RGPD, cookies, tracking : ce qu’une petite entreprise doit vraiment savoir

  • Site Vitrine, Sites internet

Partager sur les réseaux sociaux

En résumé : Le RGPD, les cookies, le tracking, trois mots qui font peur à beaucoup de dirigeants de TPE. Et pourtant, les règles sont plus simples qu’on ne le croit. Ce guide vous explique ce que vous devez vraiment faire en 2026 pour être en conformité, ce que vous risquez si vous ne l’êtes pas, et les outils gratuits pour vous mettre à jour sans vous ruiner. Sans jargon juridique et sans vous faire peur inutilement.

Sécurité renforcée et protection de la confidentialité

Sommaire

"Le RGPD, c'est pour les grandes entreprises."

On l’entend souvent et pendant longtemps, c’était à moitié vrai : la CNIL (l’autorité française qui contrôle l’application du RGPD) concentrait ses contrôles sur les acteurs les plus importants. Google, Meta, TikTok… Les grandes amendes faisaient les gros titres. Mais ce temps est révolu.

En 2025, 32 % des entreprises contrôlées par la CNIL étaient des PME ou TPE. Et sur les 87 sanctions prononcées, 69 l’ont été via la procédure simplifiée qui cible précisément les petites structures. Si vous pensiez que votre petite entreprise passerait sous les radars, les chiffres disent le contraire.

88 % des sites web français ne sont pas conformes au RGPD et la CNIL utilise désormais des outils de contrôle automatisés qui scannent les sites web à grande échelle. Votre bandeau cookies non conforme peut être détecté sans qu’un agent CNIL ne visite jamais votre site manuellement.

Ce guide est là pour vous aider à comprendre ce qui vous concerne vraiment et à agir concrètement pour vous mettre en règle si besoin.

Le RGPD en 3 minutes : ce que ça veut dire pour vous

Le RGPD (Règlement Général sur la Protection des Données) est une loi européenne entrée en vigueur en 2018. Son principe est simple : toute personne a le droit de savoir ce que vous faites de ses données personnelles, et de choisir si elle vous autorise à les utiliser.

Une donnée personnelle, c’est n’importe quelle information qui permet d’identifier quelqu’un : un nom, une adresse email, un numéro de téléphone, une adresse IP, une localisation GPS

Est-ce que ça vous concerne ?

Oui, si vous avez un site web avec un formulaire de contact.

Oui, si vous envoyez des emails à vos clients.

Oui, si vous utilisez Google Analytics ou Facebook Pixel sur votre site.

Oui, si vous avez une base de données clients (même un simple fichier Excel avec des noms et des emails).

En pratique, toute petite entreprise avec une présence en ligne est concernée.

Ce que le RGPD vous oblige à faire, en résumé :

  • Informer vos clients de ce que vous collectez et pourquoi (via une politique de confidentialité)
  • Obtenir le consentement avant de collecter certaines données (notamment via des cookies)
  • Permettre l’accès et la suppression : si un client vous demande ses données ou veut être oublié, vous devez pouvoir répondre
  • Sécuriser les données que vous stockez
  • Documenter : tenir un registre des traitements de données


Le RGPD impose une logique de preuve : tout doit pouvoir être démontré (consentements, décisions, choix technologiques). En cas de contrôle, l’absence de documentation est souvent plus pénalisante que l’absence d’action elle-même.

Les cookies : c'est quoi, pourquoi, et ce que la CNIL exige

Qu'est-ce qu'un cookie ?

Un cookie, c’est un petit fichier texte déposé sur l’ordinateur ou le téléphone de votre visiteur quand il arrive sur votre site. Il permet de mémoriser des informations : sa session de connexion, ses préférences, ou des données de navigation utilisées à des fins statistiques ou publicitaires.

Il existe plusieurs types de cookies et ils ne sont pas tous soumis aux mêmes règles.

Les cookies exemptés (pas besoin de consentement) :

  • Les cookies strictement nécessaires au fonctionnement du site (panier d’achat, session de connexion, mémorisation des préférences de langue)
  • Les cookies de mesure d’audience strictement anonymisés (avec des conditions précises)


Les cookies qui nécessitent un consentement explicite :

  • Les cookies analytiques (Google Analytics dans sa configuration standard)
  • Les cookies publicitaires (Facebook Pixel, Google Ads)
  • Les cookies de réseaux sociaux (boutons de partage, vidéos YouTube intégrées)
  • Les cookies de personnalisation de contenu

Ce que la CNIL exige exactement pour votre bandeau cookies

La CNIL a estimé que l’intégration d’un bouton « Tout refuser » sur le même niveau et sur le même format que le bouton « Tout accepter » permet d’offrir un choix clair et simple pour l’internaute. En revanche, la seule présence d’un bouton « Paramétrer » en complément du bouton « Tout accepter » tend à dissuader le refus et ne permet pas de se mettre en conformité.

