Vous avez un site vitrine, un formulaire de contact, peut-être une newsletter ou un module de prise de rendez-vous. Sans forcément le savoir, vous collectez déjà des données personnelles, et le RGPD s’applique à vous. Que vous soyez artisan à Redon, commerçant à Savenay ou prestataire de services à Saint-Nazaire, la vraie question n’est pas de savoir si vous êtes concerné, mais si votre site est réellement en règle. La bonne nouvelle, c’est que se mettre en conformité n’a rien d’insurmontable quand on avance par étapes. Ce guide fait le tour, en langage clair, de ce que tout professionnel doit savoir sur le RGPD appliqué à son site web en 2026.

Le RGPD, de quoi parle-t-on exactement ?
Le RGPD (Règlement général sur la protection des données) est le texte européen qui encadre la collecte et l’utilisation des données personnelles depuis 2018. En France, c’est la CNIL (Commission nationale de l’informatique et des libertés) qui veille à son application. Le principe est simple : dès que vous traitez des informations qui permettent d’identifier une personne, vous avez des obligations. Et un site web professionnel traite presque toujours ce type d’informations.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle, c’est toute information se rapportant à une personne physique identifiée ou identifiable. Concrètement, sur un site web, cela inclut bien plus qu’on ne le pense : un nom, une adresse e-mail saisie dans un formulaire de contact, un numéro de téléphone, une adresse IP, un identifiant de connexion ou encore les données déposées par les cookies. Autrement dit, un simple formulaire de contact suffit à faire entrer votre site dans le champ du RGPD. L’adresse e-mail que le visiteur vous laisse est une donnée personnelle, et vous devez lui indiquer ce que vous en faites et combien de temps vous la conservez.

Les 5 obligations concrètes pour votre site web
Inutile de se noyer dans le juridique. Pour un site vitrine de TPE ou d’indépendant, la conformité tient à cinq chantiers bien identifiés. Passons-les en revue.
1. Les mentions légales
Elles sont obligatoires pour tout site professionnel, indépendamment du RGPD, mais elles participent de la même logique de transparence. On y trouve au minimum : votre nom ou votre dénomination sociale, votre adresse, un moyen de contact, votre numéro SIRET ou d’immatriculation au RCS, et les coordonnées de votre hébergeur (nom, adresse, téléphone). Pour une société, il faut aussi préciser la forme juridique, le capital social et le numéro de TVA intracommunautaire. L’absence de mentions légales est loin d’être anodine : elle peut être sanctionnée jusqu’à 75 000 € pour un entrepreneur individuel et 375 000 € pour une société.
2. La politique de confidentialité
C’est le document qui explique, en langage clair, quelles données vous collectez, pourquoi, sur quelle base légale, combien de temps vous les conservez et quels sont les droits des visiteurs. Elle doit être accessible depuis chaque page du site, en général via un lien dans le pied de page. Elle indique aussi l’identité du responsable de traitement (vous) et, le cas échéant, un point de contact pour les questions liées aux données personnelles. Une politique de confidentialité générique copiée sur un autre site ne suffit pas : elle doit être spécifique à votre activité.
3. Le bandeau cookies conforme
C’est le point le plus surveillé en 2026 (nous y revenons plus bas). Tout cookie qui n’est pas strictement nécessaire au fonctionnement du site (mesure d’audience non exemptée, publicité, réseaux sociaux) exige le consentement préalable du visiteur. Le bandeau doit proposer clairement, dès le premier écran, les options « Accepter », « Refuser » et « Paramétrer ». Refuser doit être aussi simple qu’accepter.
4. Les formulaires (contact, devis, newsletter)
Chaque formulaire qui collecte des données doit informer la personne au moment de la saisie : qui collecte, pour quelle finalité, sur quelle base légale, pour quelle durée, et comment exercer ses droits. Pour une inscription à une newsletter, le consentement doit être actif : pas de case pré-cochée, une action volontaire de l’internaute. Pensez aussi à ne demander que les données réellement utiles. Un formulaire de contact n’a pas besoin de la date de naissance de votre visiteur.

