RGPD en 2026 : ce que votre site doit absolument respecter

Introduction : Le RGPD n'est plus réservé aux grandes entreprises

Pendant longtemps, le RGPD était perçu comme une contrainte pour les grandes entreprises — les GAFA, les banques, les opérateurs télécom. Les PME et TPE pouvaient raisonnablement penser qu'elles passeraient entre les mailles du filet.

Cette époque est révolue.

En 2025, la CNIL a prononcé 478 millions d'euros d'amendes — un record historique. Et la tendance 2026 est encore plus claire : 32% des entreprises contrôlées sont des PME et TPE de moins de 250 salariés. La CNIL a officiellement annoncé que les petites structures sont dans son viseur.

Par ailleurs, un chiffre devrait inquiéter même les plus confiants : 92% des entreprises déclarent être conformes au RGPD. Seulement 34% le sont réellement selon les contrôles de la CNIL. L'écart entre la perception et la réalité est massif.

Si votre site collecte des données personnelles — ce qui est quasiment universel : formulaire de contact, cookies analytics, newsletter — vous êtes concerné. Voici ce que vous devez savoir.

Qui est concerné ? (Spoiler : probablement vous)

Le RGPD s'applique à toute organisation qui collecte ou traite des données personnelles de personnes situées dans l'Union européenne, quelle que soit :

Sa taille : une auto-entreprise est autant concernée qu'un groupe international
Sa localisation : une entreprise américaine ciblant des clients français est concernée
Son secteur : e-commerce, BtoB, associatif, institutionnel — tous sans exception

Une donnée personnelle, c'est toute information qui permet d'identifier directement ou indirectement une personne : un prénom + email, une adresse IP, un numéro de téléphone, une localisation, un comportement de navigation si celui-ci est lié à un identifiant.

En pratique : si votre site a un formulaire de contact, un outil analytics (Google Analytics, etc.), un pixel publicitaire ou une newsletter, vous collectez des données personnelles.

Les sanctions qui ont marqué 2025 (et ce qu'elles annoncent pour 2026)

Avant de lister les obligations, un tour d'horizon des sanctions récentes illustre ce qui est en jeu.

Les géants du digital :

Google : 325 millions d'euros (CNIL, septembre 2025)
TikTok : 530 millions d'euros
Shein : 150 millions d'euros
Meta : 251 millions + 91 millions d'euros supplémentaires en 2025

Les acteurs français :

Free : 42 millions d'euros (janvier 2026, violation de données massive)
American Express : 1,5 million pour non-respect des règles sur les traceurs
Condé Nast : 750 000 € pour des cookies non conformes

Au total depuis 2018, ce sont plus de 4,6 milliards d'euros d'amendes qui ont été prononcées à travers l'Europe. Et en 2026, la convergence réglementaire — RGPD + IA Act + NIS 2 + DSA — rend le paysage encore plus complexe et les risques encore plus élevés.

Nouveauté 2026 : les sanctions RGPD peuvent désormais être cumulées avec l'IA Act, portant le maximum théorique à 35 millions d'euros ou 7% du chiffre d'affaires mondial pour les infractions liées à l'intelligence artificielle.

Ce que votre site doit impérativement respecter

1. Une politique de confidentialité claire et accessible

C'est l'obligation la plus visible et l'une des plus souvent bâclées. Votre politique de confidentialité doit expliquer en langage clair (pas du jargon juridique incompréhensible) :

Quelles données vous collectez et pourquoi (finalité)
Qui les traite : vous, vos prestataires (hébergeur, CRM, outil analytics)
Combien de temps vous les conservez
Les droits des personnes : accès, rectification, effacement, portabilité, opposition
Comment exercer ces droits : email de contact, délai de réponse

La politique de confidentialité doit être accessible depuis toutes les pages du site — généralement en pied de page. Si quelqu'un clique sur "Politique de confidentialité" et tombe sur un texte copié-collé qui ne correspond pas à votre activité réelle, c'est non-conforme.

2. Une gestion des cookies conforme

Le cookie banner est l'élément RGPD le plus visible côté utilisateur — et l'un des plus mal implémentés.

Ce qui est obligatoire :

L'utilisateur doit pouvoir refuser aussi facilement qu'accepter. Un bouton "Accepter tout" sans bouton "Refuser" équivalent est illégal. Condé Nast a été condamné à 750 000 € exactement pour cette raison.
Le consentement doit être libre, spécifique, éclairé et univoque. Une case pré-cochée n'est pas un consentement valide.
Les cookies non essentiels (analytics, publicité, réseaux sociaux) ne peuvent pas être déposés avant l'accord de l'utilisateur.
Le refus doit avoir un effet réel : si les cookies sont déposés même après refus, vous êtes en infraction.

Les cookies toujours autorisés sans consentement : Les cookies strictement nécessaires au fonctionnement du site (session de connexion, panier d'achat, préférences de langue).

3. La sécurité des données : le minimum légal

Le RGPD exige que les données personnelles soient protégées par des mesures techniques et organisationnelles appropriées. Ce n'est pas optionnel — c'est une obligation légale.

Le minimum attendu pour un site web :

HTTPS obligatoire : toutes les communications entre le navigateur et votre serveur doivent être chiffrées
Mots de passe forts et hachés : les mots de passe ne doivent jamais être stockés en clair
Mises à jour régulières : CMS (WordPress, etc.), plugins et serveur doivent être à jour
Sauvegardes régulières : pour pouvoir restaurer en cas d'incident
Accès restreint : seules les personnes qui ont besoin des données doivent y avoir accès

Un site WordPress non mis à jour avec des plugins obsolètes qui se fait pirater, entraînant la fuite des emails de vos contacts, c'est une violation de données que vous devez signaler à la CNIL dans les 72 heures.

