Logo Semantiq noir
  • 21 min. de lecture

Mettre son site web en conformité RGPD : les actions concrètes à mener

La CNIL a prononcé un record de 487 millions d'euros d'amendes en 2025, et les TPE/PME ne sont pas épargnées. Voici les 6 actions concrètes à mener pour rendre votre site conforme au RGPD, classées par priorité

Sommaire

Partagez sur les réseaux
Un projet à nous confier ?
Contactez-nous !

Vous avez un site web, un formulaire de contact, peut-être une newsletter. Vous savez vaguement que le RGPD existe et qu'il faut "être en conformité". Mais concrètement, qu'est-ce que vous devez vraiment faire ? Et surtout, par où commencer quand on n'a ni juriste, ni DPO, ni budget illimité ?

La réalité, c'est que la plupart des sites de TPE et PME ne sont pas conformes. Pas par mauvaise volonté, mais parce que le sujet semble complexe, lointain, réservé aux grandes entreprises. Sauf que la CNIL ne fait plus de distinction : en 2025, elle a prononcé un montant record de près de 487 millions d'euros d'amendes, et la procédure simplifiée permet désormais de sanctionner rapidement les petites structures avec des amendes allant jusqu'à 20 000 euros par manquement.

Ce guide va droit au but. Pas de cours magistral sur le droit européen, pas de jargon inutile. Juste les actions concrètes à mener sur votre site, classées par priorité, avec les outils pour les mettre en place. L'objectif : que vous puissiez rendre votre site conforme sans stress, et transformer cette obligation légale en un vrai signal de confiance pour vos visiteurs et clients.

Cadenas symbolisant la protection des données personnelles sur un écran d'ordinateur affichant un site web
La conformité RGPD est devenue un enjeu concret pour tous les sites web, y compris les plus petits.

Le RGPD en 2 minutes : ce que ça change pour votre site web

Le RGPD (Règlement Général sur la Protection des Données) est un règlement européen en vigueur depuis mai 2018. Son principe est simple : toute personne a le droit de savoir quelles données sont collectées sur elle, pourquoi, et de s'y opposer. En France, c'est la CNIL (Commission Nationale de l'Informatique et des Libertés) qui veille à son application.

Ce qu'on entend par "données personnelles"

Une donnée personnelle, ce n'est pas seulement un nom ou une adresse e-mail. C'est toute information qui permet d'identifier directement ou indirectement une personne : adresse IP, cookies de navigation, numéro de téléphone, préférences d'achat, localisation géographique. Dès que votre site collecte l'une de ces informations, même passivement via un cookie Google Analytics, vous êtes concerné.

Qui est concerné ?

La réponse courte : tout le monde. Que vous soyez artisan avec un site vitrine d'une page, commerçant avec une boutique en ligne, ou consultant avec un blog, le RGPD s'applique dès lors que votre site collecte des données de résidents européens. La taille de votre entreprise, votre chiffre d'affaires ou votre secteur d'activité n'y changent rien.

Concrètement, si votre site comporte au moins l'un de ces éléments, vous êtes concerné :

  • Un formulaire de contact (nom, e-mail, message)
  • Un outil d'analytics comme Google Analytics ou Matomo
  • Un système de cookies (publicité, réseaux sociaux, statistiques)
  • Une inscription à une newsletter
  • Un espace client ou un processus d'achat en ligne

Les 4 principes à retenir

Inutile de mémoriser les 99 articles du règlement. Pour un site web, tout se résume à quatre principes fondamentaux :

  1. Transparence : expliquer clairement quelles données vous collectez, pourquoi, et pendant combien de temps.
  2. Consentement : obtenir l'accord explicite de l'utilisateur avant de collecter des données non essentielles (cookies, newsletter, etc.).
  3. Minimisation : ne collecter que les données strictement nécessaires à votre activité.
  4. Sécurité : protéger les données collectées contre les fuites, les piratages et les accès non autorisés.

Voilà pour la théorie. Passons maintenant à ce qui vous intéresse : ce que ça coûte de ne pas s'y conformer, et surtout, comment s'y conformer concrètement.

