RGPD et site internet : la checklist complète 2026
Checklist RGPD pour un site internet professionnel en 2026 : cookies, formulaires, hébergement, droits utilisateurs, mentions légales. Conformité concrète et risques d'amende.
Votre site internet est-il conforme au RGPD en 2026 ? Cette question concerne toute entreprise qui collecte au moins une donnée personnelle (email, formulaire, cookie d’analyse). En 2025, la CNIL a infligé plus de 90 millions d’euros d’amendes à des sites non conformes, et les TPE/PME ne sont plus à l’abri. Voici la checklist concrète des 12 points à vérifier.
En une phrase
Les cookies, les formulaires, l’hébergement, les mentions légales et la politique de confidentialité doivent tous être au cœur de la stratégie dès le jour 1. Ajouté après coup, ça finit toujours par coûter plus cher.
Tableau récapitulatif des 12 points
| # | Point de contrôle | Risque si non conforme |
|---|---|---|
| 1 | Cookie consent (bannière conforme CNIL) | Amende jusqu’à 2 % du CA |
| 2 | Pas de cookies tiers avant consentement | Amende + plainte client |
| 3 | Mentions légales complètes | Amende administrative + perte de confiance |
| 4 | Politique de confidentialité accessible | Amende administrative |
| 5 | Formulaires : finalité claire + base légale | Plainte CNIL |
| 6 | Email contact RGPD / DPO | Plainte CNIL non traitable |
| 7 | Hébergement UE (idéalement France) | Risque transfert hors UE |
| 8 | HTTPS partout (certificat SSL valide) | Données en clair, amende |
| 9 | Droits d’accès, rectification, suppression | Plainte CNIL |
| 10 | Registre des traitements (entreprises >250 personnes ou données sensibles) | Amende administrative |
| 11 | Délai de conservation des données défini | Plainte CNIL |
| 12 | Sécurité technique (sauvegardes, MAJ, mots de passe) | Amende + atteinte image |
Les 12 points en détail
1. Cookie consent conforme CNIL
La bannière cookie doit :
- Apparaître avant tout dépôt de cookie tiers
- Proposer « accepter », « refuser » et « personnaliser » au même niveau visuel
- Permettre de changer d’avis facilement (lien permanent dans le footer)
- Mémoriser le refus (pas de re-pop chaque page)
Outils recommandés : Axeptio, Tarte au Citron (open source, FR), Didomi, Cookiebot, ou intégration custom.
2. Aucun cookie tiers avant consentement
C’est le piège le plus courant. Google Analytics, Facebook Pixel, Hotjar, YouTube embed déposent des cookies dès qu’ils sont chargés. Solution :
- Conditionner leur chargement au consentement explicite
- Ou utiliser des alternatives respectueuses (Plausible, Matomo en mode RGPD-friendly, PostHog avec EU hosting + opt-in)
3. Mentions légales complètes
Exigées par la loi pour la confiance dans l’économie numérique (LCEN). Doivent figurer :
- Nom du responsable + statut juridique + RCS
- Adresse postale
- Email de contact
- Hébergeur (nom + adresse)
- Directeur de la publication
- Numéro TVA si applicable
4. Politique de confidentialité accessible
Page dédiée, lien dans tous les footers, contenant :
- Quelles données collectées
- Pourquoi (finalité)
- Sur quelle base légale (consentement, contrat, intérêt légitime)
- Combien de temps conservées
- Avec qui partagées (sous-traitants comme Brevo, Stripe…)
- Droits de l’utilisateur et comment les exercer
5. Formulaires : finalité et base légale
Tout formulaire doit :
- Indiquer pourquoi les données sont collectées (« pour vous recontacter au sujet de votre projet »)
- Cocher manuellement le consentement marketing séparément du consentement de contact
- Mentionner les droits RGPD (lien vers la politique de confidentialité)
6. Adresse de contact RGPD
Sur la politique de confidentialité, indiquer :
- Email dédié (ex :
rgpd@votre-domaine.fr) ou un email général - Délai de réponse (1 mois max selon RGPD)
- Possibilité de saisir la CNIL en cas de désaccord
7. Hébergement en UE
Recommandé : hébergement France ou UE pour éviter les questions de transfert de données.
