression, portabilité
  • Comment exercer ces droits : une adresse e-mail de contact suffit

Cette page doit être accessible depuis n'importe quelle page de votre site, généralement via un lien dans le pied de page.

2. Mettre en place un bandeau de cookies conforme

Si votre site utilise des cookies non essentiels (Google Analytics, pixels Facebook, vidéos YouTube intégrées…), vous devez :

  • Informer le visiteur avant de déposer ces cookies
  • Lui permettre de refuser aussi facilement que d'accepter
  • Ne rien activer tant qu'il n'a pas donné son accord

Attention : un bandeau qui dit simplement « En continuant, vous acceptez les cookies » n'est pas conforme. La CNIL est très claire là-dessus : le refus doit être aussi simple que l'acceptation.

En revanche, si votre site n'utilise aucun cookie tiers — ce qui est tout à fait possible avec un site vitrine bien conçu — vous n'avez pas besoin de bandeau. Un argument de plus pour garder les choses simples.

3. Sécuriser vos formulaires de contact

Chaque formulaire qui collecte des données personnelles doit :

  • Mentionner la finalité de la collecte (« Vos données sont utilisées uniquement pour répondre à votre demande »)
  • Inclure un lien vers votre politique de confidentialité
  • Ne collecter que les données strictement nécessaires (principe de minimisation)

Un formulaire de contact n'a pas besoin de demander la date de naissance ou l'adresse postale. Nom, e-mail et message suffisent dans la grande majorité des cas.

4. Tenir un registre des traitements

Le RGPD demande de documenter vos traitements de données. Pour une petite entreprise avec un site vitrine, c'est souvent un simple tableau qui liste :

Traitement Données collectées Finalité Durée de conservation
Formulaire de contact Nom, e-mail, message Répondre aux demandes 3 ans
Newsletter E-mail Envoi d'actualités Jusqu'au désabonnement

La CNIL propose des modèles gratuits sur son site. Rien de bien méchant.

Les erreurs les plus fréquentes

Ignorer le sujet en pensant que « ça ne concerne que les grandes entreprises »

Faux. La CNIL contrôle aussi les petites structures. En 2023, plusieurs TPE ont reçu des mises en demeure pour des sites non conformes. Les sanctions peuvent aller jusqu'à 20 millions d'euros (en théorie), mais dans la pratique, la CNIL commence par un rappel à l'ordre. Mieux vaut ne pas attendre d'en arriver là.

Utiliser un bandeau cookies décoratif

Beaucoup de sites affichent un bandeau qui ne bloque rien du tout. Les scripts de tracking se chargent quand même, que le visiteur accepte ou refuse. C'est exactement ce que le RGPD interdit.

Copier-coller une politique de confidentialité trouvée sur Internet

Une politique de confidentialité doit refléter vos pratiques réelles. Copier celle d'un autre site risque de mentionner des traitements que vous ne faites pas (ou d'oublier ceux que vous faites). Prenez le temps de la personnaliser.

Garder les données indéfiniment

Le RGPD impose une durée de conservation proportionnée. Conserver les messages de votre formulaire de contact pendant 10 ans n'a aucun sens. Trois ans est une durée raisonnable pour des données de prospection, selon les recommandations de la CNIL.

Comment se mettre en conformité simplement

Voici un plan d'action en 5 étapes, réalisable en une après-midi :

  1. Listez toutes les données que votre site collecte (formulaires, cookies, outils tiers)
  2. Rédigez votre politique de confidentialité en vous appuyant sur le modèle de la CNIL
  3. Vérifiez votre bandeau cookies : testez que le refus fonctionne vraiment et que rien ne se charge avant le consentement
  4. Ajustez vos formulaires : mentions légales sous chaque formulaire, lien vers la politique de confidentialité
  5. Créez votre registre des traitements : un simple fichier Excel suffit

Les outils qui peuvent vous aider

  • Tarteaucitron.js : un gestionnaire de cookies open source, gratuit, conforme aux recommandations de la CNIL
  • Axeptio : une solution de gestion du consentement avec une interface plus travaillée (version gratuite disponible)
  • Le site de la CNIL (cnil.fr) : modèles, guides et outils gratuits pour les TPE/PME

Le RGPD, un atout pour votre crédibilité

Au-delà de l'obligation légale, afficher clairement votre démarche de protection des données rassure vos visiteurs. Dans un contexte où les arnaques en ligne sont fréquentes, un site qui explique comment il traite les données inspire confiance.

C'est aussi un signal positif pour Google : un site qui respecte les bonnes pratiques de confidentialité sera mieux perçu par les moteurs de recherche.

Ce qu'on fait chez MyWebBox

Chez MyWebBox, tous les sites que nous créons intègrent dès le départ les éléments essentiels de conformité RGPD : politique de confidentialité personnalisée, formulaires conformes et gestion des cookies adaptée à vos besoins réels.

On vous accompagne pour que votre site soit en règle sans que vous ayez à devenir juriste. Parce qu'un site professionnel, c'est aussi un site qui respecte ses visiteurs.

Vous avez des questions sur la conformité de votre site ? Contactez-nous, on vous répond avec plaisir.