487 millions d'euros d'amendes en 2025 : les TPE/PME aussi sont visées

Si vous pensiez que la CNIL ne s'intéresse qu'aux géants du numérique, les chiffres récents devraient vous faire changer d'avis.

Un record historique qui change la donne

Le bilan 2025 de la CNIL, publié en février 2026, est sans appel : 83 sanctions prononcées pour un total de 486 839 500 euros d'amendes. C'est près de neuf fois plus qu'en 2024 (55 millions d'euros). Certes, deux sanctions exceptionnelles tirent ce chiffre vers le haut — Google (325 millions d'euros) et Shein (150 millions d'euros), toutes deux pour des manquements liés aux cookies. Mais si on exclut ces deux cas, il reste tout de même près de 12 millions d'euros répartis sur 81 sanctions, soit une moyenne bien supérieure aux années précédentes.

La procédure simplifiée : le vrai risque pour les petites entreprises

Le changement le plus important pour les TPE/PME, c'est la montée en puissance de la procédure simplifiée. Mise en place en 2022, elle permet à la CNIL de sanctionner rapidement les dossiers courants, avec des amendes pouvant aller jusqu'à 20 000 euros par manquement. En 2025, 67 des 83 sanctions ont été prononcées par cette voie. Le message est clair : la CNIL peut désormais traiter un volume important de dossiers, y compris les plus petits.

Ce qui est réellement sanctionné

Les manquements les plus fréquemment sanctionnés en 2025 concernent directement ce que fait (ou ne fait pas) un site web :

  • Cookies et traceurs (21 sanctions) : dépôt sans consentement, refus pas aussi simple que l'acceptation, information insuffisante
  • Sécurité insuffisante des données (14 sanctions) : mots de passe faibles, comptes partagés, absence de chiffrement
  • Non-respect des droits des personnes (14 sanctions) : demandes d'effacement ou d'accès ignorées
  • Prospection sans consentement (10 sanctions) : e-mails commerciaux envoyés sans accord préalable

Le non-respect du RGPD constitue un risque concret pour toutes les structures, y compris les TPE et PME. La mise en conformité anticipée coûte toujours moins cher qu'une réaction en urgence après une mise en demeure.

Me Hélène Carrier, avocate spécialisée en protection des données

Au-delà de l'amende financière, une sanction CNIL peut aussi signifier la publication de la décision (dix sanctions ont été rendues publiques en 2025), des injonctions de cesser le traitement, et surtout un impact direct sur la confiance de vos clients. Pour une TPE dont la réputation locale est un atout clé, c'est un risque qu'il vaut mieux ne pas prendre.

À lire aussi : Stratégie digitale TPE : les 7 étapes pour démarrer de zéro — la conformité RGPD fait partie intégrante de votre stratégie digitale.

Les 6 actions concrètes pour un site conforme

Passons à la pratique. Voici les six actions à mener sur votre site, dans l'ordre de priorité. Chacune est accompagnée d'outils concrets et de ce qu'il faut vérifier.

1. Installer un bandeau cookies conforme

C'est l'action numéro un, celle qui est la plus visible pour vos visiteurs et la plus contrôlée par la CNIL. Les règles sont claires depuis les lignes directrices de la CNIL :

  • Bloquer tous les cookies non essentiels tant que l'utilisateur n'a pas donné son accord. Cela signifie que Google Analytics, les pixels Facebook, les vidéos YouTube intégrées ne doivent pas se charger avant le clic sur "Accepter".
  • Proposer "Refuser" aussi facilement qu'"Accepter". Les deux boutons doivent avoir le même niveau de visibilité. Pas de bouton "Refuser" caché dans un sous-menu ou affiché en gris clair.
  • Permettre un choix granulaire. L'utilisateur doit pouvoir accepter les cookies analytics mais refuser les cookies publicitaires, par exemple.
  • Permettre de revenir sur son choix. Un lien discret en pied de page ("Gérer mes cookies") doit permettre de modifier ses préférences à tout moment.