5. Le registre des traitements
Voilà l’obligation la plus méconnue des indépendants. Le registre des traitements recense toutes les activités par lesquelles vous manipulez des données personnelles : fichier clients, prospects, formulaires du site, newsletter, salariés éventuels. En pratique, la quasi-totalité des TPE et PME doivent en tenir un, car leurs traitements ne sont pas purement occasionnels. Rassurez-vous : la CNIL met à disposition un modèle gratuit, et une première version se rédige en quelques heures. C’est un document interne, vous n’avez pas à le publier, mais vous devez pouvoir le présenter en cas de contrôle.
Récapitulatif : votre check-list de conformité
| Élément | Obligatoire ? | Où sur le site |
|---|---|---|
| Mentions légales | Oui, pour tous | Lien en pied de page |
| Politique de confidentialité | Oui, dès collecte de données | Lien en pied de page |
| Bandeau cookies | Oui, si cookies non essentiels | Dès l’arrivée sur le site |
| Mention sur les formulaires | Oui | Sous chaque formulaire |
| Registre des traitements | Oui, dans la quasi-totalité des cas | Document interne |
Cookies et consentement : le point sensible en 2026
Si un seul sujet doit retenir votre attention cette année, c’est celui-là. Le consentement aux cookies doit être libre, spécifique, éclairé et univoque. Traduit en langage courant : le visiteur doit comprendre à quoi il consent, pouvoir dire non aussi facilement qu’oui, et aucun cookie non essentiel ne doit être déposé avant qu’il n’ait fait son choix. La CNIL a durci ses recommandations et utilise désormais des robots pour détecter automatiquement les sites non conformes. Un bandeau qui ne propose que le bouton « Accepter », ou qui dépose des traceurs publicitaires avant tout clic, est aujourd’hui hors des clous.
Nouveauté marquante : la CNIL a sanctionné pour la première fois le « cookie wall », cette pratique consistant à conditionner l’accès à un service au dépôt de cookies publicitaires. Pour un site vitrine classique, le sujet reste simple à régler : une extension de gestion du consentement (CMP) correctement paramétrée, associée à une mesure d’audience respectueuse de la vie privée, vous met en règle sans effort quotidien.
Sanctions : ce que vous risquez vraiment
Les chiffres 2025 de la CNIL ont de quoi faire réfléchir. L’autorité a prononcé 486,8 millions d’euros d’amendes sur l’année, contre 55,2 millions en 2024. Le cœur de ces sanctions concerne les cookies et les traceurs, avec des amendes retentissantes de 325 millions d’euros pour Google et 150 millions pour Shein, notamment pour non-respect du consentement. Au total, 21 organismes ont été sanctionnés pour des manquements liés au dépôt de cookies sans consentement valable ou au non-respect du refus des utilisateurs.
Faut-il pour autant paniquer quand on est artisan ou commerçant ? Non. Ces montants spectaculaires visent des géants du web. Pour une TPE, la CNIL commence quasi systématiquement par une mise en demeure, avec un délai pour se mettre en conformité. Les amendes ne tombent qu’en cas de non-réponse ou de récidive. Mais l’histoire ne s’arrête pas aux sanctions financières : un site non conforme, c’est aussi une perte de confiance de vos visiteurs, et un risque réel si un client dépose une réclamation. La conformité est autant une question d’image que de droit.

RGPD et sécurité : deux sujets indissociables
Le RGPD ne se limite pas à des textes juridiques affichés sur votre site. Il impose aussi une obligation de sécurité : vous devez protéger les données que vous collectez par des moyens techniques raisonnables. Sur un site WordPress, cela passe par des bases concrètes : un certificat HTTPS actif, des mots de passe robustes, des mises à jour régulières du CMS et des extensions, des sauvegardes automatiques et une limitation des accès à l’administration. Une fuite de données consécutive à un site mal sécurisé peut, elle aussi, engager votre responsabilité. Pour aller plus loin sur ce volet, consultez notre guide dédié pour protéger votre site web contre les cyberattaques. La protection des données et la sécurité technique avancent main dans la main.
