RGPD et cookies : ce que votre site doit respecter en 2026

La conformité n'est plus optionnelle

La CNIL a distribué plus de 400 millions d'euros d'amendes liées au RGPD et aux cookies depuis l'entrée en vigueur du règlement. Et ce ne sont pas seulement les grandes entreprises qui sont visées. Des TPE et PME ont reçu des mises en demeure pour des sites non conformes — parfois suite à une simple plainte d'un visiteur.

En 2026, avoir un site internet qui ne respecte pas le RGPD et les règles sur les cookies, c'est prendre un risque juridique et financier réel. C'est aussi envoyer un mauvais signal à vos visiteurs sur votre sérieux.

Cet article fait le point sur ce que votre site doit concrètement respecter, sans jargon juridique inutile.

Le RGPD en résumé : ce qui vous concerne

Le principe fondamental

Le Règlement Général sur la Protection des Données (RGPD) impose une règle simple : toute collecte de données personnelles doit être légale, transparente et limitée au strict nécessaire.

Données personnelles : tout ce qui permet d'identifier directement ou indirectement une personne. Nom, email, adresse IP, numéro de téléphone, mais aussi cookies de tracking, données de formulaire, adresses de livraison.

Si votre site collecte une seule de ces informations — ne serait-ce qu'un formulaire de contact — vous êtes concerné par le RGPD.

Ce que ça implique concrètement

1. Information : vous devez informer les visiteurs de quelles données vous collectez, pourquoi, et combien de temps vous les conservez
2. Consentement : pour certaines collectes (tracking, marketing), le consentement explicite est obligatoire avant la collecte
3. Droits des personnes : vos visiteurs ont le droit d'accéder à leurs données, de les modifier, de les supprimer, et de s'opposer à leur traitement
4. Sécurité : vous devez protéger les données collectées contre les accès non autorisés
5. Minimisation : ne collecter que les données strictement nécessaires à l'objectif déclaré

Les cookies : les règles précises

Cookies exemptés de consentement

Certains cookies sont indispensables au fonctionnement du site. Ils ne nécessitent pas de consentement mais doivent être mentionnés dans la politique de cookies.

Exemples :

• Cookies de session (panier e-commerce, authentification)
• Cookies de préférences utilisateur (langue, thème)
• Cookies de sécurité (anti-CSRF, détection de fraude)

Cookies nécessitant un consentement

Tout cookie qui n'est pas strictement nécessaire au fonctionnement du site nécessite un consentement explicite avant d'être déposé.

Exemples :

• Google Analytics et tout outil de mesure d'audience non exempté
• Pixels Facebook, LinkedIn, TikTok
• Cookies publicitaires (Google Ads, retargeting)
• Outils de chat tiers qui trackent les visiteurs
• Intégrations de réseaux sociaux avec tracking

Le bandeau de consentement : les règles

La CNIL a des exigences précises sur le bandeau de consentement. Voici ce qui est obligatoire :

Obligatoire :

• Permettre de refuser aussi facilement qu'accepter (pas de bouton "refuser" caché ou en gris clair)
• Lister les finalités des cookies de manière compréhensible
• Ne déposer aucun cookie non essentiel avant l'acceptation
• Conserver la preuve du consentement
• Permettre de retirer son consentement à tout moment
• Renouveler la demande de consentement tous les 13 mois maximum

Interdit :

• Les cookie walls qui conditionnent l'accès au site à l'acceptation des cookies
• Le consentement pré-coché (cases cochées par défaut)
• Le scroll ou la simple navigation comme preuve de consentement
• Un bouton "tout accepter" bien visible avec un "personnaliser" quasi invisible

Google Analytics : cas particulier

Google Analytics 4 (GA4) utilise des cookies qui nécessitent un consentement. Tant que le visiteur n'a pas accepté, aucune donnée ne doit être envoyée à Google.

Alternative : des outils comme Plausible, Fathom ou Matomo (en configuration exemptée) peuvent mesurer l'audience sans cookies et sans consentement, à condition de respecter les critères d'exemption de la CNIL.

Les mentions légales : ce qui est obligatoire

Pour tous les sites professionnels

Tout site internet professionnel doit comporter des mentions légales accessibles. C'est la loi pour la confiance dans l'économie numérique (LCEN) qui l'impose.

Mentions obligatoires :

• Identité de l'éditeur : nom, prénom (ou raison sociale), adresse, téléphone, email
• Numéro SIRET ou RCS
• Nom du directeur de la publication
• Coordonnées de l'hébergeur (nom, adresse, téléphone)
• Numéro de TVA intracommunautaire (si applicable)

Politique de confidentialité

Distincte des mentions légales, la politique de confidentialité détaille le traitement des données personnelles. Elle doit préciser :

• Quelles données sont collectées et pourquoi
• La base juridique de chaque traitement (consentement, intérêt légitime, contrat)
• La durée de conservation des données
• Les destinataires des données (sous-traitants, partenaires)
• Les droits des personnes et comment les exercer
• Les coordonnées du DPO ou du responsable de traitement

CGV et CGU

Si vous vendez des produits ou services en ligne, les Conditions Générales de Vente (CGV) sont obligatoires. Elles doivent être accessibles avant toute transaction et mentionner le droit de rétractation, les modalités de livraison, les garanties légales, etc.