Les outils recommandés :

Outil Type Adapté pour Prix indicatif
Axeptio CMP française TPE/PME, bon UX Gratuit jusqu'à 300 visiteurs/jour, puis à partir de 19€/mois
Tarteaucitron Open source Développeurs, budgets serrés Gratuit
CookieYes CMP internationale Sites multilingues Gratuit jusqu'à 100 pages, puis à partir de 10€/mois
Complianz Plugin WordPress Sites WordPress Gratuit (version de base), premium à partir de 49€/an

Point important pour les annonceurs : si vous utilisez Google Ads, vous devez implémenter le Consent Mode v2. Depuis mars 2024, Google exige que les annonceurs dans l'Espace Économique Européen utilisent une CMP certifiée compatible avec ce protocole. Sans cela, vos campagnes publicitaires perdent en capacité de mesure et de ciblage. Les outils listés ci-dessus sont tous compatibles.

À lire aussi : Google Ads pour débutants : lancez votre première campagne en 30 minutes — le tracking et le Consent Mode v2 y sont abordés.

2. Rédiger une politique de confidentialité claire

La politique de confidentialité est le document qui explique à vos visiteurs ce que vous faites de leurs données. Elle doit être accessible depuis toutes les pages de votre site (généralement via un lien en pied de page) et rédigée dans un langage compréhensible, sans jargon juridique excessif.

Votre politique de confidentialité doit contenir, au minimum :

  1. L'identité du responsable de traitement — votre entreprise, avec ses coordonnées complètes.
  2. Les types de données collectées — nom, e-mail, adresse IP, cookies, données de navigation, etc.
  3. Les finalités du traitement — pourquoi vous collectez ces données (réponse à une demande de contact, statistiques de visite, envoi de newsletter, etc.).
  4. La base légale — consentement, exécution d'un contrat, intérêt légitime, obligation légale.
  5. La durée de conservation — combien de temps vous gardez les données (ex : 3 ans pour les données de prospection, selon la recommandation CNIL).
  6. Les destinataires — qui a accès aux données (votre hébergeur, votre outil d'emailing, Google Analytics, etc.).
  7. Les droits des utilisateurs — accès, rectification, suppression, opposition, portabilité. Avec un moyen concret de les exercer (adresse e-mail dédiée, formulaire).
  8. Les transferts hors UE — si vous utilisez des outils américains (Google, Mailchimp, etc.), vous devez l'indiquer et préciser les garanties mises en place.

Exemple de mention à placer sous vos formulaires :

Les informations recueillies via ce formulaire sont traitées par [Nom de votre entreprise] pour répondre à votre demande de contact. Elles sont conservées pendant [durée] et ne sont transmises à aucun tiers. Conformément au RGPD, vous pouvez exercer vos droits d'accès, de rectification et de suppression en nous écrivant à [adresse e-mail].

Modèle de mention RGPD sous formulaire

3. Mettre à jour vos mentions légales

Attention à ne pas confondre mentions légales et politique de confidentialité. Ce sont deux documents distincts, tous deux obligatoires, mais qui ne couvrent pas les mêmes informations.

Les mentions légales sont exigées par la loi française (LCEN de 2004), indépendamment du RGPD. Elles doivent identifier l'éditeur du site et sont obligatoires pour tout site web, qu'il collecte des données ou non.

Information Site professionnel Site personnel / blog
Raison sociale / nom Obligatoire Obligatoire (ou pseudonyme si hébergeur identifié)
Adresse du siège social Obligatoire Non obligatoire
Numéro SIRET / RCS Obligatoire Non applicable
Directeur de la publication Obligatoire Obligatoire
Hébergeur (nom, adresse, téléphone) Obligatoire Obligatoire
Numéro de TVA intracommunautaire Obligatoire (si assujetti) Non applicable
Conditions générales de vente Obligatoire (e-commerce) Non applicable

L'erreur classique : copier-coller un modèle trouvé en ligne sans l'adapter. Vos mentions légales doivent refléter votre situation réelle — votre hébergeur, votre forme juridique, vos coordonnées à jour. Un modèle générique ne suffit pas et peut même vous desservir en cas de contrôle.