C’est aussi pour cette raison qu’il vaut mieux intégrer la conformité dès la conception du site plutôt que de la rajouter après coup. Le RGPD parle de « privacy by design » : penser la protection des données dès le départ. C’est d’ailleurs l’une des erreurs fréquentes que nous détaillons dans notre article sur les 10 erreurs à éviter quand on crée son site web.
RGPD à Redon, Savenay et Saint-Nazaire : un accompagnement de proximité
Pour un indépendant ou une petite entreprise du Pays de Redon, de Savenay ou de Saint-Nazaire, la mise en conformité RGPD peut vite ressembler à une montagne administrative, faute de temps et de repères juridiques. C’est justement là qu’un web designer local fait la différence. Travailler avec un prestataire installé sur le même territoire, ce n’est pas seulement une question de proximité géographique : c’est la possibilité d’échanger simplement, de comprendre votre activité réelle et d’adapter la conformité à vos besoins, sans jargon inutile.
Concrètement, un accompagnement local sur le RGPD couvre la rédaction de mentions légales et d’une politique de confidentialité adaptées à votre situation, la mise en place d’un bandeau cookies conforme, la sécurisation de vos formulaires et un point clair sur le registre des traitements. Le tout intégré proprement à votre site, sans casser son design ni ses performances. Un site rapide, bien référencé localement et respectueux des règles inspire confiance, et cette confiance se transforme en contacts. Si vous travaillez aussi votre visibilité sur les cartes, notre guide sur le SEO local pour apparaître dans le top 3 de Google Maps complète parfaitement cette démarche.
Questions fréquentes sur le RGPD et les sites web
Mon site est un simple site vitrine sans boutique, suis-je concerné ?
Oui, dès lors que votre site comporte un formulaire de contact, un outil de statistiques ou des cookies. La collecte d’une seule adresse e-mail suffit à déclencher les obligations du RGPD. Un site vitrine sans aucune collecte reste rare, car même la mesure d’audience implique souvent des traceurs.
Dois-je désigner un délégué à la protection des données (DPO) ?
Pour la plupart des TPE et indépendants, non. La désignation d’un DPO est obligatoire dans des cas précis, comme le traitement à grande échelle de données sensibles. En revanche, il reste utile d’identifier clairement un point de contact pour les questions liées aux données, et de le mentionner dans votre politique de confidentialité.
Combien de temps faut-il pour mettre un site en conformité ?
Pour un site vitrine classique, quelques jours suffisent le plus souvent : rédaction des documents légaux, installation et paramétrage d’un outil de consentement, mise à jour des formulaires et rédaction du registre. L’essentiel est de le faire une bonne fois pour toutes, puis de vérifier la conformité à chaque évolution du site.
Conclusion : la conformité, un atout plutôt qu’une contrainte
Le RGPD est souvent perçu comme une contrainte de plus. En réalité, un site conforme est un site plus professionnel, plus rassurant et mieux armé pour durer. Les cinq chantiers sont clairs : mentions légales, politique de confidentialité, bandeau cookies, formulaires et registre des traitements. En les traitant sérieusement, vous protégez à la fois vos visiteurs, votre réputation et votre tranquillité. Et si le sujet vous semble encore flou, mieux vaut vous faire accompagner que de laisser votre site dans une zone grise.
Vous avez un doute sur la conformité de votre site, ou vous lancez un nouveau projet dans le Pays de Redon, à Savenay ou à Saint-Nazaire ? Contactez WebFreeyou pour faire le point ensemble et mettre votre site aux normes, simplement et sans stress.