Aller au contenu principal
ConformeCheck

RGPD pour les PME : obligations et mise en conformité en 2026

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018, mais huit ans plus tard, de nombreuses PME françaises ne sont toujours pas en conformité. En 2025, la CNIL a prononcé près de 486 millions d’euros d’amendes, et 32 % des entreprises sanctionnées étaient des TPE ou PME. Ce guide vous explique concrètement ce que vous devez faire pour mettre votre site web en conformité.

Qu’est-ce que le RGPD ?

Le RGPD (Règlement UE 2016/679) est le texte européen qui encadre le traitement des données personnelles. Il s’applique à toute entreprise qui collecte, stocke ou utilise des données de résidents européens, quelle que soit sa taille. Contrairement à une idée reçue très répandue, le RGPD ne concerne pas uniquement les grandes entreprises ou les GAFAM : il s’applique de la même manière à une boulangerie qui gère un fichier clients qu’à un groupe du CAC 40.

Une donnée personnelle, au sens du RGPD, c’est toute information permettant d’identifier directement ou indirectement une personne physique : nom, adresse email, adresse IP, numéro de téléphone, identifiant de cookie, données de localisation, etc. Dès lors que votre site web collecte ne serait-ce qu’une adresse email via un formulaire de contact, vous êtes concerné.

Le RGPD repose sur six principes fondamentaux (article 5) : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité. Chaque traitement de données que vous effectuez doit respecter ces six principes.

Les obligations spécifiques aux PME

Le registre des activités de traitement

L’article 30 du RGPD impose à toute entreprise de plus de 250 salariés de tenir un registre des traitements. Cependant, cette obligation s’étend aux PME de moins de 250 salariés dès lors que le traitement n’est pas occasionnel, qu’il porte sur des données sensibles, ou qu’il présente un risque pour les droits et libertés des personnes. En pratique, dès que vous avez un formulaire de contact, une newsletter ou un espace client, vous devez tenir un registre.

Ce registre doit lister : la finalité de chaque traitement, les catégories de données collectées, les destinataires, les durées de conservation et les mesures de sécurité. La CNIL met à disposition un modèle simplifié pour les PME sur son site.

Le Délégué à la Protection des Données (DPO)

La désignation d’un DPO n’est obligatoire que dans trois cas (article 37) : organismes publics, traitements à grande échelle de données sensibles, ou suivi systématique à grande échelle. La majorité des PME n’ont donc pas l’obligation légale de désigner un DPO. Néanmoins, la CNIL recommande fortement de désigner un référent interne chargé de la conformité RGPD, même de manière informelle.

Le consentement aux cookies et traceurs

C’est le point le plus visible pour vos visiteurs, et le plus contrôlé par la CNIL. Depuis les lignes directrices de 2020 et la recommandation du 17 septembre 2020 (délibération n° 2020-091), les règles sont claires : aucun cookie non essentiel ne doit être déposé avant le consentement explicite de l’utilisateur. Cela inclut Google Analytics, les pixels Facebook, les boutons de partage social et tout script tiers de tracking.

Le bandeau de consentement doit proposer un bouton « Refuser » aussi visible que le bouton « Accepter ». Continuer la navigation ne vaut pas consentement. Les cases ne doivent pas être pré-cochées. Le consentement doit être renouvelé tous les 13 mois maximum.

La politique de confidentialité

Les articles 13 et 14 du RGPD imposent d’informer les personnes concernées de manière claire, concise et transparente. Votre politique de confidentialité doit obligatoirement mentionner : l’identité du responsable de traitement, les finalités et bases juridiques de chaque traitement, les destinataires des données, les durées de conservation, les droits des personnes (accès, rectification, effacement, portabilité, opposition), et le droit de réclamation auprès de la CNIL.

Les sanctions CNIL en 2025 : chiffres clés

L’année 2025 a marqué un tournant dans la politique répressive de la CNIL. Les chiffres parlent d’eux-mêmes :

  • 486 millions d’euros d’amendes prononcées au total
  • 32 % des entreprises sanctionnées étaient des TPE ou PME
  • 87 mises en demeure adressées à des sites web pour non-conformité des cookies
  • 16 100 plaintes reçues, un record historique
  • Montant moyen d’une amende pour une PME : entre 5 000 et 50 000 €

Important : depuis 2022, la CNIL dispose d’une procédure de sanction simplifiée qui lui permet de prononcer des amendes jusqu’à 20 000 € sans passer par la formation restreinte. Cette procédure vise spécifiquement les manquements « simples » des PME : absence de bandeau cookies, politique de confidentialité manquante, formulaire sans consentement.

