La plupart des PME ont un rapport compliqué avec le RGPD. Soit elles paniquent et surréagissent (bannières cookies gigantesques, formulaires de consentement à rallonge), soit elles ignorent le sujet complètement. La réalité est bien plus simple que ce que les consultants RGPD voudraient vous faire croire.
La réalité des bannières cookies
Soyons clairs : si votre site n’utilise que des cookies strictement nécessaires (session, authentification, panier d’achat), vous n’avez pas besoin de bannière cookie. La directive ePrivacy et le RGPD n’exigent le consentement que pour les cookies non essentiels — analytics, publicité, tracking.
Ce que la CNIL exige réellement :
- Consentement préalable pour Google Analytics, Facebook Pixel, et tout tracker tiers.
- Refus aussi simple que l’acceptation : pas de bouton « Refuser » caché ou grisé.
- Pas de « mur de cookies » : interdire l’accès au site en cas de refus est illégal.
- Durée de validité : le consentement doit être redemandé tous les 13 mois maximum.
La solution la plus simple : ne pas utiliser Google Analytics. Des alternatives comme Plausible ou Umami sont conformes RGPD sans consentement (pas de cookies, pas de données personnelles). Vous éliminez le problème à la source.
Ce que la CNIL contrôle vraiment
La CNIL a réalisé plus de 300 contrôles en 2023. Les sanctions visent principalement :
- Les grands groupes qui collectent massivement des données (CNIL a sanctionné Google, Amazon, Microsoft).
- Les violations de données non signalées dans les 72 heures.
- Le démarchage commercial sans consentement (prospection email B2C sans opt-in).
- La vidéosurveillance excessive sur les lieux de travail.
Pour une PME avec un site vitrine, le risque de contrôle est faible. Mais le risque de plainte d’un client ou d’un prospect mécontent est réel. Et une plainte déclenche systématiquement une vérification.
La checklist RGPD concrète pour votre site
Voici ce que vous devez réellement faire, classé par priorité :
Obligatoire immédiatement :
- Page de politique de confidentialité accessible depuis toutes les pages.
- Mentions légales complètes (identité, hébergeur, contact).
- Bannière cookie si vous utilisez des trackers non essentiels.
- Formulaires de contact avec mention de la finalité et durée de conservation.
- HTTPS activé sur tout le site.
Important mais moins urgent :
- Registre des traitements (un simple tableur suffit).
- Procédure de réponse aux demandes d’accès/suppression (délai légal : 1 mois).
- Contrats avec vos sous-traitants qui traitent des données (hébergeur, emaileur, CRM).
- Procédure de notification de violation (72 heures pour prévenir la CNIL).
La politique de confidentialité — ce qu’elle doit contenir
Votre politique de confidentialité doit être lisible par un humain normal, pas par un avocat. Elle doit indiquer :
- Qui collecte : votre identité et vos coordonnées.
- Quelles données : nom, email, téléphone, adresse IP, cookies…
- Pourquoi : la finalité précise de chaque traitement.
- Combien de temps : la durée de conservation (pas « aussi longtemps que nécessaire »).
- Avec qui : les destinataires (hébergeur, outils tiers, etc.).
- Les droits des personnes : accès, rectification, suppression, portabilité, opposition.
- Comment exercer ces droits : une adresse email de contact suffit.
La CNIL propose des modèles gratuits de politique de confidentialité sur son site. Partez de là plutôt que de payer 500 € un générateur en ligne. Adaptez-le à votre cas en 30 minutes.
Conclusion
Le RGPD n’est pas un monstre bureaucratique. Pour une PME avec un site web classique, la mise en conformité se fait en quelques heures, pas en quelques mois. L’essentiel : être transparent sur ce que vous collectez, pourquoi, et donner aux gens le contrôle sur leurs données.
Ne laissez pas la peur du RGPD vous paralyser. Et ne payez pas 5 000 € un audit RGPD quand un tableur et une bonne politique de confidentialité suffisent.
Besoin d’un site conforme RGPD sans prise de tête ? Parlons-en — on intègre la conformité dès la conception.