4. Sécuriser les formulaires et la collecte de données

Chaque formulaire de votre site est un point de collecte de données personnelles. Formulaire de contact, demande de devis, inscription newsletter, création de compte : tous doivent respecter des règles précises.

Les règles à appliquer sur chaque formulaire :

  • Ne demandez que ce qui est nécessaire (principe de minimisation). Pour un formulaire de contact, nom + e-mail + message suffisent. Inutile de demander la date de naissance, l'adresse postale ou le numéro de téléphone si vous n'en avez pas besoin.
  • Ajoutez une case à cocher pour le consentement, non pré-cochée, avec un texte explicite. Par exemple : "J'accepte que mes données soient traitées pour répondre à ma demande. Politique de confidentialité".
  • Précisez la finalité — si le formulaire sert à la fois à répondre à une demande ET à inscrire à une newsletter, ce sont deux consentements distincts.

Attention aux plugins tiers : si vous utilisez un plugin de formulaire (Contact Form 7, WPForms, Gravity Forms sur WordPress), vérifiez qu'il est configuré pour ne pas stocker les données indéfiniment et qu'il permet d'exporter ou de supprimer les données d'un utilisateur sur demande.

Le cas du reCAPTCHA : le reCAPTCHA de Google collecte des données qui sont transférées vers les serveurs de Google aux États-Unis. La CNIL considère que son utilisation nécessite le consentement préalable de l'utilisateur. Des alternatives conformes existent : hCaptcha, Turnstile de Cloudflare, ou des solutions de type honeypot qui ne nécessitent aucun transfert de données.

À lire aussi : Landing pages : comment structurer pour convertir — optimiser vos formulaires pour la conversion tout en restant conforme.

5. Passer votre site en HTTPS et sécuriser les accès

La sécurité des données n'est pas un sujet réservé aux grandes entreprises. Le RGPD exige des mesures techniques et organisationnelles appropriées pour protéger les données que vous collectez. Pour un site de TPE/PME, voici le minimum indispensable :

  1. HTTPS obligatoire. Si votre site est encore en HTTP (sans le cadenas dans la barre d'adresse), c'est la priorité absolue. Un certificat SSL est gratuit via Let's Encrypt et inclus chez la plupart des hébergeurs. Sans HTTPS, les données saisies dans vos formulaires transitent en clair sur le réseau.
  2. Mots de passe robustes pour l'administration. Le mot de passe de votre back-office WordPress doit comporter au moins 12 caractères avec majuscules, minuscules, chiffres et caractères spéciaux. Activez l'authentification à deux facteurs (2FA) si possible.
  3. Mises à jour régulières. WordPress, vos plugins, votre thème : tout doit être à jour. Les failles de sécurité connues sont la porte d'entrée principale des piratages.
  4. Sauvegardes automatiques. Mettez en place des sauvegardes régulières (quotidiennes ou hebdomadaires) stockées sur un support externe. En cas de piratage ou de perte de données, c'est votre filet de sécurité.
  5. Gestion des accès. Limitez les comptes administrateurs au strict nécessaire. Si un prestataire a eu accès à votre site pour une mission ponctuelle, supprimez son compte une fois la mission terminée.
À lire aussi : Audit SEO complet : comment analyser et corriger votre site étape par étape — l'audit technique inclut la vérification du HTTPS, de la vitesse et de la sécurité.

6. Permettre l'exercice des droits des utilisateurs

Le RGPD accorde à chaque personne des droits sur ses données. Votre site doit permettre de les exercer facilement. Voici les principaux droits à connaître :

  • Droit d'accès : toute personne peut vous demander quelles données vous détenez sur elle et en obtenir une copie.
  • Droit de rectification : corriger des données inexactes ou incomplètes.
  • Droit à l'effacement ("droit à l'oubli") : demander la suppression de ses données dans certaines circonstances.
  • Droit d'opposition : s'opposer au traitement de ses données, notamment pour la prospection commerciale.
  • Droit à la portabilité : récupérer ses données dans un format structuré et lisible par machine.