- ✅ OVHcloud, Scaleway, Clever Cloud, Hetzner (DE), Cloudflare (avec data localization France)
- ⚠️ AWS US, Azure US — possible mais nécessite des clauses contractuelles types et l’accord de la CNIL pour certains usages
8. HTTPS sur tout le site
- Certificat SSL valide (Let’s Encrypt suffit, gratuit)
- Redirection automatique HTTP → HTTPS
- Pas de mixed content (CSS / images chargés en HTTP sur une page HTTPS)
- HSTS activé pour les sites sensibles
9. Droits utilisateurs
L’utilisateur peut demander à tout moment :
- Accès à ses données
- Rectification des données erronées
- Suppression (“droit à l’oubli”)
- Portabilité (export dans un format réutilisable)
- Opposition au traitement
- Limitation du traitement
L’entreprise doit pouvoir traiter ces demandes en moins d’un mois.
10. Registre des traitements
Obligatoire pour :
- Entreprises de plus de 250 personnes
- Traitements à risque ou portant sur des données sensibles (santé, opinions politiques, etc.)
- Toutes les entreprises selon les recommandations CNIL (de plus en plus large)
Format simple : Excel ou outil dédié (RGPD compliant), liste des traitements, finalités, durées, sous-traitants.
11. Durée de conservation
Pour chaque type de donnée, définir une durée :
- Email newsletter : tant que l’utilisateur ne se désinscrit pas
- Demande de devis non concrétisée : 3 ans
- Facture client : 10 ans (obligation comptable)
- Logs serveur : 6 mois à 1 an
12. Sécurité technique
- Mots de passe forts pour tous les accès admin (gestionnaire type 1Password)
- Mises à jour de sécurité régulières (CMS, plugins, dépendances)
- Sauvegardes quotidiennes ou hebdomadaires hors site
- Chiffrement des données sensibles en base
- Authentification 2FA pour les accès admin
Pourquoi un site sur-mesure facilite la conformité
Avec WordPress, chaque plugin tiers ajoute une dépendance qu’il faut surveiller. Avec un site sur-mesure :
- Vous savez exactement quelles données sont collectées et où elles vont
- Pas de plugin SEO qui envoie des stats à un serveur tiers
- Pas de thème commercial qui charge 30 scripts externes
- Hébergement choisi par vous, en France si vous voulez
- Code auditable, vous voyez ce qui se passe
FAQ
Mon site n’a qu’un formulaire de contact, le RGPD s’applique-t-il ?
Oui. Dès qu’il y a collecte d’au moins une donnée personnelle (un email suffit), le RGPD s’applique. Mais les obligations restent simples : finalité claire, conservation limitée, mentions légales et politique de confidentialité.
Une simple bannière cookie « OK » suffit-elle ?
Non. Depuis 2020, la CNIL exige que refuser soit aussi facile qu’accepter. Une bannière avec uniquement « OK » est non conforme. Il faut au minimum « Accepter / Refuser / Personnaliser » au même niveau.
Quelle amende pour un site non conforme ?
- Avertissement pour les premières infractions mineures
- Mise en demeure publique
- Amendes administratives : jusqu’à 20 millions d’euros ou 4 % du CA mondial, le plus élevé étant retenu
- Plainte civile des utilisateurs lésés
En 2025, la CNIL a sanctionné des TPE et PME (pas seulement les GAFAM), avec des amendes de 5 000 € à 50 000 € pour des sites professionnels mal configurés.
Faut-il un DPO (délégué à la protection des données) ?
Obligatoire pour :
- Les organismes publics
- Les entreprises dont l’activité principale implique un suivi régulier et systématique à grande échelle (grandes plateformes, e-commerce massif)
- Les traitements de données sensibles à grande échelle
Pour la majorité des artisans et TPE : non obligatoire, mais désigner un référent RGPD interne est une bonne pratique.
Et si je n’ai pas de site, juste une page Facebook professionnelle ?
Le RGPD s’applique aussi à votre page Facebook (responsabilité conjointe avec Facebook Ireland Ltd selon la CJUE). Mais la majorité des obligations techniques retombent sur Facebook.
Pour aller plus loin
- CNIL — Guide RGPD pour les TPE/PME
- Combien coûte un site internet en 2026 ?
- Wix vs WordPress vs sur-mesure : comparatif chiffré
- Développeur freelance ou agence : que choisir ?
Vous voulez auditer votre site existant ou en créer un conforme dès le départ ? Réservez un appel découverte gratuit — 30 minutes pour identifier les points à corriger.