Checklist : 10 points à vérifier sur votre site

Voici les 10 points essentiels que tout dirigeant de PME devrait vérifier sur son site web dès aujourd’hui :

  1. Bandeau cookies conforme — Un bouton « Accepter » et un bouton « Refuser » de même taille et visibilité. Pas de « continuer = accepter ».
  2. Aucun tracker avant consentement — Google Analytics, Meta Pixel, HubSpot, Hotjar : aucun script de tracking ne doit se charger tant que l’utilisateur n’a pas cliqué sur « Accepter ».
  3. Politique de confidentialité complète — Identité du responsable, finalités, bases légales, durées de conservation, droits des personnes, contact DPO ou référent.
  4. Formulaires avec consentement explicit — Chaque formulaire collectant des données personnelles doit comporter une mention d’information et une case à cocher (non pré-cochée) pour le consentement.
  5. HTTPS actif sur tout le site — Le chiffrement des échanges est une mesure de sécurité de base exigée par le RGPD (article 32).
  6. Mentions légales présentes — Obligatoires au titre de la LCEN (loi n° 2004-575), elles doivent inclure raison sociale, SIRET, adresse, hébergeur.
  7. Registre des traitements à jour — Même simplifié, ce document doit exister et être actualisé.
  8. Durées de conservation définies — Chaque type de donnée doit avoir une durée de conservation justifiée et documentée.
  9. Processus de réponse aux droits — Vous devez pouvoir répondre à une demande d’accès, de rectification ou d’effacement sous 30 jours (article 12).
  10. Sous-traitants encadrés — Tout prestataire ayant accès aux données (hébergeur, CRM, outil emailing) doit être lié par un contrat conforme à l’article 28 du RGPD.

Les erreurs les plus fréquentes des PME

Après avoir analysé des milliers de sites de PME françaises, voici les erreurs que nous constatons le plus souvent :

1. Le pré-cochage des cookies

De nombreux sites utilisent un bandeau cookies où les catégories « analytics » et « marketing » sont déjà cochées. La CJUE a clairement jugé que cela ne constitue pas un consentement valide (arrêt Planet49, C-673/17, 1er octobre 2019). La CNIL sanctionne systématiquement cette pratique.

2. Les traceurs chargés avant le consentement

C’est l’erreur technique la plus répandue. Le script Google Analytics est placé dans le <head> du site et s’exécute immédiatement, avant même que le bandeau cookies ne s’affiche. Résultat : des cookies sont déposés sans consentement. La CNIL a sanctionné cette pratique chez des dizaines d’entreprises, avec des amendes allant de 10 000 à 150 000 € pour les PME.

3. L’absence de politique de confidentialité

Environ 40 % des sites de PME que nous analysons n’ont aucune page de politique de confidentialité, ou une page si générique qu’elle ne remplit pas les exigences des articles 13 et 14 du RGPD. C’est un manquement sanctionnable immédiatement, sans même qu’un utilisateur porte plainte.

4. Les formulaires sans information

Un formulaire de contact qui demande nom, email et téléphone sans aucune mention d’information constitue une collecte illicite de données. La CNIL exige qu’au minimum, une mention courte informe du responsable, de la finalité et des droits, avec un lien vers la politique de confidentialité complète.

5. Le transfert de données hors UE non encadré

Utiliser des outils américains (Google, Mailchimp, HubSpot) implique un transfert de données hors de l’Union européenne. Depuis l’invalidation du Privacy Shield (arrêt Schrems II, CJUE, 16 juillet 2020), ces transferts doivent être encadrés par des clauses contractuelles types (CCT) ou le nouveau EU-US Data Privacy Framework. Rares sont les PME qui ont vérifié ce point.

Comment ConformeCheck peut vous aider

ConformeCheck est un outil d’audit automatisé conçu spécifiquement pour les PME françaises. En 30 secondes, notre scanner analyse votre site web et vérifie les points clés de conformité RGPD :

  • Détection des cookies et traceurs déposés avant consentement
  • Vérification de la présence et de la conformité du bandeau cookies
  • Analyse de la politique de confidentialité
  • Vérification des mentions légales
  • Audit de sécurité (HTTPS, en-têtes de sécurité)
  • Contrôle de l’accessibilité (RGAA / WCAG)

Le rapport gratuit vous montre les problèmes les plus critiques. Le rapport complet (29 €) détaille chaque non-conformité avec les références légales, les risques d’amende associés et les actions correctives à mettre en place.