Comment le mettre en place concrètement ? Pour une TPE/PME, pas besoin d'un système complexe. Deux solutions simples suffisent :

  • Créez une adresse e-mail dédiée (ex : rgpd@votreentreprise.fr ou donnees@votreentreprise.fr) et mentionnez-la dans votre politique de confidentialité.
  • Ou ajoutez un formulaire de demande spécifique sur votre site, lié à cette même adresse.

L'essentiel est de pouvoir répondre dans un délai d'un mois (c'est le délai légal). Définissez en interne qui traite ces demandes et comment. Même si vous n'en recevez jamais, le fait d'avoir un processus en place démontre votre bonne foi en cas de contrôle.

Le cas particulier de l'analytics : Google Analytics est-il conforme ?

C'est l'une des questions les plus fréquentes, et la réponse mérite qu'on s'y attarde. Google Analytics pose un problème de conformité parce qu'il transfère les données de navigation de vos visiteurs vers les serveurs de Google aux États-Unis.

Depuis l'arrêt Schrems II (2020), les transferts de données vers les États-Unis sont encadrés de façon très stricte. Google Analytics dans sa version standard ne bénéficie pas de l'exemption de consentement accordée par la CNIL aux outils d'analyse d'audience, car les données transitent par l'écosystème Google et peuvent être croisées avec d'autres services.

Matomo : l'alternative recommandée par la CNIL

Matomo est une plateforme d'analyse d'audience open source, utilisée par la CNIL elle-même sur son propre site. Son avantage : lorsqu'elle est hébergée en Europe (ou auto-hébergée sur votre serveur) et configurée pour anonymiser les adresses IP, elle peut bénéficier d'une exemption de consentement. Concrètement, cela signifie que vous pouvez mesurer votre audience sans avoir besoin d'afficher un bandeau cookies pour l'analytics.

Les conditions pour bénéficier de cette exemption :

  • L'outil doit produire des données anonymisées et agrégées, uniquement à des fins statistiques internes.
  • Les données ne doivent pas être croisées avec d'autres traitements ou transmises à des tiers.
  • La durée de conservation doit être limitée (25 mois maximum pour les cookies de mesure d'audience selon la CNIL).
  • L'utilisateur doit être informé de l'existence de ce traitement et pouvoir s'y opposer.

Le projet Digital Omnibus : vers une exemption européenne ?

Bonne nouvelle pour l'avenir : le projet de Digital Omnibus publié par la Commission européenne fin 2025 propose que les cookies utilisés pour la mesure d'audience agrégée, à usage interne du site, soient exemptés de consentement au niveau européen. Ce n'est pas encore en vigueur, mais la direction est claire : la mesure d'audience strictement first-party tend à être reconnue comme légitime.

En attendant, notre recommandation est simple : si vous pouvez passer à Matomo, faites-le. Si vous devez conserver Google Analytics (pour des besoins spécifiques de reporting ou d'intégration avec Google Ads), assurez-vous que votre bandeau cookies bloque bien le script GA4 tant que le consentement n'est pas donné, et que le Consent Mode v2 est correctement implémenté.

Tableau récapitulatif : les actions par priorité

Pour vous aider à prioriser, voici un résumé des actions à mener, classées par niveau d'urgence. Commencez par les priorités 1, qui sont les plus susceptibles d'être contrôlées et sanctionnées.

