RGPD et site internet en 2026 : obligations légales pour les entreprises françaises

Le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis 2018, mais en 2026, la CNIL intensifie ses contrôles et les sanctions tombent — y compris pour les PME et les sites de petite taille. Bandeau cookies non conforme, formulaires sans consentement explicite, mentions légales incomplètes : ces manquements peuvent vous coûter jusqu'à 4% de votre chiffre d'affaires ou 20 millions d'euros d'amende. Voici exactement ce que votre site internet doit respecter pour être en conformité, expliqué simplement par Digital Nice.

// Les obligations RGPD pour un site internet

• Recueillir le consentement explicite avant de déposer des cookies non essentiels (analytics, publicité, réseaux sociaux) — le simple fait de naviguer sur le site ne constitue pas un consentement
• Informer les utilisateurs de manière claire et accessible sur l'utilisation de leurs données personnelles via une politique de confidentialité complète
• Permettre aux utilisateurs d'exercer leurs droits : accès, rectification, suppression, portabilité et opposition au traitement de leurs données
• Sécuriser les données collectées : chiffrement HTTPS obligatoire, protection des bases de données, accès restreint aux données personnelles
• Tenir un registre des traitements de données : documenter quelles données vous collectez, pourquoi, combien de temps vous les conservez et qui y a accès
• Désigner un DPO (Délégué à la Protection des Données) si votre activité implique un traitement à grande échelle de données personnelles
• Notifier la CNIL et les personnes concernées en cas de violation de données dans un délai de 72 heures

// Le bandeau cookies en 2026

Le bandeau cookies est l'élément RGPD le plus visible de votre site — et le plus souvent mal implémenté. La CNIL a durci ses lignes directrices : le consentement doit être libre, spécifique, éclairé et univoque. Concrètement, votre bandeau doit permettre de refuser les cookies aussi facilement que de les accepter, sans design trompeur (dark patterns). Les murs de cookies ("acceptez ou quittez le site") sont interdits. Et les cookies ne doivent pas être déposés avant que l'utilisateur ait fait son choix.

• Bouton "Accepter" et "Refuser" de même taille et même visibilité — pas de bouton refus caché ou grisé
• Liste détaillée des cookies par catégorie : essentiels, analytiques, publicitaires, réseaux sociaux — l'utilisateur doit pouvoir choisir par catégorie
• Aucun cookie non essentiel déposé avant le consentement — vérifiez avec un outil comme Cookiebot ou la CNIL Cookie Scanner
• Consentement renouvelé tous les 13 mois maximum — ne gardez pas un consentement indéfiniment
• Preuve de consentement conservée : horodatage, version du bandeau, choix effectué — en cas de contrôle CNIL, vous devez pouvoir prouver le consentement

// Les formulaires de contact

Chaque formulaire de votre site qui collecte des données personnelles (nom, email, téléphone) doit respecter le principe de minimisation : ne demandez que les données strictement nécessaires au traitement. Un formulaire de contact n'a pas besoin de la date de naissance ni de l'adresse postale. Vous devez également informer l'utilisateur de la finalité du traitement ("Vos données seront utilisées uniquement pour répondre à votre demande"), de la durée de conservation et de ses droits. Une case à cocher non pré-cochée pour accepter la politique de confidentialité est recommandée mais pas toujours obligatoire — en revanche, un lien vers votre politique de confidentialité est indispensable.

// Les mentions légales obligatoires

• Identité de l'éditeur : nom ou raison sociale, adresse du siège, numéro de téléphone, email, numéro RCS ou SIRET
• Nom du directeur de la publication (personne physique)
• Coordonnées de l'hébergeur : nom, adresse et numéro de téléphone de l'entreprise qui héberge votre site
• Numéro de TVA intracommunautaire si applicable
• Conditions générales de vente (CGV) si vous vendez en ligne — obligatoires et accessibles avant l'achat
• Capital social de l'entreprise si c'est une société
• Numéro de déclaration CNIL (ou mention du DPO si applicable)

// Les sanctions en cas de non-conformité

La CNIL ne se contente plus de rappels à l'ordre. En 2025, elle a prononcé plus de 30 sanctions financières, y compris contre des PME. Les amendes peuvent atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros (le montant le plus élevé étant retenu). Mais au-delà des amendes, une mise en demeure publique de la CNIL détruit votre réputation en ligne. Pour les petites structures, la CNIL applique des amendes proportionnées mais réelles : de 5 000 à 50 000 € pour les manquements les plus courants (bandeau cookies non conforme, absence de mentions légales, formulaires sans information). La CNIL peut aussi ordonner la suppression des données collectées illégalement, ce qui peut paralyser votre activité commerciale.

// Comment se mettre en conformité

• Étape 1 — Audit de conformité : passez en revue toutes les pages de votre site, identifiez chaque point de collecte de données (formulaires, cookies, tracking) et vérifiez la conformité de chacun
• Étape 2 — Mise à jour du bandeau cookies : implémentez une solution conforme (Tarteaucitron, Axeptio, Cookiebot) qui bloque les cookies avant consentement et offre un vrai choix à l'utilisateur
• Étape 3 — Rédaction des pages légales : mentions légales, politique de confidentialité et CGV (si e-commerce) rédigées par un professionnel ou validées par un juriste
• Étape 4 — Sécurisation technique : HTTPS, chiffrement des données en base, sauvegardes régulières, accès restreint aux données personnelles et mise à jour des CMS et plugins
• Étape 5 — Formation et documentation : formez votre équipe aux bonnes pratiques RGPD, tenez à jour votre registre des traitements et documentez vos procédures en cas de violation de données