En clair, votre bandeau cookies doit :

  • Apparaître avant tout dépôt de cookie non essentiel
  • Proposer « Accepter » et « Refuser » avec la même visibilité — le refus ne doit pas être plus difficile que l’acceptation
  • Permettre de retirer son consentement à tout moment aussi facilement qu’il a été donné
  • Ne pas pré-cocher des cases ou utiliser des cases par défaut sur « oui »


Ce qui est non conforme et sanctionnable :

Ce que font beaucoup de sites

Ce que la CNIL considère comme non conforme

« Nous utilisons des cookies, OK » avec un seul bouton

Aucune possibilité de refuser = non conforme

Bouton « Accepter » en vert, « Paramétrer » en gris discret

Dissuasion du refus = non conforme

Cookies déposés avant que l’utilisateur ait cliqué

Dépôt sans consentement = non conforme

Bandeau qui réapparaît à chaque visite

Si le consentement a été donné, ne pas le mémoriser = non conforme

Cookie wall (accès au site conditionné à l’acceptation)

Consentement forcé = généralement non conforme

En 2025, 21 organismes ont été sanctionnés pour non-respect des règles de consentement liées aux cookies notamment pour dépôt sans consentement valide, information insuffisante des utilisateurs ou absence de prise en compte du refus.

Le tracking : Google Analytics, Facebook Pixel, et le reste

Google Analytics : oui, mais avec précautions

Google Analytics est l’outil de mesure d’audience le plus utilisé au monde. Il vous dit combien de visiteurs arrivent sur votre site, d’où ils viennent, quelles pages ils consultent. C’est utile voire indispensable pour piloter votre présence en ligne.

Mais depuis 2022, Google Analytics (dans ses versions précédentes) a été déclaré non conforme au RGPD par plusieurs autorités européennes, dont la CNIL, en raison du transfert de données vers des serveurs américains.

Ce qui est valide en 2026 : Google Analytics 4 (GA4) est conforme à condition d’activer l’anonymisation IP, de désactiver les fonctionnalités publicitaires, et de recueillir le consentement avant activation.

En pratique : si votre bandeau cookies conditionne l’activation de GA4 au consentement de l’utilisateur et que GA4 est correctement configuré, vous êtes en règle.

Alternative sans consentement : Matomo (anciennement Piwik) est une alternative open source hébergeable sur vos propres serveurs, qui peut être configurée pour être totalement anonyme et donc exempte de consentement. C’est la solution recommandée par la CNIL pour les sites qui veulent des statistiques sans bandeau cookies.

Facebook Pixel et Google Ads

Ces outils permettent de suivre les visiteurs de votre site pour leur ré-afficher des publicités sur les réseaux sociaux ou dans Google. Ils sont très puissants pour le marketing mais très sensibles d’un point de vue RGPD.

Ils ne peuvent être activés qu’avec le consentement explicite de l’utilisateur. Pas de consentement = pas de pixel actif. Votre outil de gestion des cookies (CMP) doit être capable de bloquer le pixel jusqu’à ce que l’utilisateur accepte.

Les vidéos YouTube et les polices Google

C’est souvent là que les TPE et artisans se font surprendre. Une vidéo YouTube intégrée dans votre page, une police Google Fonts chargée depuis les serveurs de Google ces deux éléments transmettent l’adresse IP de vos visiteurs à Google sans leur consentement explicite.

La solution simple : hébergez vos polices localement sur votre serveur, et remplacez les vidéos YouTube intégrées par des aperçus avec un bouton « Charger la vidéo » qui ne s’active qu’au clic. La plupart des outils de gestion cookies (Tarteaucitron, CookieYes) le font automatiquement.

Ce que vous risquez vraiment en 2026

Soyons honnêtes : une TPE de 3 personnes sans données sensibles n’encourt pas les mêmes risques qu’une multinationale. Mais les risques sont bien réels et ils ont changé de nature.