Action Priorité Difficulté Risque si absent
Bandeau cookies conforme (CMP) 🔴 Priorité 1 Moyenne Très élevé — 1er motif de sanction CNIL
Politique de confidentialité 🔴 Priorité 1 Moyenne Élevé — obligatoire, facilement vérifiable
Mentions légales à jour 🔴 Priorité 1 Faible Élevé — obligation légale française
HTTPS activé 🔴 Priorité 1 Faible Élevé — impact sécurité + SEO
Formulaires avec consentement 🟠 Priorité 2 Faible Moyen — contrôlé en cas de plainte
Processus de droit d'accès/suppression 🟠 Priorité 2 Faible Moyen — 14 sanctions en 2025
Analytics conforme (Matomo) 🟠 Priorité 2 Moyenne Moyen — dépend de la configuration
Registre des traitements 🟡 Priorité 3 Moyenne Faible — surtout utile en cas de contrôle
Audit de sécurité avancé 🟡 Priorité 3 Élevée Variable — selon les données traitées

Les erreurs qui coûtent le plus cher (et comment les éviter)

Plutôt qu'une liste exhaustive d'erreurs théoriques, concentrons-nous sur les manquements qui ont réellement conduit à des sanctions en 2025 et qui concernent directement les sites web de TPE/PME.

Erreur n°1 : Le bandeau cookies qui ne bloque rien

C'est l'erreur la plus fréquente et la plus sanctionnée. Le bandeau s'affiche, mais les cookies sont déjà déposés avant que l'utilisateur n'ait cliqué. Techniquement, le consentement est demandé, mais le traitement a déjà commencé. C'est exactement ce qui a valu à Shein une amende de 150 millions d'euros : dix types de traceurs se déposaient avant toute expression de consentement.

La solution : vérifiez que votre CMP bloque réellement les scripts avant le consentement. Utilisez l'inspecteur réseau de votre navigateur (onglet Network dans les outils développeurs) pour contrôler qu'aucune requête vers Google Analytics, Facebook, ou d'autres services tiers ne part avant le clic sur "Accepter".

Erreur n°2 : Le bouton "Refuser" introuvable

Un bouton "Tout accepter" bien visible, coloré et central, face à un lien "Paramétrer mes choix" en texte gris et petit. C'est un dark pattern, et la CNIL le sanctionne explicitement. Refuser doit être aussi simple et immédiat qu'accepter.

La solution : deux boutons côte à côte, même taille, même visibilité. "Tout accepter" et "Tout refuser" au même niveau, avec un éventuel troisième bouton "Personnaliser" pour le choix granulaire.

Erreur n°3 : Des mots de passe faibles sur le back-office

Plusieurs sanctions 2025 visent des entreprises dont les mots de passe d'accès aux systèmes contenant des données personnelles étaient trop simples, jamais renouvelés, ou partagés entre plusieurs personnes. Un accès admin WordPress avec le mot de passe "admin123" ou le nom de l'entreprise, c'est une faille de sécurité ET un manquement au RGPD.

La solution : au moins 12 caractères, combinaison de types de caractères, mots de passe uniques par compte, 2FA activé. Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password) pour simplifier la gestion.

Erreur n°4 : Ignorer les demandes de suppression de données

14 sanctions ont été prononcées en 2025 pour non-respect des droits des personnes. Le scénario classique : un client demande la suppression de ses données, l'e-mail est ignoré ou tombe aux oubliettes. Le client porte plainte auprès de la CNIL, et la procédure simplifiée fait le reste.

La solution : créez l'adresse e-mail dédiée, désignez une personne responsable, et traitez chaque demande dans le mois. Même si vous pensez que la demande est infondée, vous devez répondre et motiver un éventuel refus.

Erreur n°5 : Envoyer des newsletters sans consentement valide

Inscrire automatiquement les clients à une newsletter lors d'un achat, ajouter manuellement des contacts glanés sur LinkedIn, acheter des fichiers d'e-mails : toutes ces pratiques sont sanctionnées. La prospection commerciale par voie électronique nécessite un consentement préalable explicite (opt-in), sauf si la personne est déjà cliente et que la prospection concerne des produits ou services similaires.

La solution : mettez en place un système de double opt-in (l'utilisateur s'inscrit, puis confirme via un lien dans un e-mail). Séparez le consentement newsletter du consentement formulaire de contact. Intégrez un lien de désinscription visible dans chaque envoi.

À lire aussi : WooCommerce vs Shopify vs PrestaShop : quelle plateforme e-commerce pour votre TPE ? — la conformité RGPD varie selon la plateforme choisie.

