Est-ce que le RGPD me concerne avec mon petit site ?
Réponse courte : oui, dès que vous collectez la moindre donnée personnelle. Et un mail entré dans un formulaire de contact, c'est une donnée personnelle.
Réponse longue : l'intensité de la mise en conformité est proportionnée à votre activité. Un site vitrine d'artisan avec un simple formulaire de contact n'a pas les mêmes obligations qu'un e-commerce qui revend des données ou qu'un cabinet médical. Pour un site vitrine classique, on parle de 5 actions concrètes, faisables en quelques heures.
Et soyons clairs : la CNIL ne traque pas les sites vitrines de TPE. Mais une plainte d'un visiteur — ou un client tatillon qui le demande — peut déclencher une mise en demeure. Autant être propre dès le départ : ça rassure aussi vos clients.
Les 5 obligations concrètes pour un site vitrine
1. Les mentions légales
Obligation indépendante du RGPD (article 6 de la LCEN, 2004), mais incontournable. Elles doivent figurer dans une page accessible depuis chaque page du site (en pied de page). Au minimum :
- Identité de l'éditeur (nom, statut juridique, adresse, SIRET, capital social si société) ;
- Directeur de la publication ;
- Coordonnées de l'hébergeur (nom, adresse, téléphone) ;
- Numéro de TVA si vous y êtes assujetti.
2. La politique de confidentialité
Un document qui explique ce que vous faites des données collectées. Souvent fusionné avec les mentions légales sur un site vitrine simple. Il doit indiquer :
- Quelles données sont collectées (nom, email, téléphone via le formulaire) ;
- Pour quelle finalité (répondre à une demande de devis, par exemple) ;
- Sur quelle base légale (le consentement de la personne qui remplit le formulaire suffit pour ce cas) ;
- Combien de temps vous conservez les données (3 ans maximum après le dernier échange, par exemple) ;
- Les droits de la personne : accès, rectification, effacement, opposition, et le moyen de les exercer (un email de contact) ;
- La mention du recours possible auprès de la CNIL.
3. Le formulaire de contact, fait correctement
Trois règles simples à respecter sur tout formulaire :
- Ne demandez que ce qui est nécessaire à la finalité (principe de minimisation). Pour un devis, le prénom et l'email suffisent souvent. Pas besoin de date de naissance.
- Affichez une mention courte sous le formulaire : « Les informations recueillies sont utilisées uniquement pour répondre à votre demande. Conservation 3 ans. Voir notre politique de confidentialité. »
- Une case à cocher pour la newsletter est obligatoire si vous voulez ajouter le contact à une liste mail (Brevo, Mailchimp). Cocher cette case doit être actif (case décochée par défaut) et distinct du formulaire principal.
4. Les cookies (si vous en utilisez)
C'est là que beaucoup de TPE se trompent. La règle est en réalité simple :
- Pas de cookies non essentiels = pas de bandeau obligatoire. Si votre site n'utilise que des cookies techniques (panier, session, langue), aucun bandeau RGPD n'est exigé.
- Cookies de tracking (Google Analytics, Meta Pixel, Hotjar, Matomo non anonymisé…) = bandeau de consentement obligatoire. Le visiteur doit pouvoir refuser aussi facilement qu'accepter, et le cookie n'est déposé qu'après son acceptation explicite.
Le bandeau « OK » qui dépose tout en arrière-plan dès l'ouverture est non conforme depuis 2020. La CNIL sanctionne ça.
5. La sécurité technique
Le RGPD impose des mesures de sécurité « appropriées ». Pour un site vitrine, ça se traduit par :
- HTTPS partout (certificat SSL valide, redirection automatique HTTP → HTTPS) ;
- Site et CMS à jour (versions sécurisées) ;
- Mots de passe forts sur l'admin ;
- Sauvegardes régulières.
Les fausses peurs courantes
« Je vais devoir nommer un DPO »
Non. Un Délégué à la Protection des Données est obligatoire seulement pour les autorités publiques, les organismes qui font du suivi à grande échelle, ou ceux qui traitent des données sensibles à grande échelle (santé, opinions politiques, etc.). Un artisan avec un formulaire de contact ne nomme pas de DPO.
« Je peux pas utiliser Brevo / Mailchimp »
Si, sans problème. Ces outils sont conformes RGPD. Il faut juste mentionner que vous utilisez un sous-traitant pour l'emailing dans votre politique de confidentialité, et que les emails sont collectés avec consentement.
« Je dois déclarer mon site à la CNIL »
Non. Les déclarations préalables à la CNIL ont été supprimées en 2018 avec le RGPD. Vous tenez un registre des traitements en interne (un simple document Excel ou Word), c'est tout.