Les sanctions financières

Les amendes peuvent atteindre 10 millions d’euros ou 2 % du CA mondial pour les manquements techniques, et 20 millions d’euros ou 4 % du CA pour les manquements fondamentaux (transparence, droits, sécurité).

Pour une TPE, ces plafonds sont théoriques. En pratique, les sanctions contre les petites structures sont beaucoup plus modestes mais elles existent. En 2025, plus de 60 % des 280 sanctions prononcées concernaient des PME.

Le risque de plainte client

N’importe lequel de vos clients peut déposer une plainte auprès de la CNIL s’il estime que ses données ont été mal traitées. La CNIL est tenue d’instruire toutes les plaintes. Et pour une TPE, recevoir une demande formelle de la CNIL, même sans sanction finale, c’est du temps perdu, du stress, et une image abîmée.

Ce qui déclenche vraiment les contrôles

La CNIL utilise désormais des outils de contrôle automatisés qui scannent les sites web à grande échelle. Un bandeau cookies non conforme peut être détecté sans qu’un agent CNIL ne visite jamais le site manuellement.

Ce qui déclenche un contrôle : un bandeau cookies manquant ou mal configuré, une plainte d’un client ou d’un concurrent, un signalement d’associations comme NOYB ou La Quadrature du Net, ou un contrôle sectoriel de la CNIL sur votre domaine d’activité.

La checklist de conformité en 8 points

Voici ce qu’une TPE doit avoir en place pour être en règle. Pas de la perfection mais de l’essentiel.

✅ 1. Un bandeau cookies conforme

Votre site doit afficher un bandeau cookies avec deux boutons de même niveau : « Accepter » et « Refuser ». Aucun cookie non essentiel ne doit se déposer avant le choix de l’utilisateur. Le choix doit être mémorisé (pas de bandeau à chaque visite).

✅ 2. Une politique de confidentialité accessible

Une page « Politique de confidentialité » (ou « Mentions légales et RGPD ») doit être accessible depuis toutes les pages de votre site, généralement via un lien en pied de page. Elle doit expliquer : quelles données vous collectez, pourquoi, combien de temps vous les conservez, et comment les utilisateurs peuvent exercer leurs droits.

Générateur gratuit : CNIL – modèle de politique de confidentialité et Iubenda (freemium, génère automatiquement une politique conforme).

✅ 3. Des mentions légales complètes

Nom de l’entreprise, forme juridique, adresse, SIRET, contact : ces informations doivent figurer sur votre site. C’est une obligation légale indépendante du RGPD, mais souvent vérifiée en même temps.

✅ 4. Google Analytics 4 correctement configuré

Si vous utilisez GA4, vérifiez que : l’anonymisation IP est activée, les fonctionnalités publicitaires sont désactivées, et GA4 ne se charge qu’après consentement de l’utilisateur.

✅ 5. Vos formulaires avec case de consentement

Chaque formulaire de contact ou de newsletter doit inclure une case à cocher non pré-cochée, avec un texte clair expliquant l’usage des données collectées : « J’accepte que mes données soient utilisées pour traiter ma demande de contact, conformément à notre politique de confidentialité. »

✅ 6. Vos emails de prospection avec option de désinscription

Tout email commercial envoyé à un client ou un prospect doit inclure un lien de désinscription fonctionnel. Et vous ne pouvez prospecter par email que des personnes qui ont explicitement donné leur accord ou vos clients existants pour des services similaires.

✅ 7. Un registre des traitements (même simplifié)

Le RGPD exige de documenter ce que vous faites des données. Pour une TPE, un tableau simple suffit : nom du traitement (ex : « gestion des contacts »), données collectées, finalité, durée de conservation, outils utilisés.

Outil gratuit : La CNIL propose un modèle de registre des traitements téléchargeable directement sur son site.

✅ 8. La sécurité de vos données

Mot de passe robuste sur votre back-office, HTTPS actif sur votre site, mises à jour régulières de votre CMS et de vos plugins. Ce sont les bases et elles sont vérifiées lors des contrôles.