4. La gestion des droits des personnes

Si quelqu'un vous contacte pour exercer ses droits RGPD — accéder à ses données, les faire modifier, les faire supprimer — vous devez pouvoir répondre dans un délai d'un mois maximum.

Les droits à respecter :

Droit d'accès : la personne peut demander quelles données vous détenez sur elle
Droit de rectification : corriger des informations erronées
Droit à l'effacement ("droit à l'oubli") : supprimer ses données
Droit à la portabilité : fournir ses données dans un format lisible
Droit d'opposition : s'opposer à certains traitements (démarchage commercial notamment)

Beaucoup d'entreprises n'ont aucun processus interne pour gérer ces demandes. Si quelqu'un demande la suppression de ses données et que vous n'êtes pas en capacité de le faire dans le délai légal, vous êtes en infraction.

5. La durée de conservation des données

Vous ne pouvez pas conserver des données personnelles indéfiniment. La durée de conservation doit être proportionnée à la finalité du traitement.

Les durées recommandées par la CNIL :

Données de prospects : 3 ans après le dernier contact
Données clients : 5 ans après la fin du contrat (obligations comptables)
Données de connexion / logs techniques : 1 an maximum
CV reçus non suites : 2 ans maximum

Conserver des données de prospects dans votre CRM depuis 2018 sans jamais les nettoyer, c'est une violation RGPD latente.

6. Les formulaires de collecte

Chaque formulaire qui collecte des données personnelles doit être accompagné :

D'une mention d'information : qui traite les données, pourquoi, combien de temps, et comment exercer ses droits
D'une case de consentement explicite pour les communications marketing (newsletter, etc.) — non pré-cochée
De la mention du caractère obligatoire ou facultatif de chaque champ

Un formulaire de contact sans mention RGPD, c'est non-conforme. Et si ce formulaire est utilisé pour envoyer ensuite des newsletters, le consentement doit avoir été explicitement recueilli.

La convergence réglementaire de 2026 : RGPD + IA Act

2026 marque l'entrée en application complète de l'AI Act européen pour les systèmes à haut risque (prévue pour août 2026). Cette réglementation concerne directement les sites qui utilisent des outils d'IA :

Chatbots et assistants virtuels : obligation de transparence (indiquer à l'utilisateur qu'il interagit avec une IA)
Systèmes de recommandation ou de personnalisation
Outils d'analyse comportementale
Formulaires avec scoring automatique

Si votre site utilise ces technologies, les obligations se cumulent et les sanctions potentielles aussi.

Comment évaluer votre niveau de conformité

La CNIL met à disposition un guide d'auto-évaluation qui permet de faire un premier diagnostic. Voici les questions essentielles :

Sur vos données :

Savez-vous exactement quelles données personnelles vous collectez ?
Savez-vous où elles sont stockées (serveur, CRM, outil email) ?
Savez-vous combien de temps elles sont conservées ?

Sur vos prestataires :

Avez-vous signé un DPA (Data Processing Agreement) avec chacun d'eux ?
Vos prestataires sont-ils basés en dehors de l'UE ? Si oui, des garanties supplémentaires sont nécessaires.

Sur votre site :

Votre cookie banner permet-il le refus aussi facilement que l'acceptation ?
Votre politique de confidentialité est-elle à jour et accessible ?
Votre site est-il en HTTPS ?
Vos formulaires incluent-ils des mentions RGPD ?

Le coût de la conformité vs le coût d'une sanction

La conformité RGPD représente un investissement — en temps, en conseil juridique, en outils. Pour une PME, il faut compter entre 2 000 et 10 000 € pour une mise en conformité sérieuse selon la complexité de vos traitements.

Comparé à une amende en procédure simplifiée (jusqu'à 20 000 €), une amende en procédure ordinaire (jusqu'à 20 millions € ou 4% du CA mondial), un préjudice réputationnel, et le coût de gestion d'une violation de données, la mise en conformité est un investissement infiniment rationnel.

"Le coût de la conformité est infiniment inférieur au coût d'une sanction." — Source : CNIL

Conclusion : La conformité RGPD est une hygiène numérique

En 2026, respecter le RGPD n'est plus une option ni une démarche héroïque : c'est une hygiène numérique de base, au même titre que mettre son site en HTTPS ou faire des sauvegardes régulières.

✅ Une politique de confidentialité claire et à jour ✅ Un cookie banner avec refus aussi accessible qu'acceptation ✅ Des données sécurisées (HTTPS, mots de passe hachés, mises à jour) ✅ Un processus pour gérer les droits des personnes en moins d'un mois ✅ Des durées de conservation définies et respectées ✅ Des formulaires avec mentions RGPD et consentements explicites

Et avec l'arrivée de l'AI Act, la vigilance doit s'étendre à tous les usages de l'IA sur votre site.

Mettez votre site en conformité

Chez NextIT, nous accompagnons les entreprises dans leur mise en conformité RGPD : audit de vos traitements, rédaction des mentions légales et politique de confidentialité, configuration des cookies banners, et processus de gestion des droits.

Mieux vaut agir avant un contrôle que réagir après une sanction.

Camille Beaucher — Votre partenaire pour une présence web conforme et sécurisée.

Demandez un audit RGPD de votre site Découvrez notre accompagnement conformité