Maintenir la conformité dans le temps

Rendre votre site conforme aujourd'hui, c'est bien. Le maintenir conforme dans la durée, c'est indispensable. Le RGPD n'est pas une case à cocher une fois pour toutes : c'est un processus continu qui doit s'intégrer dans vos pratiques courantes.

Tenir un registre des traitements

Le registre des activités de traitement est un document obligatoire qui recense toutes les opérations de traitement de données de votre entreprise. Pour une TPE, il peut être très simple : un tableau (tableur Excel ou Google Sheets) listant chaque traitement avec ses caractéristiques.

Pour chaque traitement, renseignez :

  • La finalité (ex : "Répondre aux demandes de contact via le formulaire")
  • Les catégories de données collectées (nom, e-mail, téléphone…)
  • Les personnes qui ont accès (vous, votre hébergeur, votre prestataire web)
  • La durée de conservation prévue
  • Les mesures de sécurité en place

Ce registre n'a pas besoin d'être un document juridique complexe. L'important, c'est qu'il existe et qu'il reflète la réalité de vos pratiques.

Auditer régulièrement votre site

Prévoyez un contrôle de votre conformité au moins une fois par an, ou à chaque changement significatif sur votre site (ajout d'un nouveau formulaire, changement d'outil analytics, installation d'un nouveau plugin). Les points à vérifier :

  • Le bandeau cookies fonctionne-t-il correctement ? Les scripts sont-ils bien bloqués avant le consentement ?
  • La politique de confidentialité est-elle à jour (notamment les outils listés et les durées de conservation) ?
  • Les plugins installés sont-ils toujours nécessaires ? Certains collectent-ils des données dont vous n'avez plus besoin ?
  • Les mots de passe des comptes d'administration sont-ils suffisamment robustes et régulièrement renouvelés ?
  • Les données anciennes ont-elles été purgées conformément aux durées de conservation annoncées ?

Rester informé des évolutions

La réglementation évolue. Les recommandations de la CNIL aussi. En janvier 2026, la CNIL a par exemple publié de nouvelles recommandations sur le consentement multi-terminaux (cookies acceptés sur un appareil valant consentement sur un autre). En février 2026, elle a lancé une consultation publique sur le rejeu de session (enregistrement de la navigation d'un utilisateur pour analyse UX). Rester informé de ces évolutions vous permet d'anticiper plutôt que de subir.

Quelques sources fiables à suivre :

  • Le site de la CNIL, section "Actualités" et "Cookies et traceurs"
  • La newsletter de la CNIL (gratuite)
  • Le site Service-public.fr pour les obligations légales des entreprises

En résumé : par où commencer dès maintenant

Si vous ne deviez retenir que trois choses de ce guide :

  1. Commencez par le bandeau cookies. C'est le premier motif de sanction CNIL et le plus visible pour vos visiteurs. Installez une CMP conforme, vérifiez qu'elle bloque réellement les scripts, et testez que "Refuser" est aussi simple qu'"Accepter".
  2. Rédigez (ou mettez à jour) votre politique de confidentialité et vos mentions légales. Ce sont des documents obligatoires, consultables en un clic, et facilement vérifiables par la CNIL.
  3. Sécurisez les bases. HTTPS, mots de passe robustes, mises à jour régulières. Ce sont des mesures simples qui protègent à la fois vos utilisateurs et votre entreprise.

La conformité RGPD n'est pas un projet ponctuel à boucler en une journée, mais elle ne devrait pas non plus être une source d'angoisse. Chaque action que vous mettez en place renforce la confiance de vos visiteurs, protège votre entreprise contre les sanctions, et vous différencie des concurrents qui négligent encore le sujet. Dans un contexte où la protection des données est devenue une attente forte des consommateurs, c'est aussi un avantage concurrentiel.

Chez Semantiq, nous accompagnons les TPE et PME de Bretagne et d'ailleurs dans la mise en conformité de leur site web, de l'audit initial jusqu'à la mise en place technique. Si vous avez un doute sur la conformité de votre site ou si vous souhaitez un accompagnement personnalisé, parlons-en.