Le formulaire de contact : les obligations

Votre formulaire de contact collecte des données personnelles (nom, email, message). Voici ce qu'il doit respecter :

• Minimisation : ne demandez que les informations nécessaires. Avez-vous vraiment besoin de l'adresse postale pour un simple message ?
• Information : un texte sous le formulaire doit indiquer la finalité du traitement, la durée de conservation, et les droits de la personne
• Pas de case pré-cochée pour l'inscription à une newsletter
• Sécurité : transmission en HTTPS, stockage sécurisé, accès limité

Checklist de conformité pour votre site

Vérifiez chaque point pour votre site :

Pages légales :

• [ ] Mentions légales complètes et accessibles
• [ ] Politique de confidentialité détaillée
• [ ] Politique de cookies
• [ ] CGV si vente en ligne

Bandeau cookies :

• [ ] Bandeau visible au premier chargement
• [ ] Boutons "accepter" et "refuser" de même importance visuelle
• [ ] Aucun cookie non essentiel déposé avant consentement
• [ ] Possibilité de retirer son consentement (lien en footer par exemple)
• [ ] Renouvellement du consentement tous les 13 mois

Formulaires :

• [ ] Informations RGPD sous chaque formulaire
• [ ] Pas de champ inutile
• [ ] Transmission en HTTPS

Données :

• [ ] Registre des traitements à jour (même simplifié)
• [ ] Durée de conservation définie pour chaque type de donnée
• [ ] Processus pour répondre aux demandes d'accès/suppression

Les sanctions en cas de non-conformité

Les amendes CNIL

Les sanctions peuvent atteindre 4 % du chiffre d'affaires annuel ou 20 millions d'euros (le montant le plus élevé est retenu). En pratique, les TPE et PME reçoivent d'abord une mise en demeure avec un délai pour se mettre en conformité.

Mais la CNIL peut aussi rendre publique la mise en demeure, ce qui constitue un risque réputationnel non négligeable.

Le risque d'action individuelle

N'importe quel visiteur peut porter plainte auprès de la CNIL si votre site ne respecte pas le RGPD. Et les associations de protection des consommateurs sont de plus en plus actives sur ces sujets.

Comment mettre votre site en conformité

Si vous avez un site existant

1. Auditez votre site : quels cookies sont déposés ? Quelles données sont collectées ?
2. Mettez en place un bandeau de consentement conforme (Tarteaucitron, Axeptio, ou solution sur mesure)
3. Rédigez ou mettez à jour vos pages légales
4. Vérifiez que vos formulaires respectent les obligations
5. Documentez vos traitements dans un registre simplifié

Si votre site a besoin d'une refonte, c'est l'occasion idéale pour intégrer la conformité RGPD dès la conception.

Si vous créez un nouveau site

La conformité RGPD doit être intégrée dès la conception du site (privacy by design). C'est ce que j'applique sur chaque projet de création de site internet : bandeau de consentement, pages légales, formulaires conformes, et configuration propre des outils analytics.

En tant que développeur web à Rennes, je m'assure que chaque site livré respecte les obligations légales françaises et européennes. Contactez-moi pour un audit de conformité de votre site ou pour intégrer ces éléments dans votre prochain projet.

FAQ

Mon site sans e-commerce est-il concerné par le RGPD ?

Oui, dès qu'il collecte des données personnelles, même un simple formulaire de contact avec nom et email suffit. Le RGPD s'applique à toute collecte de données permettant d'identifier une personne, directement ou indirectement. L'adresse IP collectée par Google Analytics est déjà une donnée personnelle au sens du RGPD. En résumé : si votre site a un formulaire, des analytics ou des cookies tiers, il est concerné.

Quels outils utiliser pour le bandeau de consentement ?

Plusieurs solutions existent selon votre stack technique. Pour WordPress : Complianz ou GDPR Cookie Compliance. Pour les sites sur mesure : Tarteaucitron (open source, français) ou Axeptio (payant, UX soignée). L'important est que l'outil bloque réellement les cookies avant consentement (pas seulement afficher un bandeau) et qu'il permette de refuser aussi facilement qu'accepter. Évitez les solutions qui ne font qu'afficher un bandeau sans bloquer les scripts.

Puis-je utiliser Google Analytics sans bandeau de consentement ?

Non, Google Analytics 4 dépose des cookies et transfère des données vers les serveurs de Google (aux États-Unis), ce qui nécessite un consentement explicite. Si vous voulez mesurer votre audience sans consentement, des alternatives existent : Plausible, Fathom ou Matomo (en configuration exemptée CNIL). Ces outils ne déposent pas de cookies et ne transfèrent pas de données hors UE, ce qui les exempte de la demande de consentement sous certaines conditions.