« Une erreur = 4 millions d'euros d'amende »
Faux. Les amendes proportionnelles vont jusqu'à 4 % du chiffre d'affaires, mais elles visent les manquements graves, intentionnels ou répétés. Pour une TPE de bonne foi qui corrige après mise en demeure : zéro amende dans la quasi-totalité des cas. La CNIL privilégie la pédagogie sur les petites structures.
Le cas le plus simple : site vitrine sans tracking
Si votre site vitrine n'a pas de Google Analytics, pas de Meta Pixel, pas de bouton Facebook qui charge un script externe — juste votre contenu et un formulaire de contact — vous êtes dans le cas le plus simple :
- Mentions légales + politique de confidentialité dans une page ;
- Mention sous le formulaire (1 phrase) ;
- HTTPS actif ;
- Aucun bandeau cookies obligatoire.
C'est tout. 1 à 2 heures de travail pour être conforme.
Bonne nouvelle : de plus en plus de sites vitrines TPE choisissent volontairement de ne pas mettre Google Analytics, justement pour éviter le bandeau et la complexité RGPD. Les statistiques de fréquentation se gèrent très bien avec des alternatives respectueuses (Plausible, Matomo en mode anonymisé) — ou avec les données fournies par votre hébergeur.
Votre check-list de conformité
- Mentions légales en pied de page, accessibles depuis chaque page
- Politique de confidentialité : finalité, base légale, durée, droits
- Formulaire : champs minimisés + mention de la finalité + opt-in distinct pour la newsletter
- Cookies : pas de tracker = pas de bandeau ; tracker = bandeau de consentement conforme
- HTTPS partout + site à jour
- Registre interne des traitements (document privé, pas à publier)
Que se passe-t-il en cas de non-conformité ?
En pratique, et c'est important de le dire honnêtement : la CNIL ne va pas auditer votre site vitrine. Vous n'êtes pas dans le radar des contrôles d'office.
Le scénario réaliste, c'est une plainte d'un visiteur (souvent un concurrent ou un client mécontent). La CNIL examine, vous envoie une mise en demeure avec 1 à 3 mois pour corriger, vous corrigez, dossier clos. Pas d'amende.
Les amendes médiatisées (Amazon, Meta, Clearview AI…) visent des manquements à grande échelle, intentionnels et répétés. Aucune TPE artisanale de bonne foi ne se retrouve avec 4 % de son CA en amende RGPD.
Votre site, conforme RGPD dès la livraison
Je crée gratuitement des sites internet professionnels — avec mentions légales, politique de confidentialité, formulaire conforme et HTTPS inclus dès la mise en ligne. Aucune galère RGPD à gérer de votre côté.
Demander mon site gratuit →En résumé
Le RGPD pour un site vitrine TPE, c'est 5 actions concrètes, faisables en quelques heures. Mentions légales, politique de confidentialité, formulaire bien construit, cookies traités correctement (ou évités), sécurité technique de base.
Pas de DPO, pas de déclaration à la CNIL, pas de panique. Et la CNIL, pour une TPE de bonne foi, ne distribue pas d'amendes — elle envoie des mises en demeure, vous corrigez, c'est terminé.
Questions fréquentes
Le RGPD concerne-t-il un site internet sans formulaire ?
Si votre site ne collecte AUCUNE donnée personnelle (pas de formulaire, pas de cookies de tracking, pas d'inscription), le RGPD s'applique de manière très limitée. Les mentions légales restent obligatoires (article 6 LCEN, indépendant du RGPD), mais vous n'avez pas de traitement de données à déclarer. Dès que vous ajoutez un formulaire de contact ou un cookie de tracking, le RGPD s'applique pleinement.
Faut-il obligatoirement un bandeau cookies sur un site vitrine ?
Non, pas systématiquement. Si vous ne déposez aucun cookie non essentiel (pas de Google Analytics, pas de Meta Pixel, pas de tracker tiers), aucun bandeau n'est obligatoire. Si vous utilisez le moindre tracker, alors oui : il faut un bandeau permettant de refuser AVANT le dépôt du cookie.
Faut-il s'inscrire à la CNIL ?
Non. Depuis 2018 (entrée en vigueur du RGPD), il n'y a plus de déclaration obligatoire à la CNIL pour la plupart des traitements. Vous devez tenir un registre interne de vos traitements (article 30 RGPD), mais c'est un document privé, pas une démarche administrative.
Quel risque réel en cas de non-conformité pour une TPE ?
La CNIL ne cherche pas le micro-site vitrine non conforme. En pratique, une plainte d'un visiteur peut déclencher une mise en demeure : la CNIL vous demande de corriger sous 1 à 3 mois, vous corrigez, dossier clos. Les amendes lourdes (jusqu'à 4 % du CA) visent les manquements graves et répétés. Pour une TPE de bonne foi qui corrige rapidement, le risque réel est minime.