Tout les articles

RGPD et site internet pour PME : obligations et bonnes pratiques 2025

Écrit par Agence Web ReisTech le March 9, 2026

#RGPD#Site internet PME#Conformité#Cookies#CNIL

RGPD : ce n’est pas que pour les grandes entreprises

Beaucoup de dirigeants de PME pensent que le RGPD (Règlement Général sur la Protection des Données) ne les concerne pas. C’est une erreur. Dès lors que votre site internet collecte des données personnelles — formulaire de contact, newsletter, cookies de tracking — vous êtes soumis au RGPD, quelle que soit la taille de votre entreprise.

La CNIL (Commission Nationale de l’Informatique et des Libertés) peut contrôler toute organisation, y compris les TPE et PME. Les amendes peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les cas les plus graves. Pour des infractions courantes sur des sites de PME, les sanctions pratiques sont généralement bien inférieures — mais elles existent et incluent la mise en demeure publique.

Bonne nouvelle : la mise en conformité d’un site de PME est accessible et ne nécessite pas de juriste spécialisé pour l’essentiel.

Les obligations principales d’un site internet en 2025

1. La gestion des cookies

C’est le point le plus visible. Avant de déposer des cookies non essentiels (analytics, publicité, réseaux sociaux) sur le navigateur d’un visiteur, vous devez obtenir son consentement explicite.

Ce que dit la CNIL :

  • Le refus doit être aussi simple que l’acceptation (pas de bouton “Refuser” caché)
  • Le consentement n’est pas valable si la case est pré-cochée
  • L’utilisateur doit pouvoir retirer son consentement aussi facilement qu’il l’a donné

Les cookies strictement nécessaires (fonctionnement du site, panier, session) ne nécessitent pas de consentement.

2. La politique de confidentialité

Votre site doit comporter une page de politique de confidentialité (ou “politique de protection des données”) accessible depuis toutes les pages. Elle doit indiquer :

  • Quelles données vous collectez (nom, email, téléphone, adresse IP…)
  • Pourquoi vous les collectez (contact, newsletter, statistiques…)
  • Combien de temps vous les conservez
  • Qui y a accès (équipe interne, prestataires tiers)
  • Les droits des utilisateurs (accès, rectification, suppression, portabilité)
  • Comment exercer ces droits (adresse email dédiée)

3. Les mentions légales

Obligatoires en France (loi pour la confiance dans l’économie numérique, 2004), les mentions légales doivent indiquer :

  • Raison sociale, adresse, SIRET
  • Responsable de la publication
  • Hébergeur du site

4. Les formulaires de contact

Tout formulaire qui collecte des données personnelles doit être accompagné :

  • D’une case à cocher pour l’acceptation de la politique de confidentialité (non pré-cochée)
  • D’un lien vers ladite politique

5. Le registre des traitements

Toute organisation qui traite des données personnelles doit tenir un registre des activités de traitement. Pour une PME, c’est un document simple qui liste : type de données collectées, finalité, durée de conservation, destinataires.

Google Analytics et le RGPD : le cas particulier

Google Analytics 4 collecte des données sur vos visiteurs et les transfère vers des serveurs aux États-Unis. La CNIL a émis des recommandations strictes à ce sujet.

Pour être conforme :

  • Afficher une bannière de consentement avant l’activation de GA4
  • Activer l’anonymisation des IP
  • Désactiver le partage de données avec Google
  • Envisager des alternatives européennes (Matomo auto-hébergé, Plausible, Umami) qui ne nécessitent pas de consentement car elles ne déposent pas de cookies tiers

Les 5 actions prioritaires pour une PME

  1. Auditer les cookies de votre site : quels cookies sont déposés, pour quelle finalité ?
  2. Installer une bannière de consentement conforme : pas une simple bannière d’information, mais un vrai choix accepter/refuser
  3. Rédiger ou mettre à jour votre politique de confidentialité
  4. Vérifier vos formulaires : case à cocher, lien vers la politique
  5. Créer votre registre des traitements : un tableau Excel suffit pour une PME

RGPD et confiance client

La conformité RGPD n’est pas qu’une obligation légale. C’est aussi un argument de confiance. Afficher clairement votre engagement en matière de protection des données rassure vos prospects — notamment les professionnels et les clients B2B qui vérifient ce type d’information.

Vous souhaitez un site internet conforme RGPD dès le départ ? Contactez ReisTech — nous intégrons la conformité dans chaque projet.

Obtenez votre devis gratuitement !
Logo de l'Agence Web ReisTech AWRT

Agence web française spécialisée dans la création de sites 100/100 PageSpeed, le SEO et la refonte web pour PME et artisans.

Accueil Tarifs Blog Réalisations Avis clients Devis gratuit
© 2025 AWRT — Agence Web ReisTech | Création site internet · Agence SEO · Refonte web Mentions légales