Quelques outils pour se mettre en conformité

Outils

Usage

Lien

Tarteaucitron

Bandeau cookies conforme

tarteaucitron.io

CookieYes

Bandeau cookies + gestion consentement

cookieyes.com

Iubenda

Politique de confidentialité + cookies

iubenda.com

Matomo

Analytics sans consentement (hébergé)

matomo.org

Registre CNIL

Modèle de registre des traitements

cnil.fr

CNIL – Guide TPE

Guide pratique RGPD pour petites entreprises

cnil.fr/fr/tpe-pme

Le cas WordPress : ce qu'il faut vérifier

Si votre site est sous WordPress, voici les vérifications prioritaires :

  • Plugin de cookies : CookieYes, Complianz ou Tarteaucitron sont les plus utilisés et les plus fiables pour WordPress
  • Google Fonts : désactivez le chargement depuis les serveurs Google via un plugin comme « OMGF » (héberge les polices localement)
  • Google Analytics : utilisez le plugin officiel « Site Kit by Google » en activant l’anonymisation IP et le mode consentement
  • Formulaires : vérifiez que Contact Form 7 ou WPForms intègre une case de consentement non pré-cochée

Les 3 erreurs les plus fréquentes chez les TPE

Erreur n°1 : Le bandeau « Nous utilisons des cookies, OK »
Un seul bouton « OK » sans option de refus n’est pas conforme. La CNIL l’a répété à de nombreuses reprises — le refus doit être aussi simple que l’acceptation.

Erreur n°2 : Google Analytics chargé avant le consentement
Beaucoup de sites installent GA4 directement dans le code de la page — ce qui signifie qu’il se charge immédiatement, avant que l’utilisateur ait accepté quoi que ce soit. C’est une violation du RGPD. GA4 doit être conditionné au consentement via votre CMP.

Erreur n°3 : Confondre mentions légales et politique de confidentialité
Ce sont deux choses distinctes. Les mentions légales identifient l’éditeur du site. La politique de confidentialité explique le traitement des données. Les deux sont obligatoires. Les deux doivent être accessibles depuis toutes les pages.

Ce qu'on fait chez Ajeelity

Chez Ajeelity, agence web basée dans la région Lyon / Saint-Étienne, la conformité RGPD est intégrée dans chaque site que nous livrons — pas ajoutée après coup quand le client réalise qu’il a un problème.

Concrètement, chaque site livré par Ajeelity intègre :

  • Un bandeau cookies conforme (Tarteaucitron, axeptio ou CookieYes) configuré selon les règles CNIL 2026 — avec les boutons « Accepter » et « Refuser » au même niveau
  • Une politique de confidentialité rédigée et adaptée à votre activité
  • Des mentions légales complètes
  • Google Analytics 4 configuré avec anonymisation IP et mode consentement activé
  • Des formulaires avec case de consentement non pré-cochée
  • Le HTTPS actif sur l’ensemble du site


Et si vous avez déjà un site et que vous n’êtes pas sûr de votre conformité, on propose un audit RGPD rapide, gratuit, qui vous dit exactement ce qui est en règle et ce qui ne l’est pas.

📞 Demandez votre audit gratuit : 30 minutes pour savoir où vous en êtes et ce qu’il faut corriger.

Ce qu’il faut retenir

Le RGPD n’est pas fait pour vous faire peur. Il est fait pour protéger vos clients et, indirectement, pour protéger votre réputation.

En 2026, les règles sont claires, les outils sont accessibles, et les contrôles sont automatisés. La CNIL a clairement communiqué depuis plusieurs années sur les règles applicables et justifie la sévérité des sanctions en estimant que les acteurs ne peuvent ignorer ces règles.

L’essentiel se résume en 4 actions : un bandeau cookies avec un vrai bouton « Refuser », une politique de confidentialité lisible et accessible, Google Analytics configuré correctement, et des formulaires avec case de consentement.

Ces 4 actions, bien faites, vous mettent hors de portée des contrôles automatisés de la CNIL. Et elles envoient à vos clients un signal de sérieux et de transparence, un avantage concurrentiel que beaucoup de vos concurrents n’ont pas encore compris.

Article rédigé par l’équipe Ajeelity – Agence web et stratégie digitale – Lyon / Saint-Étienne.

Sources : CNIL Bilan sanctions 2025 (cnil.fr, février 2026), DPO Partage / Analyse sanctions CNIL 2025-2026, RGPDKit Bilan 2025, Plateya Cookies RGPD 2026, Bob le développeur Amendes CNIL 2026, Hogan Lovells Panorama CNIL 2025, CIDFP Obligations RGPD 2025, Village Justice / Marie-José Promeneur 2025.

Vous avez un projet de RGPD ? Contactez nous :